NetApp
在已迈入第10年的台湾资安大会历史中,储存与备份、资料保护厂商,参与台湾资安大会是晚近几年的事。
过去,资安防护主要是在网路端或应用程式端进行,但面对勒索软体威胁的持续肆虐,储存设备与备份保护平台现在也无法置身事外。显然的,只要被攻击的用户手上还有可用的资料复本,那么只要进行资料复原即可,而不会轻易向攻击者屈服。于是备份与储存环境,也已成为勒索软体攻击的目标。
为了避免自身成为防护的缺口,备份与储存平台除了强化权限管理、加密等一般通用性的资安防护措施外,也陆续导入一些针对勒索软体特化的防护手段。
在这几年的台湾资安大会中,我们便见到在储存设备领域,勒索软体防护功能的持续扩展。最初的出发点,是导入不可变储存技术(immutable storage),防止资料复本遭到恶意删改。下一步是引进主动侦测能力,确保资料干净、不受感染。而到了今年的资安大会,我们进一步见到,储存端已开始形成一套涵盖资料治理、识别、侦测、资料保护、威胁回应与回复等多个面向的完整防护架构。
储存端勒索软体防护的3阶段进化
从过去3年参与资安大会的储存厂商,可以清楚见到储存产品在勒索软体防护能力的3阶段进化:
●第1阶段:从不可变储存技术应用起步。
利用不可变储存技术锁住资料、防止删改的特性,可以遏阻勒索软体的发作,阻挡其加密或删除资料,借此提供不受窜改的复本。
例如Dell连续数年在台湾资安大会中介绍的CyberRecovery解决方案,便是是以PowerProtect DD储存伺服器的Retention Lock一写多读技术(WORM)为核心,结合Air-Gap隔离功能,打造出一个隔离的安全储存区域,用于保存关键资料的备份复本。
除了锁住整个储存区的WORM类型不可变储存技术外,锁住快照复本的不可变快照(Immutable Snapshot),也迅速获得应用,例如Pure Storage与NetApp在大会中介绍的SafeMode与Tamperproof Snapshot功能,都是搭配储存阵列平台的不可变快照。
●第2阶段:结合主动侦测机制。
主动侦测功能可以结合备份储存环境,定期扫描与侦测备份复本,排除受到感染的备份复本,帮助确认备份复本的可用性,确保能提供「干净」的复本以供复原;主动侦测功能也能也能应用于线上生产储存环境,监控存取I/O是否存在异常,并在发现异常时即时应对。
在过去几年资安大会中,我们见到整合于储存系统中的主动侦测功能,便有Dell整合于CyberRecovery中的CyberSense自动侦测与分析功能,
Arrosoft(傲索科技)的AirGap离线备份系统与BaaS备份代管服务中,所提供的资料健检、即时侦测与异常警报功能。还有NetApp于ONTAP储存平台中提供的异常行为侦测、反勒索软体侦测功能功能,还有NetApp整合于Cloud InSights云端监控服务的Storage Workload Security(SWS)使用者存取行为监控服务。
●第3阶段:形成涵盖多个面向的完整防护架构
当储存设备有了保护资料不受删改的不可变储存功能,以及主动侦测功能,还有与快照连动的异常侦测能力,若能再进一步整合备份/还原服务,并加上一个监控与回应勒索软体威胁的控制台介面,就能构成一套涵盖资料保护、威胁侦测、回应、资料复原等不同面向,完整的安全防护架构。
我们在今年的台湾资安大会中,便见到NetApp与Veritas,提出了这种拥有涵盖多个面向的完整储存端防护架构,也是储存端勒索软体防护应用的最新进化型态。
符合NIST框架的多面向储存端防护架构
今年资安大会中,在储存端资安防护方面,我们印象最深刻的便是NetApp提出一套符合NIST资安框架6大面向——识别、保护、侦测、回应、复原,以及新增加的治理(Govern),完整的安全防护架构。
许多储存厂商在介绍产品安全功能时,往往也会以NIST资安框架作为的切入点,但其产品功能组合,多半只能涵盖NIST框架中的保护、复原、侦测等几个面向。
而NetApp则透过整合旗下ONTAP储存平台与BlueXP云端管理平台,所内含的一系列资料保护功能与服务,构成一套完整NIST资安框架6大面向的储存端防护架构。
在识别方面,NetApp提供了BlueXP Ransomware Protection勒索软体防护控制台,与BlueXP Classification资料扫瞄、分析与分类服务,可以帮助用户理解应用环境与资料含有的风险。
在保护方面,则有BlueXP Ransomware Protection控制台、BlueXP Disaster Recovery云端灾难复原服务、BlueXP Backup and Recovery云端备份还原服务,FPolicy资料筛检服务,VScan防毒伺服器、SnapLock一写多读功能、防窜改快照,还有加密,以及多因素认证等,利用这些功能与服务,可以提供多种不同面向与层级的保护措施。
在侦测方面,则有自主式勒索软体防护(Autonomous Ransomware Protection,ARP)侦测功能,搭配第3方防毒软体的VScan防毒伺服器,以及基于云端的Storage Workload Security(SWS)使用者存取行为监控服务等,可以帮助用户识别与发现资安威胁。
在回应方面,则透过ARP侦测功能与SWS监控服务在发现威胁时发出警示,并触发快照与存取封锁,还能透过FPolicy来封锁已知的恶意档案副档名。
在复原方面,则有BlueXP Ransomware Protection控制台、BlueXP Disaster Recovery与BlueXP Backup and Recovery服务,还有搭配快照的SnapRestore储存区还原功能,帮助用户在遭受攻击后,将资料复原到完好状态。
而在治理方面,则透过BlueXP Ransomware Protection控制台、BlueXP Classification资料识别服务,以及ActiveIQ云端监控平台,帮助用户管理整个应用环境的资安风险。
在NetApp前述众多功能与服务中,其实只有BlueXP Ransomware Protection控制台,以及新的ARP侦测功能,是近期推出的新服务,其余都是已有的功能与服务。但先前都是各自发展与应用,而现在NetApp则将这些功能与服务统合为基于NIST框架的完整防护架构,可算是储存端防护应用的创举。
类似的,Veritas介绍的Veritas 360 Defense架构,也是一套涵盖广泛的储存端防护架构,以NetBackup备份平台与Veritas Alta资料管理平台为核心,结合第3方合作厂商产品而成,可提供威胁侦测、不可变储存、隔离保护、资料复原等方面的应用。
在这次台湾资安大会中,NetApp以NIST框架的6大功能面向,统整了该公司旗下15项安全防护功能与服务,展现了迄今最全面的储存设备端安全防护架构。
图片来源:NetApp
勒索软体防护将成为储存产品必备功能
从这几年的台湾资安大会中,我们可以清楚见到勒索软体防护功能在储存产品上的扩散,虽然就目前来说,提供这类防护功能的储存平台,依然是以备份应用类型平台为主,但已开始朝向通用储存平台扩展。
更进一步,我们可以预见,勒索软体防护将逐渐成为储存平台必备的内建功能之一。早先有一些储存厂商也能为通用储存设备提供勒索软体侦测与回应功能,但需要搭配第3方产品才能实现,而NetApp则直接将这项功能内建在ONTAP平台内,大幅提高了部署与操作的简便性。而在NetApp等先驱厂商的推动下,现在有越来越多通用储存平台开始内建勒索软体侦测功能,例如CETRA、Panzura等,日后必然会有更多厂商跟进。