คุณรู้หรือไม่ ปัจจุบัน ระบบสำรองข้อมูล (Backup) เป็นเป้าหมายหลักของการโจมตีจาก Ransomware และคุณมีวิธีป้องกันแล้วหรือยัง? [Guest Post]

โลกแห่ง Ransomware ได้พัฒนาตลอดเวลา

รายงานจากนิตยสาร Fortune ปี 2022 และ 2022 SonicWall Cyber Threat Report แสดงถึงการเพิ่มขึ้นของการโจมตีจาก Ransomware มากขึ้นถึง 105% เมื่อเทียบกับปีก่อนหน้า โดยกลุ่มหน่วยงานราชการทั่วโลกถูกโจมตีจาก Ransomware เพิ่มขึ้นถึง 1,885% และกลุ่ม Health Care ถูกโจมตีเพิ่มขึ้น 755% เลยทีเดียว ที่สำคัญคือ มี Malware/Ransomware ชนิดใหม่เกิดขึ้นถึง 442,151 เพิ่มขึ้นมากถึง 65% อย่างที่ไม่เคยพบมาก่อนในปี 2021

นอกจากนั้น ในรายงานล่าสุดปี 2021 ของนักวิเคราะห์ IDC กล่าวว่าการวิจัยของพวกเขาแสดงให้เห็นว่ามูลค่าความเสียหายได้เพิ่มขึ้นทุกปีโดยปี 2021 มีมูลค่าความเสียหายสูงถึง 20.2 พันล้านเหรีญสหรัฐ

นอกจากนั้น การจ่ายค่าไถ่ที่ Hacker เรียกร้องก็ไม่สามารถการันตีการกู้คืนข้อมูลได้ โดยข้อมูลแสดงให้เห็นว่าสามารถกู้คืนข้อมูลได้เพียง 65% เท่านั้น นั่นแสดงถึงความเสียหายที่เกิดขึ้นอย่างมหาศาลทั้งการจ่ายเงินและการสูญเสียข้อมูล

ข้อมูลจากการวิจัยพบเพิ่มเติมว่าองค์กรมากกว่า 80% ที่ถูกโจมตีโดย Ransomware มีการสำรองข้อมูล  และมากกว่า 90% มีระบบรักษาความปลอดภัย Cyber Security ติดตั้งอยู่ แสดงให้เห็นว่า Ransomware มีความสามารถในการหลบหลีกระบบรักษาความปลอดภัยและสามารถโจมตีระบบสำรองข้อมูลได้โดยง่าย

สิ่งนี้เปลี่ยนความคิดใหม่คือ การเตรียมพร้อมสําหรับการโจมตีจาก Ransomware ที่มีเพียงการสำรองข้อมูล Backup และระบบ Cyber Security ไม่สามารถหลีกเลี่ยงการสูญเสียข้อมูลได้

ดังนั้น การโจมตี Ransomware กลายเป็นเรื่องที่องค์กรในปัจจุบันจําเป็นต้องตระหนักว่าไม่ใช่เรื่องไกลตัวอีกต่อไป คุณสามารถตกเป็นเป้าหมายได้ตลอด

เป้าหมายใหม่: ระบบสํารองข้อมูล

ในรายงานของ IDC ระบุว่าภัยคุกคามรูปแบบใหม่ได้พัฒนาขึ้นให้สามารถเข้าโจมตีระบบสํารองข้อมูล อาชญากรไซเบอร์รู้ว่าการโจมตีข้อมูลที่ระบบสํารองข้อมูลก่อนจะทำให้คุณไม่สามารถแก้ไขปัญหาโดยการกู้คืนข้อมูลหลังจากการโจมตีได้เพราะข้อมูลที่สํารองไว้เสียหาย เมื่อข้อมูลสํารองเสียหายอาชญากรไซเบอร์จะโจมตีไปยังแหล่งข้อมูลหลักที่พวกเขาต้องการ อาชญากรไซเบอร์จะส่งมัลแวร์และวิธีการต่างๆของพวกเขาซึ่งจะมีความซับซ้อนมากขึ้นทุกปี

