Official Blog
面對勒索軟體威脅,企業的關鍵資料備份與還原策略
Louis Tong
2020-10-29

面對勒索軟體威脅,企業的關鍵資料備份與還原策略

近年勒索病毒型態漸趨多元,尤其病毒攻擊對象不分組織或系統規模,大至跨國企業、產業龍頭,小至個人店家,資訊系統皆可能受到影響。以色列資安業者 Check Point 報告便指出,今年第三季全球勒索軟體攻擊大幅增加 50%,平均每天的攻擊行動比今年上半年大幅增加了 50%,且每 10 秒就有一個新的受害者,顯見資安威脅日益加深。

除了事先建立安全預防措施,並在災害發生當下進行緊急應變處理外,事前建立備份機制依舊是防範災害的不二法則,確保資料若遭勒索病毒加密,仍有另一份檔案可供日常業務運行。

擬定備份策略

當前企業在備份上面臨很多挑戰,企業 IT 人員在著手規劃或是重新檢視既有的備份策略時,建議先進行資料的盤點,以確認需要備份的資料的內容與範圍。

第一,資料的使用環境。目前隨著 IT 基礎架構不斷地變得多樣化、複雜化,多數企業已經處於實體、虛擬、甚至雲端並存的混合環境,企業 IT 人員需要管理來自實體、虛擬環境與雲端等不同平台的備份任務。因此,在擬定備份策略前,需確實盤點企業需要維護的備份資料,分別來自哪些使用環境,如伺服器,PC 、筆電等實體裝置,或是來自 SaaS 平台、虛擬機等環境,並且確實掌握確切的裝置數量。

第二,資料的重要性。盤點企業維運會使用到哪些服務,哪些資料又是最關鍵需要優先備份的。例如,針對核心業務營運所使用的檔案伺服器、ERP 系統、人資系統、核心服務的虛擬機與實體伺服器等,以及關鍵裝置如高階主管的 PC,建立定期備份排程機制,並且依據營運服務的重要性,擬定適合的 RTO(Recovery Time Objective,復原時間目標) 與 RPO(Recovery Point Objective,復原點目標)。

接著,可以進一步將資料區分成冷資料或熱資料,冷熱資料的標準主要取決於這項資料會不會被頻繁的存取。舉例來說,企業 ERP、郵件系統與檔案伺服器多半是熱資料,例如企業的 ERP 系統是員工每日都必須存取、資料量會持續變動的服務,這種型態的資料就會被歸類到熱資料;又以企業內部部署的影像監控系統為例,影像資料必須每日備份,但平時沒有發生特定事件,便不會有調閱需求,這類存取頻率少的資料就會被歸類到冷資料。

盤點完備份的來源平台、裝置外,以及資料的重要性後,就可以為不同資料來訂定備份頻率、需備份的版本數,以及備份的標的裝置等。例如,冷熱資料就會對應到不同備份標的物的需求,熱資料需要 IO 相對高的儲存裝置,冷資料對 IO 的要求相較之下低,企業可以以確保儲存容量足夠為首要考量要點。

備份三二一原則

盤點完成後,企業就可以回頭確認目前所選用的備份設備是否滿足所需,並進一步擬定相對應的備份計畫,在可負擔的預算內選擇效益最高的部署方案。

備份計畫的部署原則,建議企業採取「321 原則」,也就是重要檔案必須保有 3 份備份,以 2 種不同形式進行檔案存放。此外,企業也應為關鍵資料建立多版本備份,選擇可支援備份至本地儲存裝置、外接儲存裝置以及公有雲空間的備份套件,並保留足夠空間來儲存多個版本備份,以完善資料的多重保護措施。

例如,企業在備份每天提供員工存取的檔案伺服器時,可以先在本地端 NAS 透過快照功能留存多版本備份,再將快照檔案複寫到異地端 NAS,第三份資料備份再透過去重複壓縮跟加密技術備份到公有雲空間。

除了定時執行備份外,面對勒索軟體還有一件事需要留意:備份必須離線維護。由於目前變種的勒索軟體已會嘗試入侵並刪除任何可取用的檔案與備份資料,部分惡意軟體甚至會將這些備份檔案再次加密。因此,保留一份離線、加密的資料備份,定時維護並測試資料的完整性也十分重要。

想像一下實際的應用場景:若一間企業所採取的備份策略是在每天中午 12 點,以及下午 5、6 點分別排程執行一次快照複寫,那麼即使不幸在下午 1 點遭遇勒索病毒時,也能將檔案還原至一小時前未感染版本;又或者企業若確實執行異地備份,當本地機房臨時故障時,也可讓副伺服器接手並開啟備份檔案,馬上提供存取服務,避免服務中斷風險。

延伸閱讀:了解如何透過單一介面部署管理來自檔案伺服器、虛擬機、及 PC 整機所有備份任務

延伸閱讀:10 個提升 NAS 安全性的小撇步

備份資料的管理與災難復原演練

另外,值得提醒的是,對於企業 IT 人員而言,怎麼去進行備份任務的管理,也是在規劃備份方案時應考量的要點。尤其現在有許多來自異質設備、平台的資料需要管理,建議選用的備份軟體要能夠提供統一的介面管理,並依據企業的資料保護政策,客製化產出報表,以利於進行事後的追溯與管理,例如,監控資料備份任務是否出現異常使用狀況,當異常行為發生時給予錯誤告警,或是後續提供資料給相關單位進行資安稽核所需等。

同時,資料的復原也與資料的備份同樣關鍵,資料的完整性至關重要,企業除了部署多版本、多目的地的資料備份計畫外,也應定期回復測試備份狀況,確保備份資料的完整與可用性,並定期演練災難還原機制以及進行教育訓練。例如,若真的不幸被勒索軟體刪除關鍵資料,應該從哪些來源拉出備份資料?這些備份下來的資料是否完整?透過災難演練,可以進一步確保資料真能安全無虞。

面對不斷變種的勒索軟體,企業須保持彈性,隨時調整應變之道。總結一個要領:企業定期執行檔案備份,是保護重要資料的積極作為,建議企業首先確實做好資料盤點,並謹記「備份三二一」原則,擬定最適合企業本身的資料備份與還原策略,再透過事前的災難演練,打造企業面臨勒索軟體挑戰的安全防線。