近幾年勒索軟體攻擊事件頻傳,手法也不斷翻新,從挾帶病毒的電子郵件、掛馬網站到應用程式及系統軟體上的漏洞,都有可能成為駭客入侵的突破點。如何防禦勒索攻擊,也成為一大課題。
近期,Hitachi Vantara與Enterprise Strategy Group(ESG)共同發表「防禦勒索病毒的漫漫之路(The Long Road Ahead to Ransomware Preparedness)」調查,發現光是去年(2021),便有高達79%的企業都曾受到勒索病毒的攻擊,而73%的受訪者則指出企業財務與營運都因此而受到影響。另外,有56%的企業在遭受勒索病毒攻擊後支付贖金,以重新取回原有的資料,然而卻只有七分之一在支付贖金後真正拿回所有的數據資料。
Hitachi Vantara台灣區資深技術經理林祈禎觀察,除了儲存系統和雲端是勒索病毒最常攻擊的目標之外,網路連線、IT基礎架構以及資料保護架構也都是勒索病毒的前幾大破口。系統在遭到攻擊後,部分架構的癱瘓也足以造成企業的營運損失。「從調查結果也不難看出,勒索病毒的攻擊手法愈來愈多元,從單點防堵已經無法有效防護,另外企業也不應該期待支付贖金後就能拿回所有的數據資料,已經有許多前車之鑑,就算支付了贖金,資料也不見得可以取回。」
備份資料成攻擊目標
調查報告也提到,每十家企業中,就有九家擔心備份的資料成為勒索病毒攻擊的目標。近43%的受訪者「非常擔心」備份資料遭受攻擊,另外,有47%的受訪者已運用第三方工具以自動進行資料備份、復原、配置和驗證。
「備份是防範勒索攻擊的最後一道防線,但駭客也熟知這點。現今的勒索病毒並不見得只會攻擊Active Data,而是鎖定備份資料,以確保企業無法還原。」他提到,近幾年,隨著愈來愈多的企業選擇公有雲作為備份的首選目的地,雲端也成為駭客關注的目標,部分企業選擇實體隔離(Air-gapped)技術來保護儲存設備,或是從不可變的(Immutable)儲存或快照複本(Gold Copy)來還原,而這也意謂著企業未來的資料保護策略必須是混合的作法,以因應雲端、地端以及混合架構的需求。
林祈禎進一步解釋,實體隔離是保護備份資料不被勒索病毒攻擊的必要技術,透過永不連接網路的特性,讓備份資料避免受到損害,進而達到資料復原的完整性。簡單地說,就是藉由隔離的方法,讓備份資料處於安全的地方,概念上就像把資料放到了保險箱中,而不會受到破壞。因此,可以在安全的地方把備份資料還原。
此外,資料復原能力對於企業組織的營運相當重要,而定期檢測資料復原力則有助於讓企業組織更熟悉遇到勒索病毒後的流程,以便在遭受到攻擊後,很快地恢復營運。然而調查指出,只有41%的企業組織每週進行一次或更多次的演練,以定期檢測數據的復原力。
他提到,企業之中資料保護策略其實存在很大的落差,就以實體隔離為例,在受訪的企業中僅有30%的企業組織有建置隔離解決方案,有14%的企業組織認為沒有立即規劃此技術的必要性;另外也只有14%的企業保護九成以上的關鍵資料,從這些調查結果也不難發現,企業或許覺得資料保護的解決方案很重要,但實際上付諸行動的企業並不多,而這也說明了為什麼勒索攻擊會為企業帶來如此大的影響。
「值得留意的是在Gartner去年調查中,曾經付過贖金的企業有八成又再度被攻擊,而46%的企業在支付了贖金之後,雖然可以重新存取他們的資料,但是這些資料仍有部分是損壞的。」林祈禎強調,勒索病毒攻擊頻繁度之高,現今企業該關心的已不是會不會被攻擊,而是什麼時候被攻擊,當問題發生時,能不能復原就至關重要。
多層手法滿足資料防護需求
資料已經成為企業競爭力的關鍵,保護資料、確保災難發生時能夠順利復原是應對勒索軟體非常重要的手段,而這可以透過一些原則來達成。例如讓可能被攻擊的目標不能被更改、善用實體隔離技術以及資料保存期限等都可以協助有效守住最後防線。
「其實,在企業的架構中本就會有資料複製的機制,例如快照、異地備援或遠端複製等等,同時透過備份的方式將資料備份到靜態媒體,如低階儲存設備或是磁帶上,而這也是企業常見的作法。」他解釋,萬一遇上勒索病毒對活躍的資料進行加密,此時備份資料就可以派上用場,但是如果駭客把目標鎖定備份系統的Catalog,情況可能變得很糟,因為Catalog會記載資料在哪個時間點備份到哪裡的資訊,一旦遭遇加密,即便所有的資料完好地存放在儲存媒體中,也形同消失不見,而且重建也很麻煩,因此Catalog通常也會成為被攻擊的目標。
Hitachi Vantara台灣區資深技術經理林祈禎指出,勒索病毒的攻擊手法愈來愈多元,從單點防堵已經無法有效防護。
而實體隔離技術其實是為了解決這個問題,把資料被放在安全離線的地方,即使主要運行的系統遭到破壞,至少受到隔離保護的資料是安全的,而且無法從外部入侵。
林祈禎指出,目前並沒有一套完整的解決方案可以滿足企業需求,這是因為企業內部架構不同、應用不同所致,因此Hitachi Vantara也提供各式不同組合的解決方案,量身訂做以滿足企業不同的期望。例如在高階與中階儲存中均內建Data Retention Utility功能,可以鎖定資料不被竄改,只有當資料符合設定的保留期限才能發布,而且無法透過管理者或原廠的工程師解開,如此一來,便可確保資料不受破壞,在真正需要時能夠還原。
又如物件儲存可搭配一寫多讀(WORM)及版本管控的特性。當勒索軟體開始破壞檔案時,其所竄改的原始檔案的內容會變成另一個新的物件(原始檔案名稱不變),此時便可以根據之前異動的版本進行挑選,瞬間可回溯原始檔案內容並將其復原,如此可恢復到被勒索軟體破壞之前的內容。或者是在資料同步與分享中,Hitachi Vantara HCP Platform Anywhere可提供安全、簡單和智慧的文件同步、共享和數據保護功能。
他提到,近期Hitachi Vantara新推出的VSP E1090次世代中階儲存陣列,同樣也內建多重資料防護機制,企業可先透過快照來預防,雖然勒索病毒也可將快照刪除,不過只要在快照之後將其「鎖定」,就可以確保資料無法被更動或修改設定,「當然,VSP E1090在效能上也有很亮眼的表現,這是一款全NVMe的中階儲存設備,而且日立的通用儲存作業系統SVOS也特別針對NVMe在核心(Kernel)進行一些修改,I/O效能可達840萬IOPS。」