×
新聞中心
發布日期:2023.12.06

防勒索,你有乾淨的鏡像副本嗎?

最近,某全球工業自動化大廠遭受勒索攻擊,導致大量業務受影響的消息甚囂塵上。甚至有媒體分析指出,今年來遭遇類似惡意網路威脅的製造業巨頭屢見不鮮,而此次事件造成的影響有可能如“餘音繞梁”般綿延數月不絕。

 

BleepingComputer 消息稱,駭客聲稱在攻擊期間竊取了超過 27TB 的資料並加密了 VMware ESXi 虛擬機器。本次事件幕後的勒索軟體團夥名為 Dark Angels,與臭名昭著的 BlackCat(也稱為ALPHV)類似,是 RaaS 組織的典型代表,其攻擊手法包括所使用的加密器可同時瞄準 Windows、VMware 和 Linux 環境。

 

值得注意的是,上半年同樣震驚業界的 MGM 大攻擊中,幕後黑手“Scattered Spider”使用的正是 BlackCat 製造的勒索軟體。事件中,攻擊者通過網路釣魚攻擊獲得了系統存取權限,並冒充員工進行了長達 10 分鐘的電話通話,最終導致系統大規模故障。

 

Veritas 已在7月使用 REDLab 測試了這種勒索軟體,用戶端運行狀況檢測功能夠檢測到該病毒,及時發現系統出現異常,並通過檔案系統備份生成警報。

 

 

面對勒索攻擊威脅,你的備份系統是否有能力“全身而退”?

 

從備份系統自身的健壯性出發,使用者、網路、應用、存儲或資料、作業系統,包括物理硬體安全都可能是對備份造成致命威脅的潛在攻擊向量,IT 必須考慮多種方法來保護任意單個向量,嚴防任何機制遭到破壞或損害。例如,使用行業標準的身份驗證機制,包括多因素身份驗證,防止憑據被洩露;對任何關鍵操作使用法定人數批准或多人授權,嚴防未經授權的訪問......

 

本質上,IT 部門需要深入研究上述攻擊向量,並搞清楚如何在環境中滿足安全需求。然而,這並不意味著所有工作都必須企業 IT 親力親為,事實上,很多重要事項也絕非通過“協力廠商集成”就能達成安全保障,例如作業系統層面的零信任設計和不可變架構,以及漏洞管理等。

 

當把所有這些因素集合到一起時,NetBackup Flex 一體機就是“開箱即用”的答案,讓 IT 不必再輾轉反側,時刻擔心備份系統安全加固還有哪方面沒做好,獲得真正意義上端到端的保護,確保系統和資料不被篡改或惡意擦除。

 

更近一步,在確保備份系統自身足夠安全的基礎上,如何確保備份系統具備乾淨的鏡像副本,有能力從勒索攻擊中回復?將隔離回復環境(IRE)作為默認安全架構是正解。

 

NetBackup 惡意軟體檢測(Malware Detection)功能可為隔離回復環境 (IRE)工作流的檢測和回復部分提供更多控制。按需惡意軟體掃描和高異常分數觸發的異常檢測可確保生產 NetBackup 域上備份鏡像的資料完整性。通過在 IRE 端添加 NetBackup 惡意軟體掃描引擎,系統可確保為氣隙隔離(Air Gap)的 Flex 一體機 WORM 存儲提供乾淨的鏡像,抵禦日益增長的網路威脅。在勒索軟體攻擊期間,IT 可以在回復之前掃描 WORM 存儲中的鏡像。安全預設架構可確保系統擁有乾淨的鏡像副本,以支援從勒索攻擊中有效回復。

 

NetBackup 10 與領先的惡意軟體掃描程式(如Microsoft Defender和Symantec Protection Engine)集成。將掃描狀態存儲在 NetBackup 目錄中,IT 能夠自信地進行回復,並瞭解惡意軟體掃描狀態。檢測到受影響的鏡像後,IT 可以查看受影響的檔列表,將所有過期副本或將鏡像保留在適當位置,最後已知的良好鏡像將在回復工作流中清晰可見,在選擇受影響的鏡像時,系統將向使用者顯示警告。

 

惡意軟體掃描程式可以部署在一台或多台主機上,具體設置取決於併發掃描要求情況而定。這些掃描主機被分組到一個掃描池中,該掃描池能夠檢查檔案系統下的非結構化資料。

 

惡意軟體掃描可以使用 Web UI 啟動,也可以在異常檢測活動生成高異常分數時自動啟動。IT 還可以使用 NetBackup 強大的 API 創建自訂資料保護工作流,掃描池應配置常見的惡意軟體應用程式以及所需的協定,並且在添加其他掃描主機時不應混合引擎或協定。

 

惡意軟體檢測利用通用共用,因此 IT 無需配置特定共用進行掃描。NetBackup Flex 一體機具備惡意軟體檢測的所有先決條件,並支援 SMB 和 NFS 共用。

 

MSDP 主機將鏡像作為唯讀共用公開給掃描主機,因此讀取可能受感染的鏡像不會產生額外風險。當鏡像通過其存儲生命週期策略(SLP)時,一旦駐留在 MSDP 中,管理員就可以對其進行掃描,無需中斷輔助 SLP 操作。

 

假設選擇要還原的檔被標記為“受影響”,這種情況下,乾淨還原將從未受感染的備份中進行,從而支援以安全有效的方式從特定時間點進行回復,而不會重新感染目的電腦。此新增功能的 CLI 選項是 「bpcleanrestore」,與大家熟悉的「bprestore」命令類似。

 

通過將 NetBackup 的異常檢測和惡意軟體掃描與 Flex 一體機的多層安全架構與氣隙隔離配置結合,IT 可獲得直接、簡單、安全的方法,保護重要備份資料。在通用共用的加持下,IT 不僅可以快速回復應用程式,並可確保使用的是乾淨的還原選項,從已知的乾淨副本中回復,避免潛在二次威脅發生。

 

更多企業資料保護管理洞察,歡迎聯繫敦新科技 Veritas 事業部:Dw_veritas@dawningtech.com.tw