โดยทั่วไป ระบบรักษาความปลอดภัย Cyber Security จะใช้วิธีตรวจสอบการทำงานบางอย่างมีลักษณะของ I/O ที่สูงผิดปกติในดิสก์ไดรฟ์เพื่อค้นหามัลแวร์ที่เข้ารหัส  แต่ปัจุบันตัวมัลแวร์ได้พัฒนามากขึ้นโดยสามารถปรับการทำงานให้ช้าลงเพื่อไม่ให้ I/O สูงผิดปกติ

และยังมีรายงานระบุว่า มีสาเหตุอีกหลายปัจจัยที่ทําให้บางองค์กรล้มเหลวในการป้องกันข้อมูลทที่ถูกสํารองไว้ เช่น ไม่ได้เตรียมวางแผนกระบวนสำรองและกู้คืนข้อมูลที่ดีพอ ไม่ได้วางแผนในการกู้คืนความเสียหายไปยังไซต์สำรอง (DR Site) เป็นต้น

การเข้าสู่นวัตกรรมแห่งการสำรองข้อมูลแบบ 3-2-1-1

ทำไมการสำรองข้อมูลแบบ 3-2-1 ที่ใช้งานกันอยู่จึงล้าสมัยและไม่ปลอดภัยอีกต่อไป

ทำไมนโยบายสำรองข้อมูลแบบ 3-2-1 จึงล้าสมัยและไม่เพียงพอ

ก่อนอื่น เราต้องทำความเข้าใจระบบสำรองข้อมูลแบบ 3-2-1 กันก่อนว่าคืออะไร เพื่อให้สามารถเห็นถึงช่องโหว่และจุดอ่อนที่สำคัญ

ระบบสำรองข้อมูลแบบ 3-2-1 ประกอบไปด้วย

1. เก็บข้อมูลสามชุด (ชุดข้อมูลหลักหนึ่งชุดและชุดสําเนาข้อมูลสองชุด)
2. ชุดสําเนาสองชุดให้จัดเก็บไว้ในสองรูปแบบ (โดยมากในปัจจุบันชุดสำเนาหลักจะเป็น Disk, ชุดที่สองจะเป็น Disk, NAS, คลาวด์ และอื่นๆ รวมไปถึง Tape – ในขณะที่ Tape จะเสื่อมความนิยมลง)
3. ชุดสําเนาหนึ่งชุดให้จัดเก็บนอกสถานที่ เช่น DR Site, คลาวด์ หรือสถานที่อื่นๆ

ตามรายงาน IDC ปัญหาสำคัญคือ Ransomware ในปัจจุบันสามารถโจมตีและมองหาระบบสำรองข้อมูลเพื่อทำลายข้อมูล และสามารถโจมตีข้อมูลทั้งสามชุดของเราได้ เนื่องจาก เมื่อ Ransomware เข้ามาในระบบ จะตรวจสอบหาเครื่องต่างๆในเครือข่ายรวมถึงการเข้าสู่สิทธิสูงสุดของระบบโดยใช้ช่องโหว่ต่างๆ และจะโจมตีทำลายข้อมูลชุดหลักและเข้าสู่ระบบสำรองข้อมูลเพื่อทำลายชุดข้อมูลสำเนาที่ต่อกับระบบสำรองข้อมูลทั้งส่วนที่เป็น Disk, NAS และ Tape (ที่ยังคงต่ออยู่) รวมไปถึงชุดสำเนาที่สองที่จัดเก็บใน DR Site และคลาวด์ เนื่องจากระบบเครือข่ายเชื่อมถึงกันและมีการเปิดการเชื่อมต่อเข้าหากันอยู่ตลอดเวลา Ransomware จึงสามารถเข้าไปโจมตีได้

ข้อยกเว้นคือ กรณีที่เก็บสำเนาชุดที่สองจัดเก็บเป็นเทป Off-site ยังอาจจะมีข้อมูลให้พอกู้คืนได้ แต่ไม่เป็นที่นิยมในปัจจุบัน และโดยมากจะเป็นข้อมูลเก่า เนื่องจากองค์กรไม่ได้เก็บข้อมูล Tape Off-site ทุกวัน โดยมากจะเป็นสัปดาห์หรือเดือนละครั้ง และในบางกรณีการกู้คืนจาก Tape มักจะมีปัญหาและทำได้ช้า ดังนั้น การกู้คืนจาก Tape จึงทำให้ได้ข้อมูลชุดเก่าและเกิดปัญหาข้อมูลสูญหายและมีผลกระทบกับองค์กรเช่นกัน   

