Last Line of Defense Series III : เจาะลึก 8 ฟังก์ชันจาก Veeam ในการรับมือกับแรนซัมแวร์

ขอต้อนรับทุกท่านเข้าสู่บทความไตรภาค “Last Line of Defense Series” ตอนที่ 3 ในหัวข้อของ Ransomware ซึ่งก่อนหน้านี้ในตอนที่ 1 และ 2 ทุกท่านคงจะได้เรียนรู้เนื้อหาเกี่ยวกับ Ransomware และวิธีการป้องกันตามแนวทาง NIST Framework รวมถึงกลยุทธ์ 3-2-1-1-0 และการออกแบบ Best Practice Backup กันไปแล้ว ในบทความนี้เราจะพาทุกท่านไปเจาะลึก 8 ฟังก์ชันจาก Veeam ที่จะช่วยรับมือกับ Ransomware ได้อย่างมั่นใจ

1.) Multi-Factor Authentication

ในโลกที่การใช้งานเพียงแค่ Username & Password แบบทั่วๆไปไม่อาจเชื่อถือได้อีกต่อไป ทำให้องค์กรต้องมองหากลไกหรือวิธีการป้องกันของตนเองมากขึ้น ซึ่งวิธีการพิสูจน์ตัวตนแบบหลายปัจจัยหรือ Multi-factors Authentication (MFA) ได้รับการพิสูจน์แล้วว่าช่วยยกระดับการขโมยบัญชีได้ถึง 99% เช่นกันผู้ใช้งาน Veeam สามารถที่จะเปิดใช้งานฟีเจอร์นี้ให้กับผู้ใช้งานทุกราย แม้กระทั่งกับ Service Account นอกจากนี้ยังสามารถรีเซ็ตรหัสผ่านให้ผู้ใช้ได้ด้วย อย่างไรก็ดีการตั้งค่าใช้งาน MFA ต้องดำเนินการโดยผ่านสิทธิ์ระดับ Backup Administrator เท่านั้น

2.) Immutable 

การทำงานของ Immutable คือการที่ไม่มีใครสามารถแก้ไขเปลี่ยนแปลงข้อมูลได้ ซึ่งสำคัญมากต่อการป้องกัน Ransomware เพราะคนร้ายมักจะมุ่งทำลายล้างไฟล์ข้อมูลสำรองก่อนเสมอเป็นลำดับแรก แต่ในทางปฏิบัตินั้นไม่ใช่เรื่องง่ายเลยที่จะทำเช่นนั้นได้

โดย Veeam เป็น Backup Software ที่มีความอิสระที่ไม่มีข้อผูกมัดกับฮาร์ดแวร์ใด ทำให้ผู้ใช้งานสามารถเลือกใช้ Server ยี่ห้อใดก็ได้ โดยใช้ระบบปฏิบัติการตระกูล Linux แล้วใส่ความสามารถการทำงานของ Immutable บน Veeam เข้าไป ทำให้เกิดเป็นสิ่งที่เรียกว่า Hardened Repository ซึ่งผู้ใช้งานจะรับรู้การคอนฟิคในรูปแบบง่ายๆผ่านเมนูที่หน้า Console ของ Veeam เท่านั้น หน้าที่ของการปรับแต่งทาง Veeam จะเป็นผู้จัดการอยู่เบื้องหลัง

ความต้องการของ Hardened Repository ก็คือ ผู้ใช้งานต้องมีเครื่อง Server แบบ Physical (คำแนะนำจาก Veeam) ที่เชื่อมต่อกับ SAN Storage โดยภายในเครื่องจะมีการติดตั้ง Linux แบบ 64 บิต และทำการตั้งค่าดิสก์ให้เป็นไฟล์ชนิด XFS เพียงเท่านี้ไฟล์ข้อมูลสำรองของท่านก็จะถูกคุ้มครองจากการแก้ไขเปลี่ยนแปลงโดยไม่ได้ตั้งใจ หรือจากผู้ดูแลระบบที่เป็นภัยเองก็ตาม อย่างไรก็ดีเพื่อความปลอดภัยขั้นสูง Veeam แนะนำให้ผู้ใช้กำหนดเกี่ยวกับ Credential ในลักษณะแบบใช้ครั้งเดียว (Single-use credentials)เพื่อเข้าถึงโฟลเดอร์ที่ใช้ในการเก็บไฟล์ข้อมูลสำรองด้วยสิทธิ์ที่เหมาะสมด้วย

