過去幾年間,客戶遭遇目標式勒索病毒的攻擊和各種嚴重災情,作為儲存領域 NAS 的領導品牌,威聯通 QNAP 不斷思考如何做到更完善的資料保護技術,虛心聆聽客戶的意見,徹底考慮企業實際執行的困難之處,希望提供更好的策略和方法來幫助客戶防患於未然。
從資安與威脅攻擊的歷史來看,自從 Wannacry 於 2017 年大規模爆發後,勒索病毒攻擊層出不窮,同時目標式攻擊 (targeted attack) 也早已存在於國家型資助的攻擊手法當中。但在 2020 年,自 COVID-19 疫情爆發之後,我們卻看到結合目標式攻擊手法 (technique) 的勒索病毒,讓許多產業成為新一波的受害者,其中超過一半集中在科技製造業 (Hi-tech & Manufacturing)、醫療產業 (Health and Social Welfare),以及公共組織 (Public Sectors)。
為何目標式勒索病毒能輕易攻陷一家企業並能夠將近半數員工的電腦設備、工廠電腦、伺服器的資料予以加密?我們認為可從不同層面來探索其背後隱含的資安難題。
首先,傳統資安防禦措施:傳統資安廠商提供給客戶第一層防禦有如城牆,雖能夠有效的抵禦大部分已知攻擊或者惡意程式,但過去十年目標式攻擊加上未知惡意程式和工具的興起,企業已了解沒有 100% 的防禦方案 - 即便 1% 電腦設備遭到攻陷,企業就會面臨極高的風險。惡意程式內部擴散 (Lateral movement) 難以偵測或察覺,客戶一旦遭遇資安事件 (Cyber incident) 災情往往比表面上看來更嚴重,這同時也是目標式勒索病毒可以這麼猖獗的主因之一。
從企業的角度而言,因 NAS 所在的網路位置為內網的最內層,若攻擊已經觸及 NAS,這意味著接近全面加密或大範圍惡意攻擊;反之,從攻擊鏈 (Kill chain) 角度,卻已經是攻擊的最後階段。
因此,縱深防禦 (Defense-in-depth) 及網路偵測和回應 (Network detection and response) 是許多廠商在近幾年來所提倡的內網防禦方案。然而,許多客戶仍無法有效因應這一兩年強烈目標式勒索病毒攻擊,僅能定期做多重備份,若受攻擊則盡可能將資料還原,以最快速度恢復正常營運。
為何到目前為止,客戶仍無法採用更有效的方法來因應呢?一方面是執行層面的考量,另外一個重要因素則為資安方案的複雜度。在執行層面的考量中,整體成本是一個重要核心問題。 NDR 相關資安廠商提供的企業內網解決方案,光建置在核心交換器 (Core Switch) 旁側偵測的方案或設備費用可能就要百萬乃至數千萬以上,而這僅是針對性的掃瞄,因為核心交換器流量巨大,資安方案只能掃描過濾後的少數流量。然而,此方案背後也暗藏一些資安策略的破口。第一,除非內網擴散的攻擊 (Lateral movement) 經過核心網路,同時攻擊流量恰好受到全掃型 (Full scan) 資安掃描,才有機會偵測到這些未知且看起來低風險的惡意攻擊。再者,一般企業幾乎無法擁有專業資安分析人員對這些大量但看起來卻為低風險的資安威脅訊號分析。兩者相加,衍生成為極大的資安挑戰,同時影響企業資安策略制定與預算規畫。
QNAP 希望提出一種全新的思維和方法,針對目標式勒索病毒的內網擴散,建議企業使用以下幾個方式達到快速有效又全面的防禦:精準快篩 (Adaptive screening)、早期偵測發現 (Early detection) 可達成最小範圍風險控管 。
QNAP 的技術可以防疫的概念來比喻,機場防護、全篩到專責醫院醫治確診病患的過程,概念相似於資安防禦方案。機場防護就像是傳統的第一層防護,僅能過濾明確症狀患者卻無法避免讓無症狀的患者進入社區;專責大型醫院檢查項目廣泛且準確,但是收費昂貴又費時。機場防疫難以滴水不漏,還是有可能發生社區擴散感染。若能讓每個社區都設有快篩防護中心,精準篩檢初期症狀予以適當隔離治療,這樣不僅可以防止擴散,又能減少大型醫院或者全篩成本和時間限制。
2021 資安大會中,QNAP 將介紹全新資安產品 ADRA NDR 快篩防護網路交換器 (Adaptive screening network switch)。除了 ADRA NDR 系列,建議企業搭配採用 QNAP 儲存方案,完備的資料保護功能從快照 (Snapshot)、虛擬化應用、一寫多讀 (WORM) 到 QuObjects 冷儲存技術等,為您的企業打造一個精準有效又兼顧資料安全與內網防護的完整解決方案。