คำแนะนำการป้องกันล่าสุดจาก IDC

IDC แนะนำว่า ระบบสำรองข้อมูลที่สามารถปกป้องและป้องกันภัยจากการโจมตีของ Ransomware ในปัจจุบันจะต้องมีความสามารถเพิ่มขึ้นมากกว่าเพียงการเก็บข้อมูลทั่วไป แต่ต้องมีความสามารถเพิ่มเติมดังต่อไปนี้

• สามารถเข้ารหัสข้อมูลได้ทุกที่ (Encryption Everywhere): สามารถเข้ารหัสข้อมูลที่ถูกเก็บเอาไว้ในที่จัดเก็บข้อมูล, ระหว่างการส่งข้อมูล, และในชุดข้อมูลที่จัดเก็บ ทั้งที่จัดเก็บทั้งภายในและภายนอกองค์กร เพื่อป้องกันการรั่วไหลและการถูกขโมยข้อมูล
• มีชุดข้อมูลสำรองที่ไม่สามารถแก้ไขหรือเปลี่ยนแปลง (Immutable Backup Data Copy): สามารถจัดเก็บข้อมูลแบบที่ไม่สามารถถูกแก้ไข, เปลี่ยนแปลง, ลบและทำลาย ไม่ว่าจะจากภายในหรือภายนอก นี่จะเป็นกระบวนการที่ให้ความมั่นใจได้ว่าข้อมูลจะไม่ถูกทำลายแม้จะถูกโจมตี ดังนั้นความสามารถนี้จึงเป็นสิ่งที่สำคัญในปัจจุบัน
• มีชุดข้อมูลที่เก็บในลักษณะ Air-Gapped: หลักการของ Air—Gapped คือ การแยกการจัดเก็บและการป้องกันการเข้าถึงข้อมูลสำรองที่จัดเก็บทั้งทางกายภาพและทางระบบเครือข่ายที่ไม่ปลอดภัย ซึ่งจะป้องกันผู้ไม่ประสงค์ดีในการเข้าถึง ผู้ดูแลระบบจะต้องมั่นใจว่าที่เก็บข้อมูลหลักและข้อมูลสำรองได้รับการบริหารและจัดเก็บแยกจากกัน เพื่อลดความเสี่ยงของการถูกทำลายหรือเสียหายไปพร้อมๆกัน องค์กรจำนวนมากได้หันกลับมาใช้ Tape โดยการจัดเก็บแยกต่างหากไม่ว่าจะเป็น Onsite หรือ Offsite ซึ่งจะเป็นการแยกที่จัดเก็บอย่างชัดเจน แต่ปัญหาของ Tape ก็คือ มันเป็นข้อมูลที่ไม่ล่าสุด ทำให้มีข้อมูลสูญหายบางส่วนได้
• มองหาระบบสำรองข้อมูลที่เป็นแบบบูรณาการ (Integrated Solutions): คำว่าบูรณาการในที่นี้หมายถึง ระบบสำรองข้อมูลที่มีความสามารถด้าน Hardware, Software, Security และ Cloud เข้ามาด้วยกัน โดยมีความสามารถทั้งทางด้านการปกป้องข้อมูลและป้องกันการโจมตีทาง Cyber เพื่อให้องค์กรมีโอกาศสูงที่สุดในการป้องกันและกู้คืนเมื่อเกิดเหตุการณ์การโจมตี และลดปัญหาความยุ่งยาก ความเข้ากันได้ การบริหารจัดการหลายๆผลิตภัณฑ์
• มีระบบ Multifactor Authentication (MFA): การโจมตีในปัจจุบันเกิดจากการถูกขโมยข้อมูลผู้ใช้งานและรหัสผ่าน (โดยมากเกิดจาก Phishing) การที่ระบบสำรองข้อมูลมีระบบ MFA สามารถป้องกันการเข้าถึงระบบและข้อมูลที่ถูกสำรองได้ถึงแม้จะถูกขโมยรหัสผ่านไปก็ตาม 

การป้องกัน Ransomware ต้องเริ่มด้วยการสํารองข้อมูลแบบ 3-2-1-1

ยินดีต้อนรับสู่โลก 3-2-1-1

ด้วยวิวัฒนาการของ Ransomware ที่เกิดขึ้นการสำรองข้อมูลแบบเก่า “3-2-1” เพื่อปกป้องข้อมูลจะไม่มีประโยชน์อีกต่อไป

