近年勒索病毒型态渐趋多样化,尤其病毒攻击对象不分组织或系统规模,大至跨国企业、龙头产业,小至个人店铺,资讯系统皆可能受到影响。以色列资讯安全厂商 Check Point 报告便指出,今年第三季全球勒索软件攻击大幅增加 50%,平均每天的攻击行动比今年上半年大幅增加了 50%,且每 10 秒就有一个新的受害者,显见资讯安全威胁日益加深。
除了事先建立安全预防措施,并在灾害发生当下进行紧急应变处理外,事前建立备份机制才能防范灾害于未然,确保资料若遭勒索病毒加密,仍有另一份档案可供日常业务运行。
拟定备份策略
知名网络储存服务器供应商 Synology 技术顾问童志儒表示,当前企业在备份上面临很多挑战,企业 IT 人员在着手规划或是重新检视既有的备份策略时,建议先进行资料的盘点,以确认需要备份的资料的内容与范围。
第一,资料的使用环境。目前随着 IT 基础架构不断地变得多样化、复杂化,多数企业已经处于实体、虚拟、甚至云端并存的混合环境,企业 IT 人员需要管理来自实体、虚拟环境与云端等不同平台的备份任务。因此,在拟定备份策略前,需确实盘点企业需要维护的备份资料,分别来自哪些使用环境,如服务器,PC 、手提电脑等实体装置,或是来自 SaaS 平台、虚拟机器等环境,并且确实掌握确切的装置数量。
第二,资料的重要性。盘点企业维护运作会使用到哪些服务,哪些资料又是最关键需要优先备份的。例如,针对核心业务营运所使用的档案服务器、ERP 系统、人力资源系统、核心服务的虚拟机器与实体服务器等,以及关键装置如主管的 PC,建立定期备份排程机制,并且依据营运服务的重要性,拟定适合的 RTO(Recovery Time Objective,复原时间目标) 与 RPO(Recovery Point Objective,复原点目标)。
接着,可以进一步将资料区分成冷资料或热资料,冷热资料的标准主要取决于这项资料会不会被频繁的存取。举例来说,企业 ERP、邮件系统与档案服务器多半是热资料,例如企业的 ERP 系统是员工每日都必须存取、资料量会持续变动的服务,这种型态的资料就会被归类到热资料;又以企业内部部署的影像监控系统为例,影像资料必须每日备份,但平时没有发生特定事件,便不会有经常阅读的需求,这类存取频率少的资料就会被归类到冷资料。
盘点完备份的来源平台、装置外,以及资料的重要性后,就可以为不同资料来决定备份频率、需备份的版本数,以及备份的目标的装置等。例如,冷热资料就会对应到不同备份目标的需求,热资料需要 IO 相对高的储存装置,冷资料对 IO 的要求相较之下低,企业可以以确保储存容量足够为首要考量要点。
备份三二一原则
盘点完成后,企业就可以回头确认目前所选用的备份设备是否满足所需,并进一步拟定相对应的备份计画,在可负担的预算内选择效益最高的部署方案。
备份计画的部署原则,建议企业采取“321 原则”,也就是重要档案必须保有 3 份备份,以 2 种不同形式进行档案存放。此外,企业也应为关键资料建立多版本备份,选择可支援备份至本地储存装置、外接储存装置以及公有云空间的备份套件,并保留足够空间来储存多个版本备份,以完善资料的多重保护措施。
例如,企业在备份每天提供员工存取的档案服务器时,可以先在本地端 NAS 透过快照功能留存多版本备份,再将快照档案复写到异地端 NAS,第三份资料备份再透过去重复压缩跟加密技术备份到公有云空间。
除了定时执行备份外,面对勒索软件还有一件事需要留意:备份必须离线维护。由于目前变种的勒索软件已会尝试入侵并删除任何可取用的档案与备份资料,部分恶意软件甚至会将这些备份档案再次加密。因此,保留一份离线、加密的资料备份,定时维护并测试资料的完整性也十分重要。
想像一下实际的应用场景:若一间企业所采取的备份策略是在每天中午 12 点,以及下午 5、6 点分别排程执行一次快照复写,那么即使不幸在下午 1 点遭遇勒索病毒时,也能将档案还原至一小时前未感染版本;又或者企业若确实执行异地备份,当本地机房临时故障时,也可让副服务器接手并开启备份档案,马上提供存取服务,避免服务中断风险。
备份资料的管理与灾难复原演习
另外,值得提醒的是,对于企业 IT 人员而言,怎么去进行备份任务的管理,也是在规划备份方案时应考量的要点。尤其现在有许多来自异质设备、平台的资料需要管理,建议选用的备份软件要能够提供统一的接口管理,并依据企业的资料保护政策,客制化产出报表,以利于进行事后的追溯与管理,例如,监控资料备份任务是否出现异常使用状况,当异常行为发生时给予错误警告,或是后续提供资料给相关单位进行资讯安全稽核所需等。
同时,资料的复原也与资料的备份同样关键,资料的完整性至关重要,企业除了部署多版本、多目的地的资料备份计画外,也应定期回复测试备份状况,确保备份资料的完整与可用性,并定期作出灾难演习还原机制以及进行教育训练。例如,若真的不幸被勒索软件删除关键资料,应该从哪些来源拉出备份资料?这些备份下来的资料是否完整?透过灾难练习,可以进一步确保资料真的能安全无恙。
面对不断变种的勒索软件,企业须保持弹性,随时调整应变之道。总结一个要领:企业定期执行档案备份,是保护重要资料的积极作为,建议企业首先确实做好资料盘点,并谨记“备份三二一”原则,拟定最适合企业本身的资料备份与还原策略,再透过事前的灾难练习,打造企业面临勒索软件挑战的安全防线。
延伸阅读:
如何透过 NAS 单一接口管理分散在档案服务器、虚拟机器、及 PC 整机所有备份任务?
出色的资料保护策略具备哪些条件?中小企不可不知3-2-1 备份原则完整解析