3.) Data Encryption

อีกหนึ่งกลยุทธ์ที่คนร้าย หรือ Ransomware มักใช้เสมอควบคู่กับการเรียกค่าไถ่ก็คือการขโมยข้อมูล ซึ่งวิธีการป้องกันที่มีมาแต่เนิ่นนานตามแบบเรียนด้าน Security ก็คือการเข้ารหัส (Data Encryption) โดยกลไกการเข้ารหัสจะช่วยป้องกันข้อมูลไม่ให้ถูกอ่านได้ ซึ่ง Veeam Backup & Replication รองรับงานเข้ารหัสหลายระดับ เช่น Backup job, Transaction Log backup job, Backup copy job, VeeamZIP และ Tape ทั้งนี้การเข้ารหัสและถอดรหัสจะเกิดขึ้นที่ต้นทางจุดแรกเท่านั้น ด้วยเหตุนี้เองระหว่างการขนส่งไปกลับและการเก็บข้อมูลจึงได้รับการป้องกันไม่ให้ใครแอบอ่านได้

อัลกอริทึมที่ Veeam นำมาใช้เป็นไปตามมาตรฐานสากล เช่น AES-256, RSA-4096/2048 หรือ SHA-256 เป็นต้น ทั้งนี้ในการเข้ารหัสของ Veeam Backup & Replication จะใช้กุญแจแบบ Symmetric (ใช้กุญแจดอกเดียวกันทั้งเข้าและถอดรหัส) ซึ่งภายใต้นั้นจะมีการสืบทอดลงไปแบบลำดับชั้นลงไปอีกหลายระดับ เช่น Storage Key, Meta Key และ Session Key

สำหรับ Best Practices ในการตั้งค่ารหัสผ่าน (Password) สำหรับใช้งาน Data Encryption บน Veeam Backup & Replication มีรายละเอียดดังนี้

• รหัสผ่านต้องมีความยาวอย่างน้อย 8 ตัวอักษร
• รหัสผ่านต้องมีตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก
• รหัสผ่านจะต้องประกอบด้วยตัวอักษร ตัวเลข และเครื่องหมายวรรคตอน ผสมกัน
• รหัสผ่านต้องแตกต่างจากรหัสผ่านที่เคยใช้ก่อนหน้านี้อย่างมาก
• รหัสผ่านจะต้องไม่มีข้อมูลจริงใดๆ ที่เกี่ยวข้องกับตัวผู้ดูแลระบบ เช่น วันเกิด, ชื่อสัตว์เลี้ยง, ชื่อเข้าสู่ระบบ และอื่นๆ

4.) Secure Restore

การทำงานของ Secure Restore คือ การกู้คืนข้อมูลของ Veeam รูปแบบหนึ่ง ผ่านองค์ประกอบที่เรียกว่า Mount server ซึ่งอาจจะเป็นเครื่องเดียวกันกับ Veeam backup server หรืออยู่ภายใน Veeam backup repository server เพื่อดึงไฟล์ข้อมูลสำรองที่ได้มีการทำ Backup ไว้ขึ้นมาเพื่อให้ซอฟต์แวร์ Antivirus ทำการสแกนว่ามีไวรัสหรือ Ransomware แฝงตัวเข้ามาภายในระบบ Backup หรือไม่ โดย Default ที่ตัวซอฟต์แวร์ Veeam Backup & Replication จะมีไฟล์ตัวนึงที่มีชื่อว่า AntivirusInfos.xml ซึ่งในไฟล์ดังกล่าวได้มีการระบุว่าทำงานร่วมกับซอฟต์แวร์ Antivirus ใดเพื่อนำมาใช้ในขั้นตอนการสแกนหาไวรัสหรือ Ransomware ซึ่ง ซอฟต์แวร์ Antivirus ดังกล่าวมีดังนี้

• Symantec Protection Engine
• ESET
• Windows Defender
• Kaspersky Security 10 และ 11
• Bitdefender Endpoint Security Tools

