每個在電腦上工作的人都一定有過這樣的經驗:花了好幾個小時在做一份報告,在快完成時,電腦硬體突然出現故障或檔案損壞,努力好久的心血在一瞬間化為烏有,再也找不回來。現在,試著把這樣的情況套用在企業的資安問題上。企業突然被勒索病毒攻擊,重要資料完全無法開啟,甚至可能會面臨停工、商譽盡失以及大量金錢的損失。

災難復原(Disaster recovery)是組織在發生自然災害、網路攻擊等意外導致業務中斷後,重新恢復 IT 架構以及資料的方法。根據 Gartner 的報告指出,約有 72% 的企業組織在遭遇災害後,沒有完整的恢復計畫或策略。

從政府機關、上市櫃公司到一般中小企業,近年來各產業幾乎無一倖免於資安漏洞,如加密勒索攻擊、木馬、病毒等。現今企業高度數位化,對於 IT 營運中斷的忍受度也越來越低,面對惡意攻擊、大規模故障、人為錯誤,企業開始正視關鍵資料與系統保護的重要性。

研發團隊有多年儲存與數據保護開發經驗的昀至資訊(NaviClouDR)強調,傳統備份技術並非針對快速復原所設計,而較偏重資料的歸檔與保存,因此無法滿足企業面對攻擊時迅速復原的期待。NaviClouDR 從軟體、服務、平台三個維度打造整機完整防禦方案,結合磁碟複製與快照等技術,於混合雲時代協助企業 IT 靈活移轉,保護資訊安全。

勒索攻擊快速飆升,企業如何減少災害損失?

根據麥肯錫 2022 年的網路資安報告指出,未來三到五年企業將面臨網路資安的三大挑戰,包括遠距辦公帶來的數據洩漏風險、人工智慧與機器學習提升攻擊複雜程度、企業組織缺乏足夠的資安人才與正確的思維。報告中更提到,2019 年以來,勒索軟體攻擊每年更是以翻倍的速度成長。特別是 2020 年  2 月疫情期間,全球勒索軟體攻擊的數量激增了 148%,且未來這樣的攻擊可能會持續增加。

攻擊者大多潛伏進企業內部,讓企業常常在無察覺的情況下遭受惡意攻擊。導致後續無法應變以及正常運作,對企業來說相當棘手。「現在勒索病毒攻擊,影響的不只是檔案,可能癱瘓的是系統和所有平台,」昀至資訊技術服務副總鄒中傑說。

企業在遭受攻擊後,不僅要面對資訊外流、系統癱瘓,更要花上大筆金錢進行災害處理、搶救。根據報告指出,企業在遭受勒索軟體攻擊後,須付出的平均成本高達 180 萬美元。由此可見,如何在遭受惡意攻擊後真實且快速恢復系統是當今企業所面臨的挑戰。

建立第三方災備系統與平台,20 小時免除 1500 萬美元贖金

鄒中傑也接著分享了協助某跨國能源集團遭勒索病毒攻擊的案例。該集團遭駭客長期滲透,多個站點相繼淪陷,駭客取得網域控制權限,獲得發送多次攻擊的能力。

該集團所有系統包含備份軟體皆建立在知名虛擬化平台上,駭客透過該虛擬化平台的軟體漏洞控制並加密所有虛擬機磁碟,且竄改平台管理者密碼,阻礙緊急應變。該集團因長期使用 NaviClouDR 解決方案部署並行複製,擁有本地與異地的雙重整機保護,因此能夠在此次大規模災難下,進行資料與機器還原。

NaviClouDR 團隊協助該集團在面臨多次復原後又遭受攻擊的狀況下,不斷提供可驗證且完整可用的副本,爭取分析與修復的時間。在短短 20 多小時內,最終成功根除駭客足跡救回系統,並完整還原所有受害虛擬機,恢復正常運作,免除 1500 萬美元贖金的支出。

圖片說明:跨國能源集團案例說明(圖片來源:NaviClouDR 提供)

