備份備援
隨著科技的進步,各式各樣精密的儀器,高解析度的設備推陳出新,5G的普及各種IoT設備連上互聯網,人人都有多台行動裝置,隨之而來產生的大量數據,大數據油然而生。
而也從原本的傳統資產轉變成數據資產,數據資料成為企業非常重視的資產之一。
對於資安攻擊事件也是承出不窮,從原本是惡意破壞,阻斷企業服務,也變成以利益為考量的勒索病毒攻擊,入侵、竊取、加密、刪除,都為了能從企業獲取龐大的利益,
而受到攻擊的企業所產生的影響,除了資料遺失所造成的營運停擺,內部資料外流風險,企業名聲受損及可能給付一筆龐大的勒索費用,才有機會將資料恢復,都會讓企業造成莫大的損失。
且勒索攻擊事件,不是侷限於大型企業,平均每11秒就會發生網路或勒索病毒攻擊,超過40%都是在中小企業,除了中小企業的資安思維比較低以外,備份架構也比較薄弱,較容易獲得贖金。
所以企業應該要思考的不是會不會被勒索病毒迫害,而是何時會遇到勒索病毒,且要如何防範。
對於企業的資料類型,簡單分為兩大類
企業核心應用,主要是用於虛擬化和資料庫相關的結構化資料,如企業內部重要系統ERP、CRM、BPM等等,環繞在AP+DB的架構,一般可以透過備份軟體加上備份專用儲存設備,提供完整、增量、差異或異地的備份保護。
如基本的檔案分享需求,產線log、監控影像、醫院的醫療影像、商務的線上圖片、媒體的影音資料,
都會產生大量的非結構化數據資料,而根據統計,80%都來自於非結構化數據,對於非結構化資料,除了因為PB等級的資料不易備份還原以外,存取行為更容易受到勒索病毒的加密,可能會因為其中一台電腦中毒,而導致內部檔案大量被加密,所以對於此類的資料,應該要有更完善的資料保護。
但在勒索病毒不斷地進化,傳統的防毒+備份已經無法有效以及完整的保護企業重要資料,除了基本的備份以外,必須要有更智能,更安全的機制,來防止生產環境受影響停擺,也要避免備份環境同時受到污染,並要能盡快還原數據並找出中毒的設備。
在備份的解決方案裡,Dell Technologies 有一套非常有名的備份軟體叫PowerProtect Solution,其中的Cyber Recovery針對勒索病毒提供很好的解決方案 ; 而PowerScale也有一套與Cyber Recovery相同的解決方案元件和保護能力叫Cyber Resilience,提供非結構化數據來對抗勒索病毒。
透過Power Protect Solution (DPS + PowerProtect DD),提供一個安全隔離的資料保護儲存區域,
詳細內容可以參考這邊文章:DELL EMC PowerProtect Cyber Recovery 避風港計劃(離線備份)
基於Superna Ransomware Defender透過智能學習,有效地提供偵測和阻斷攻擊行為,即時的回報及紀錄攻擊事件,並提供安全獨立隔離的安全區域,及快速的資料回復方式。
.png)
.png)
PowerScale 可以透過定期快照來提供差異資料的保護,並透過抄寫將資料同步到異地,確保本地和異地都有多副本資料可以提供還原。
另外若是針對有法規需求或是不允許刪除或是異動的資料,也可以提供WORM(Write Once and Read Many ),確保資料寫進資料夾後,不會再受到勒索病毒的加密或是刪除。
整合Superna Ransomware Defender ,透過自動學習分析使用者正常行為,當有異常行為發生如在不對的時間,不對的存取路徑,不常存取得檔案,執行大量開啟、加密或刪除等行為時,在第一時間通報管理者,以及在30秒內鎖定帳號及IP,不再讓破壞擴大,並同時執行快照,確保若有其他設備也中毒同時加密設備時,也有即時的還原點可以還原資料。
所有的攻擊行為,會被詳細記錄到auditor裡,從時間、帳號、IP、路徑、檔案等,僅需要快速恢復這些受到影響的檔案即可。
User 也可以透過Recovery Portal透過Snapshot or DR 回復自己的文件,並定期安排模擬勒索軟體攻擊以測試您的防禦是否妥善,以確保您資安防禦已就緒。
提供企業最重要的數據資產,CR第三份關鍵資料保護,以確保受到資安攻擊時,能有一份完整安全乾淨的資料,
Cyber Vault是一個隔離的安全堡壘,在每次同步完資料後,透過Air Gap阻斷對外網路連結確保資料安全隔離,AirGap 僅在數據複製期間開放網路連線。一旦檢測到網路或異常威脅,AirGap 則會立即關閉對外網路連線確保 Cyber Vault 資料安全性 。
AirGap 僅在數據複製期間開放網路連線。一旦檢測到網路或異常威脅,AirGap 則會立即關閉對外網路連線確保 Cyber Vault 資料安全性。
提供受到勒索攻擊影響的AD使用者、IP 位址和受影響的檔案清單,因此若發生勒索軟體攻擊事件,僅需要快速恢復這些受到影響的檔案即可。
