半導體業成勒索病毒頭號目標!做好快照加備份降低停機損失
隨著製造業逐步擴大產能,將更容易被駭客鎖定,一旦受到攻擊,要立即確保營運安全並避免停機狀況發生。對抗勒索病毒,將取決於是否能夠及時復原至駭客滯留時間開始之前的狀態。這也意味著企業需要利用快照和資料備份來迅速從駭客事件當中進行復原。
勒索病毒搭上熱門產業順風車
根據 IDC 發布的 2021 年勒索軟體調查報告《2021 Ransomware Study: Where You Are Matters!)發現近一年內全球有 37% 的企業曾遭受勒索軟體攻撃,而製造業供應鏈上下游關係緊密,牽一髮動全身,企業所承受的責任損失已非單一產線停工的營運損失,更將衍伸相關賠償、訴訟、保險、監管罰款,相關損失難以估計。
勒索病毒駭客最終目標為入侵企業機構,一開始會先有一段行動期間,從嘗試突破防火牆進入企業直到駭客現身要求贖金為止,這段期間我們稱為「滯留時間」(dwell time)。在這期間他們會利用含有惡意程式連結的網路釣魚郵件來攻擊企業內部員工,亦或是掃描企業暴露在網際網路上的對外系統是否有漏洞。不論採取哪一種方式,此階段的重點就是要尋找可攻擊的受害者並找到絕佳的入侵途徑,而了解滯留時間的意義,對於企業從勒索病毒攻擊事件復原是至關重要的。
駭客一旦進入了防火牆內,就會開始蒐集各種帳號和密碼,以便進一步駭入更多系統,並且在受害機構的系統之間四處遊走,他們通常使用一些像遠端桌面協定(RDP)這類合法通訊協定來從事遠端遙控及幕後操縱。在這階段,他們的目標是搜尋各種機敏資料,並在系統內安裝惡意軟體,為接下來的執行階段鋪路,也就是將資料加密及外傳。
不單要有資料備份,還要有無法修改的快照
如果我們假設企業無法抵擋有決心的駭客入侵,那麼對抗勒索病毒攻擊的關鍵,將取決於是否能夠復原至駭客滯留時間開始之前的狀態,且必須及時復原。這也意味著企業需要利用快照和資料備份來迅速從駭客事件當中進行復原。
快照可提供一種系統狀態及資料記錄,每天依循固定間隔頻繁地擷取快照,如此一來,受害的機構系統就能精細地回復到滯留時間前的狀態。快照設計可在撷取時不對營運環境造成太大影響,因此通常會儲存在主要儲存或接近主要儲存的地方。換句話說,資料即可快速地從快照中復原,儲存近一至兩個月的快照。
不同於快照,資料備份通常會存放較久一些,且資料備份的撷取次數也相對沒那麼頻繁,通常為營業時間外的定期備份期間。資料備份幾乎都會移轉至第二儲存(secondary storage),復原時也需要花費較長的時間。因此,若情況允許,特別是滯留時間沒有太長的話,快照由於速度快,對企業來說幾乎是勒索病毒攻擊復原的最有效方式,但前提是快照不能被駭客破壞。
具備多重認證的快照更有保障
傳統上,快照通常是唯讀的,亦即無法進行修改。然而,駭客也知道這點,因此他們會試圖刪除這些快照或將快照移走。正因如此,客戶必須尋找能夠防止快照被刪除的廠商,並且要防止駭客將快照移走,以便能夠進行復原。此外,企業也可尋找能為快照提供多重認證、多重 PIN 碼認證(必須經由多名 IT 人員同時認證)的廠商,並且能夠設定快照保存期限和可允許移動的目的地。
當勒索病毒的滯留時間相對較短時,快照就會是最佳復原手段。但情況有時卻不允許,駭客有可能已經在防火牆內活動好幾個月的時間,並四處安裝惡意程式和破壞檔案。萬一情況是這樣,那麼就有很大的機會必須從資料備份當中復原。
最新世代 NAND 快閃記憶體兼具超高容量與存取速度
無論哪一種復原方式(快照或資料備份),企業最重要的就是要能盡速復原資料來恢復營運。此時,箇中關鍵就在於保存資料備份的儲存方式,換言之,必須要能應付大規模快速復原資料的需求,也就是迅速復原大量資料。
所以,哪一種儲存產品最適合用來保存快照和資料備份,也就是能提供快速復原的效能呢?首先,要先尋找採用固態儲存並能處理非結構化資料(檔案和物件)的產品,因為並非任何固態儲存都可以做到。
最新世代的 NAND 快閃記憶體,已經可讓儲存陣列兼具超高容量與存取速度。換句話說,採用TLC 或 QLC 快閃記憶體的儲存陣列已經能夠以接近磁盤式硬碟(HDD )的每 TB 成本提供大容量儲存。其次,企業還須注意資料吞吐量效能,當今市面上的高效能固態儲存陣列已可提供超過 270TB 的每小時吞吐量,這足以讓絕大多數企業迅速恢復營運,不過能夠提供該等級吞吐量的廠商並不多,必須詳閱產品規格表再來做判斷。
隨著全球供應鏈持續擴增,網路攻擊只會越來越密集、更加複雜。總結來說,防範勒索病毒的最好方式,就是要能將時光回溯到攻擊滯留時間開始之前,其最好的辦法就是採用超高效能儲存來提供極快速度,迅速復原組織關鍵資料與業務。