ในกรณีที่มีการใช้งานซอฟต์แวร์ Antivirus อื่นที่นอกเหนือจากที่กล่าวไว้ข้างต้น สามารถนำมาใช้งานร่วมกับ Veeam Backup & Replication ได้ โดยการแก้ไขในไฟล์ AntivirusInfos.xml

ในกรณีที่ผ่านการสแกนแล้วตรวจพบเจอว่ามีไวรัสหรือ Ransomware แฝงตัวเข้ามา ผู้ใช้งานสามารถเลือกได้ว่าต้องการดำเนินการอย่างไรต่อไป ระหว่าง อนุญาตให้สามารถนำไปใช้งานบนระบบงานที่อยู่บน Production ได้แต่มีการ Disable network adapter หรือ ยกเลิกการกู้คืนข้อมูลเพื่อลดความเสี่ยงในการลุกลามและแพร่กระจายของไวรัสหรือ Ransomware

สำหรับฟังก์ชันการทำ Secure Restore สามารถทำงานร่วมกับการทำงานบน Veeam Backup & Replication ดังต่อไปนี้ Instant Recovery, Entire VM Restore, Virtual Disks Restore, Restore to Microsoft Azure, Restore to Amazon EC2, Restore to Google Compute Engine, Disk Export และ SureBackup

5.) SureBackup

การที่องค์กรมีการสำรองข้อมูลนับเป็นเรื่องที่ดี แต่นั่นไม่ได้หมายความว่าข้อมูลของท่านปลอดภัย 100% ท่านควรมีกระบวนการหรือเครื่องมือที่สามารถตรวจสอบได้ว่า ท่านสามารถกู้คืนข้อมูลมาใช้งานได้จริงหรือไม่ พร้อมปลอดภัยจาก Ransomware ซึ่ง SureBackup ของ Veeam สามารถตอบโจทย์สิ่งเหล่านี้ได้

การทำงานของ SureBackup คือ จะต้องมีการจัดเตรียมสภาพแวดล้อมเพื่อใช้ในการทดสอบที่ไม่ได้ยุ่งเกี่ยวกันกับระบบงาน Production ที่เรียกว่า On-Demand Sandbox หรือ Virtual Lab จากนั้นทำการสร้าง SureBackup Job เพื่อระบุว่าต้องการทดสอบการกู้คืนข้อมูลโดยอ้างอิงจาก Backup job ใด หรือ Application group ใด และสามารถเลือก Option ในการสแกนหาไวรัสและ Ransomware ได้อีกด้วย

โดยการทำงานของ SureBackup Job นั้นสามารถกำหนด Schedule ในการทำงานได้ หมายความว่าผู้ใช้งานสามารถทำการทดสอบการกู้คืนข้อมูลได้แบบอัตโนมัติตามที่ได้ตั้งเวลาไว้ใน Schedule ทำให้ผู้ดูแลระบบมีความสะดวกในการทดสอบการกู้คืนข้อมูล

ภายใต้การทดสอบนั้น SureBackup ได้ถูกออกแบบมาให้ทดสอบระบบงานได้อย่างแท้จริง ภายใต้แนวคิดที่ว่าระบบอาจต้องพึ่งพาบริการอื่นในการทำงานจริงเช่น Microsoft Exchange Server ต้องอาศัย DNS และ Domain Controller ร่วมด้วย ซึ่งท่านสามารถกำหนดระบบที่ต้องมีได้ผ่าน Application Group พร้อมลำดับความสำคัญในการบูตขึ้นมาได้ใน Virtual Lab นอกจากนี้ยังมีการทดสอบย่อยอื่นๆเช่น Ping เป็นต้น ทั้งนี้การทำงานที่เกิดขึ้นใน Virtual Lab จะถูกบันทึกกิจกรรมในฐานข้อมูล Redo Log เมื่อการทดสอบจบลง Log ก็จะถูกลบออกไป

จากคำอธิบายข้างต้น จะเห็นว่าการใช้ฟังก์ชัน SureBackup ของ Veeam สามารถทำให้ท่านทำการตรวจสอบสิ่งที่ได้มีการทำสำรองข้อมูลไว้และยังได้เรื่องของความปลอดภัยที่นำเอาซอฟต์แวร์ Antivirus ค่ายต่างๆมาช่วยสแกนไฟล์ข้อมูลสำรอง เพื่อให้ท่านมั่นใจได้ว่าข้อมูลของเรามีความสมบูรณ์และปลอดภัย 100%