 

และด้วยคำแนะนำจากรายงาน IDC แนะนําคือ 3-2-1-1 ด้วย “1” พิเศษที่เพิ่มขึ้นมาหมายถึง การเก็บข้อมูลที่ไม่สามารถเปลี่ยนแปลง (Immutable Backup Data Copy) โดยข้อมูลถูกเขียนครั้งเดียวบนที่จัดเก็บข้อมูลและสามารถอ่านได้หลายครั้ง แต่ไม่สามารถเปลี่ยนแปลงข้อมูล, ลบ และทำลาย และ/หรือ การเก็บข้อมูลในลักษณะ Air-Gapped ที่จัดเก็บข้อมูลแยกต่างหากให้ไม่สามารถเข้าถึงได้ โดยทาง IDC แนะนำให้ทำการเก็บชุดข้อมูลสุดท้ายไว้บน Immutable Storage, Tape ที่จัดเก็บแยกต่างหาก หรือ Cloud ชนิดพิเศษที่ไม่สามารถแก้ไขข้อมูลได้ เช่น  Amazon S3 Glacier หรือ S3 Object Lock เป็นต้น

ดั้งนั้น ความสามารถของการจัดเก็บข้อมูลโดยไม่สามารถถูกแก้ไขได้แบบ Immutable Storage เป็นสิ่งที่สำคัญในการสร้างภูมิคุ้มกันอันเป็นองค์ประกอบสําคัญของการป้องกัน Ransomware ที่ประสบความสําเร็จ

โซลูชั่นใหม่ Arcserve Integrated Solution

ข่าวดีก็คือ ในปัจจุบัน Arcserve Inc. มีเทคโนโลยีและโซลูชั่นที่สามารถรวมทุกความต้องการของลูกค้าเข้ามาไว้ในที่เดียวกันทั้งในด้านการจัดเก็บและกู้คืนข้อมูล, ระบบสำรองข้อมูล Cloud, ระบบ Immutable Storage, ระบบ Air-Gapped และระบบการสำรองข้อมูลแบบต่อเนื่อง (Continuous Data Protection) ในโซลูชั่นเดียว

ทางการป้องกันการโจมตีมีระบบตรวจสอบและป้องกันการโจมตีบุกรุก (Intrusion Detection and Prevention) ซึ่งมีระบบ Deep Learning Neural Net ในการวิเคราะห์ตรวจสอบและป้องกันในตัว, ระบบป้องกันการ Ransomware Encryption และระบบ Multifactor Authentication (MFA) ในที่เดียว

Arcserve สร้างโซลูชันที่สามารถตอบโจทย์ให้กับองค์กรไม่ว่าจะเป็น โซลูชันในการสำรองข้อมูล(Arcserve UDP), เทคโนโลยีการตรวจจับ Ransomware  (Sophos intercept x) และการรวมถึงการเก็บข้อมูลที่ไม่เปลี่ยนแปลง (Arcserve OneXafe Immutable Storage)

Arcserve OneXafe – Immutable Storage สำหรับการป้องกัน Ransomware

Arcserve OneXafe เป็นระบบเก็บข้อมูลที่มีความสามารถ Immutable Object Storage ที่ทุกๆอย่างที่จัดเก็บจะสามารถเขียนลงไปหนึ่งครั้งและไม่สามารถแก้ไขได้อีกต่อไป โดยเป็น Storage ในรูปแบบ Object-based โดยมีการเก็บข้อมูลแบบ Object และทุกๆการแก้ไขจะถูกสร้างเป็น Object ใหม่ โดยมีความสามารถ OneXafe Continuous Data Protection (CDP) ทำหน้าที่ในการสำรองข้อมูลแบบ Snapshot ทุกๆ 90 วินาที ข้อมูลที่ถูกจัดเก็บด้วยการ Snapshot จะไม่สามารถแก้ไขหรือเปลี่ยนแปลงได้จากภายนอกและสามารถทำให้ผู้ใช้งานสามารถกู้คืนข้อมูลย้อนหลังตามเวลาที่ต้องการ (Point-in-time Recovery) และสามารถกู้คืนได้ภายในไม่กี่นาที

