透過病毒入侵、以加密或刪除用戶資料作為勒贖手段的勒索軟體,已經是當前最讓所有人頭痛的資安威脅之一。

面對勒索軟體的威脅,常見的防範措施包括:及時修補軟體漏洞、防止病毒透過漏洞入侵,利用防毒軟體或防火牆的偵測與阻擋功能、遏止可疑的資料存取行為,以及藉由定期備份,以便原始資料遭到勒索軟體侵害後,仍能透過備份複本來還原資料等。

但這些防範措施各有局限,舉例來說,修補軟體漏洞難以做到萬全,總是會有零時差漏洞出現;面對不斷進化的病毒,防毒軟體或防火牆的偵測與阻擋功能也無法確保總是生效;即使勤於備份,但備份複本本身也有可能遭到勒索病毒的感染,以致無法用於還原資料。

面對這種情況,這幾年來出現一種防範新思路,那就是直接從儲存裝置或儲存媒體著手,利用一寫多讀(Write Once Read Many,WORM)或不可變儲存(Immutable storage)技術,提供防止資料竄改的特性,從最根本的儲存層次,來避免資料遭到勒索軟體的侵害。

以唯讀技術遏止勒索軟體破壞資料

一寫多讀或不可變儲存,指的是同樣的資料防竄改技術,基本概念是透過軟體、韌體或硬體手段,確保寫入儲存媒體或指定儲存區的資料維持在唯讀狀態,經授權的用戶仍可讀取WORM保存的資料,但不能覆寫、修改或刪除,藉此滿足資料保存與完整性的要求。

WORM技術的歷史非常悠久,相關技術的發展可追溯到1970年代,最初是為了法規遵循應用而誕生,藉由防止資料竄改的能力,在法定要求時間內保存準確的資料複本,以確保法律訴訟方面要求的資料真實性與有效性、保護數位證據,並滿足稽核監管要求。

而利用WORM與不可變儲存技術保存資料的特性,在防範勒索軟體方面也能發揮作用。由於WORM能保證寫入後的資料,維持在不可變化的唯讀狀態——允許讀取,但不可刪除與更改,徹底「鎖住」了資料狀態,那麼,勒索軟體自然也無法對資料進行加密或刪除。對於WORM保存的資料來說,即使系統已經感染勒索軟體,但由於WORM機制已經「鎖住」了資料狀態,先天上就阻擋了勒索軟體發作、藉由加密或刪除動作來危害資料的可能性。

但另一方面,由於WORM與不可變儲存技術會導致儲存媒體遭到「鎖住」,用戶端無法再更動底層資料的內容,以致會妨礙正常的應用程式運行,並降低儲存裝置的資源利用率,所以,這樣的保護方式,並不適合用在資料內容變動頻繁的線上生產資料。

最適合使用WORM技術的場合,其實是備份與歸檔(Archive)這些靜態的資料儲存應用,藉此建立可確保安全性與完整性的資料複本,或是安全的資料保存儲存庫,作為對抗勒索軟體威脅的最終手段。藉由WORM技術的保護,即便線上資料遭到感染,後端仍有安全可靠的複本可供還原。

將資料唯讀技術用於資訊安全防護

除了用於防範勒索軟體外,資料防竄改技術在其他資安應用面向,也能派上用場,例如:

防止惡意的內部威脅,避免敏感資料遭到企業人員惡意刪除:避免意外操作,導致資料受損,例如用戶不當的操作,意外更動、覆蓋或刪除資料內容;隔離系統軟、硬體的錯誤,所導致的資料損壞;防止因資料保留策略或刪除還原點,導致備份複本遭到刪除。

在資安威脅、特別是勒索軟體威脅日益升高的今日,資料防竄改技術憑藉著保存資料狀態的能力,重要性已更勝以往,應用面向也已走出過去的法規遵循領域,而成為資安防護的關鍵環節。事實上,許多提供WORM技術與相關產品的廠商,也都改以資安作為產品功能應用的重點,許多儲存平臺也都將支援WORM功能列為重點。

而這樣的發展趨勢,也讓原本只局限於特定應用領域的資料防竄改技術,成為企業IT不可或缺的一環。

 相關報導 


熱門新聞

Advertisement