6.) Veeam ONE

องค์กรส่วนใหญ่มักมีระบบ Monitoring system เพื่อใช้ในการตรวจสอบสถานการณ์ทำงานของระบบต่างๆกันอยู่แล้ว แต่ก็ยังมีข้อจำกัดบางอย่าง เช่น แต่ละระบบยังใช้เครื่องมือหรือซอฟต์แวร์ที่แยกกัน ไม่ได้ทำงานในลักษณะที่เป็นแบบรวมศูนย์(Centralized ) หรือกระทั่งยังไม่มีระบบการออกรายงานสำหรับนำไปทำ Audit และ Compliance ที่สำคัญคือ การตรวจสอบเพื่อดูว่ามีสิ่งผิดปกติหรือการใช้งานที่น่าสงสัยซึ่งอาจจะเกิดจากพฤติกรรมของ Ransomware จากปัญหาที่กล่าวไว้ข้างต้น ซอฟต์แวร์ Veeam ONE ของ Veeam สามารถตอบโจทย์สิ่งเหล่านี้ได้

Veeam ONE คือ หนึ่งในซอฟต์แวร์ของ Veeam ที่สามารถทำหน้าที่ Monitoring & Analytics รวมถึงการออกรายงานให้เข้าใจได้ง่ายตามความต้องการ ซึ่งครอบคลุมหลายระบบทั้ง VMware vSphere, Microsoft Hyper-V, VMware vCloud Director, Veeam Backup & Replication และ Veeam Backup for Microsoft 365

หมายความว่าการมี Veeam ONE เปรียบเสมือนมีแอดมิน 1 คนที่ช่วยตรวจสอบสถานะการทำงานของระบบ Virtual infrastructure บน Production รวมถึงระบบ Backup ที่ใช้ Veeam Backup & Replication และ Veeam Backup for Microsoft 365 ตลอดจนการออกรายงานที่เกี่ยวข้องกับการใช้งานเพื่อนำมาวิเคราะห์และวางแผนในการปรับปรุงระบบให้มีประสิทธิภาพ เช่น การประเมินการใช้งานทรัพยากรภายในระบบด้วย Capacity planning, ตรวจสอบการทำงานของ Job ต่างๆย้อนหลังด้วย Job History, ดูอัตราการเติบโตของ VM ด้วย VMs Growth เป็นต้น

7.) Off-Site Data

นอกจากการทำสำรองข้อมูลที่ไซต์หลักแล้ว หนึ่งในแผนกลยุทธ์สำคัญของ 3-2-1 นั้นก็คือการเก็บข้อมูลไว้นอกไซต์ โดย Veeam ได้นำเสนอช่องทางการทำ Off-site Data ไว้หลายรูปแบบ ได้แก่

• Backup Copy คือ การคัดลอกไฟล์ข้อมูลสำรองไปยัง Backup repository ชุดที่สองที่อยู่นอกไซต์
• Replication คือ การทำสำเนาข้อมูลของ VM จากต้นทางไปไปยัง Virtual infrastructure นอกไซต์
• Scale-out backup repository คือ การคัดลอกหรือย้ายข้อมูลจาก Backup repository ชุดแรก ไปยัง Object storage ที่อยู่บน Public cloud หรือนอกไซต์ที่ On-premises
• Backup to Tape คือ การทำสำรองข้อมูลลงไปยังอุปกรณ์จัดเก็บข้อมูลชนิดเทป ซึ่งอาจจะอยู่ที่ไซต์เดียวกันหรือนอกไซต์

จะเห็นได้ว่า Veeam มีทางเลือกที่หลากหลายในทำ Off-Site Data เพื่อให้ท่านสามารถทำการกู้คืนข้อมูลกลับมาใช้งานให้เป็นไปตาม SLA ที่กำหนดไว้ เมื่อเจอเหตุการณ์ความเสียหายที่เกิดขึ้นกับศูนย์คอมพิวเตอร์ไซต์หลัก