ความสามารถในการขยายความจุได้อย่างง่ายดาย

Arcserve OneXafe สามารถเป็น Storage แบบ Network-Attached Storage (NAS) ที่สามารถขยายได้ในรูปแบบแบบ Scale-out ทำให้สามารถเพิ่มความจุได้ตั้งแต่การเพิ่มความจุทีละหนึ่ง Drive จนไปถึงการเพิ่ม Node ใหม่เพื่อรองรับการจัดเก็บข้อมูลสำหรับปริมาณงานที่เพิ่มขึ้นได้โดยง่าย

OneXafe มีความสามารถระดับ Enterprise-grade ที่ตอบโจทย์ทุกความต้องการ

นอกจากความสามารถที่กล่าวมาข้างต้นแล้ว OneXafe ยังมีความสามารถอื่นๆมากมายช่วยให้องค์กรได้ประโยชน์และสามารถใช้งานได้อย่างง่ายดาย เช่น การลดขนาดเนื้อที่จัดเก็บข้อมูลด้วย Inline Deduplication, การบีบอัดข้อมูล, CDP, การเข้ารหัสข้อมูล, Real-time replication สำหรับการทำระบบ Disaster Recovery

ความสามารถทางด้าน Redundancy ของ OneXafe ก็สามารถช่วยให้ระบบมีความเสถียรและดูแลรักษาได้ง่าย เช่น:

• โครงสร้างการเก็บข้อมูลแบบ Raid-less (No LUNs)
• Object-Based Replication Factor เช่น RF2 หรือ RF3 ที่จะมีการเก็บข้อมูลไว้ 2 หรือ 3 ชุดของ Data Objects เสมอ
• Scale-out Clustering ที่มีการจัดเก็บข้อมูลกระจายระหว่าง Disk และ Nodeเป็นต้น
• Fault Domain Protection ที่สามารถป้องกันการเสียหายของ Data ได้ทั้งในระดับ Disk และระดับ Node

การรวมความสามารถของ NAS และ Object Storage เข้าด้วยกัน

Arcserve OneXafe รวมความสามารถและข้อดีของทั้ง NAS และ Object Storage มาไว้ด้วยกัน ทำให้ผู้ใช้งานได้รับประโยชน์จากความสามารถของทั้ง 2 รูปแบบ

ข้อดีของ NAS

• เหมาะสำหรับการเก็บข้อมูลทั้งแบบ Dynamic และ Transactional Data
• ใช้งานง่าย เหมาะกับการเก็บข้อมูล
• เข้าได้กับ Application จำนวนมากและใช้งานได้หลากหลาย

ข้อดีของ Object Storage

• ขยายได้ง่าย
• บริหารจัดการได้ง่าย
• มีความสามารถในการจัดการข้อมูลที่ดี

OneXafe รองรับการใช้งานที่หลากหลาย:

Immutable Storage
OneXafe ได้รับการออกแบบให้เป็น Immutable Storage ที่รองรับการจัดเก็บข้อมูลสำหรับการสำรองข้อมูลและข้อมูลอื่นๆ ที่ไม่สามารถถูกแก้ไขได้ ด้วยความสามารถในการเป็น Logical Airgap จะสามารถรับประกันความปลอดภัยของข้อมูลและความสามารถในการกู้คืนข้อมูลได้ในทุกๆสถานการณ์

File Server Consolidation
OneXafe มีความสามารถในการขยายได้อย่างดี รวมถึงความสามารถในด้านความปลอดภัยและความเสถียร ทำให้การใช้งานสำหรับการเป็นที่เก็บข้อมูล File Server ผ่านมาตรฐานการใช้งานด้วย NFS และ SMB Share สามารถตอบโจทย์ความต้องการได้เป็นอย่างดี

Disk-Based Backup and Archive Target
OneXafe สามารถทำหน้าที่เป็นที่เก็บข้อมูลสำรองข้อมูลและการเก็บข้อมูลระยะยาวได้อย่างมีประสิทธิภาพ ด้วยความสามารถ Deduplication และรองรับการขยายตัวด้วย Scale-out Storage และรองรับการใช้งานร่วมกับซอฟต์แวร์สำรองข้อมูลในท้องตลาด เช่น Arcserve, Veeam, Commvault, Veritas และ อื่นๆ ได้