鄒中傑分析上述案例表示,企業若把所有系統放在相同虛擬化平台上將有高度風險。只要平台漏洞遭到控制,保護機制也被攻破,將會導致營運無法恢復運作,由此可知建立第三方災備系統與平台至關重要,能確保保護的資料不受影響,避免被同時入侵。在這基礎上,如果災備技術能實踐資料不可讀寫的特性,就能徹底解決此類安全風險。

現今的勒索病毒與駭客攻擊規模不斷擴大,越來越嚴密,企業雖了解現實情況,但大多未正視如何在受攻擊後快速恢復。使用傳統保護機制面對持續演化的勒索病毒,恢復的時間相當驚人,每分每秒都耗損著企業的成本。因此企業需要的是一套可在第三方環境做整機防護、擬真驗證,並迅速還原的策略。隨時做好準備,主動面對各式衝擊。

其次,針對日常的軟體與系統更新、程式碼的調整,企業同樣到第三方平台上。 鄒中傑強調,企業應建置一個與正式環境一模一樣的常態性驗證環境,可用於驗證修補程式也可用於找出潛藏在系統記憶體中的可疑病毒程式。

不用再一個一個備份檔案!整機磁碟複製 ,5 分鐘立即復原

鄒中傑指出,傳統備份還原系統環境到恢復正常運作,除了檔案外還需要有組態設定、安裝更新程式等,通常還原需耗時 1 至 3 天才能完成。而許多將檔案上傳雲端平台做備份的企業,要還原系統必須先將檔案下載回地端,更是要花上 2 倍時間。

而 NaviClouDR 以整機複製的方式來同步來源磁碟,磁碟上有作業系統、軟體、各種組態設定與檔案,複製到另一平台上,並結合目標平台快照技術,提供企業彈性選擇快照時間點,進行任何恢復點的整機還原,並達到不可變儲存(Immutable storage)的特性。

NaviClouDR 建議企業通過整機備援角度,做到以下四大安全加強:

一、本地加雲,雙重保障

用戶可以排程定時將整台機器複製同步至本地的私雲或是直接複製到公雲。更進階的保障則可規劃級聯複製 ( Cascaded Replication),先複製到本地的私雲再複製到公雲。由此不僅達到對勒索病毒的攻擊就近救援,同時也做到異地災難備援的效果; 將保障的機制建立在與生產環境不同的平台, 能夠避免平台遭遇攻擊時,所有機制一併受到摧毀的重大風險。

二、無損真測, 安全快速

降低勒索病毒的風險,需要真實全面的檢測。透過與目標平台整合,5 到 15 分鐘(RTO)內將複製同步的機器透過快照產生磁碟,並在目標平台建立和啟動新機器。驗證花費時間短,因此有機會納入日常維運和安全機制之中。於目標平台驗證,也不會損害到生產環境的效能和運作。能夠快速地建立測試環境,也代表了發生問題時得以在最短的時間內恢復運作。因為操作容易,用戶可以經常性演練,熟悉並優化還原的策略。

三、雲上檔案,敏捷可用

磁碟複製同步最大的好處是,不管 MB 或 TB 的資料都可以達到立即可用的效益。對於像是資料庫上百 GB 或 TB 的資料量,可以在一分鐘內從快照產生新的磁碟掛載到指定的機器或資料庫啟動測試或服務。另外,也能快速讀取磁碟中任何檔案,透過檔案還原網站和安全的連線,進行搜尋以及下載欲還原的檔案。

四、絕地重生,效率啟動

萬一不幸受到勒索病毒攻擊,透過自動化程序,不管是還原檔案或是立即建立備援機器,皆能快速啟動且恢復企業運作。

圖片說明:NaviClouDR 支援多種應用場景(圖片來源:NaviClouDR 提供)

網路安全是一場永無止境的競賽,而隨著科技的進步,駭客以及網路攻擊的手法也正快速變化中。疫情期間,資料與系統管理相對複雜,讓惡意攻擊有機可趁,再加上供應鏈吃緊,導致許多伺服器交期延後。

面對這樣的企業風險,良好的災備策略與系統更是不可或缺的一環。不論面對系統威脅或彈性的部屬架構,NaviClouDR 整機防禦方案協助企業完善保護,提供更靈活的配置需求。面對不斷變動的資安議題及架構升級,企業也能掌有完整的主控權。