8.) Best Practice Analyzer

คำถามส่วนใหญ่ที่ลูกค้ามักมีข้อสงสัยคือ ตอนนี้ระบบ Backup ขององค์กรเราเป็นไปตาม Best Practices ของทาง Vendor แล้วหรือไม่ ซึ่ง Vendor แต่ละรายมักจะใช้เอกสารต่างๆในการอ้างอิงว่าสิ่งที่ได้นำเสนอโซลูชันให้กับทางลูกค้าได้เป็นไปตาม Best Practices แล้ว แต่สิ่งที่ยังขาดไปก็คือ เครื่องมือที่จะมาช่วยตรวจสอบว่า สิ่งที่ท่านใช้อยู่นั้นเป็นไปตาม Best Practices แล้วจริงๆ

ด้วยเทคโนโลยีของ Veeam Backup & Replication ในเวอร์ชันใหม่ล่าสุด (v12) ทาง Veeam ได้มีการใส่ฟังก์ชันที่เรียกว่า Best Practices Analyzer ซึ่งเมื่อกดปุ่มบนหน้า Console ของ Veeam Backup & Replication ซึ่งฟังกชันนี้ จะทำการวิเคราะห์การตั้งค่าต่างๆบน Veeam Backup & Replication ว่าได้ดำเนินการตั้งค่าเป็นไปตาม Best Practices เกี่ยวกับด้านความปลอดภัยตามที่ Veeam กำหนดไว้แล้วหรือไม่ ข้อจุดใดยังมีตกหล่นอยู่ เพื่อให้ท่านมั่นใจได้ว่า ระบบ Backup ที่ขับเคลื่อนด้วย Veeam Backup & Replication สามารถใช้งานได้อย่างอุ่นใจปลอดภัยจากการโจมตีของ Ransomware

สำหรับตัวอย่างค่าพารามิเตอร์ที่อยู่ในฟังก์ชัน Best Practices Analyzer บน Veeam Backup & Replication ได้แก่

• มีการตั้งค่าใช้งาน Multi-factors Authentication (MFA) เพื่อเข้างาน Console
• มีการใช้งานความสามารถที่เรียกว่า Immutable หรือการทำ Air-gapped บนอุปกรณ์ Storage
• มีการเปิดใช้งาน Encryption สำหรับ Configuration backup ของ Veeam Backup & Replication
• Backup server ที่ติดตั้ง Veeam Backup & Replication ไม่ได้อยู่ภายใต้ Domain controller ของระบบงาน Production

บทส่งท้าย

จากข้อมูลข้างต้นท่านจะเห็นได้ว่า Veeam มีเครื่องมือพร้อมใช้สำหรับสร้างระบบ Backup ที่ปลอดภัย พร้อมพาองค์กรฝ่าฟันวิกฤติยามฉุกเฉินโดยเฉพาะอันตรายจากแรนซัมแวร์ที่คุกคามการให้บริการระบบดิจิทัลที่องค์กรหวาดกลัว ซึ่ง Veeam Backup & Replication ได้บรรจุกระสุนไว้พร้อมแล้ว รอเพียงแค่ท่านนำออกไปใช้งานเท่านั้น ผ่าน 8 ฟีเจอร์หลักที่เราได้พาไปเจาะลึกถึงไอเดียเบื้องหลังในบทความนี้ สำหรับท่านใดที่ต้องการข้อมูลเพิ่มเติมเกี่ยวกับผลิตภัณฑ์ของ Veeam สามารถติดต่อทีมงาน Veeam ได้ที่ sales.thailand@veeam.com

ที่มา :

• Multi-Factor Authentication – User Guide for VMware vSphere (veeam.com)
• Hardened Repository – User Guide for VMware vSphere (veeam.com)
• Data Encryption – User Guide for VMware vSphere (veeam.com)
• Secure Restore – User Guide for VMware vSphere (veeam.com)
• SureBackup – User Guide for VMware vSphere (veeam.com)
• About Veeam ONE Client – Veeam ONE Monitoring Guide
• About Veeam ONE Web Client – Veeam ONE Reporting Guide
• Backup Copy – User Guide for VMware vSphere (veeam.com)
• Replication – User Guide for VMware vSphere (veeam.com)
• Scale-Out Backup Repositories – User Guide for VMware vSphere (veeam.com)
• Backup to Tape – User Guide for VMware vSphere (veeam.com)
• Best Practices Analyzer – User Guide for VMware vSphere (veeam.com)