【臺灣資安大會直擊】備份廠商群起聚焦「備份乾淨度」，固守勒索軟體防護的最後屏障

備份平臺的勒索軟體防護能力發展，正邁向新的階段，從前幾年強調的隔離與備份複本不被惡意刪改，進化到確保備份內容不受惡意軟體感染。

我們在3、4年前的臺灣資安大會中，便見到Dell介紹其CyberRecovery資料避風港解決方案中，為備份複本提供的自動威脅偵測與分析功能，藉此確保備份複本內容的乾淨，從而可用於還原。

到了今年的臺灣資安大會，我們見到其他參展的備份解決方案廠商，如Druva與Nakivo，也各自在其產品中結合了惡意軟體掃描功能，以保證備份複本的可用性，這樣的發展趨勢，也讓針對備份複本的偵測與掃描，儼然成為當前備份平臺的必備能力。而作為這個領域領跑者的Dell，今年則提出「備份乾淨度」的概念，並介紹他們在備份複本偵測技術方面的新發展。

更進一步，這股儲存平臺引進惡意軟體掃描功能的風潮，不僅限於備份領域，

類似的威脅偵測功能，也已經擴散到通用儲存平臺上。例如NetApp在這次大會中，便介紹了整合在其ONTAP儲存平臺中自動化勒索軟體防護功能，包括基於機器學習的威脅偵測、自動觸發快照保護，以及複製/貼上與拖拉式的檔案還原功能。

接下來我們便以這次資安大會中展出的備份儲存平臺為核心，檢視針對備份複本的威脅偵測功能應用情況。

備份複本復原成功的基本前提

無論企業或個人，面對IT應用環境的各式意外或資安危害，備份複本是還原資料、回復IT應用環境的最後屏障。但備份複本要扮演好這個「最後屏障」的角色，前提是備份複本必須是可用與安全的。

所謂的可用，指的是備份複本的資料是否完整，能否成功進行還原作業。而安全則是指備份複本保存完好與否，防止複本受到非授權存取，或是惡意刪改等威脅。

以往的備份軟體，只關注於確保備份複本的可用性，例如可透過內建的備份工作檢查機制，幫助管理者確認每次備份作業是否正常完成，一些搭配虛擬平臺的備份軟體，還能提供臨時性的快速還原功能，可讓管理者用於檢驗備份複本能否正常還原與啟動。至於備份複本的安全性，備份軟體一般只提供存取控制與加密，防止複本遭到非授權存取。

而隨著勒索軟體威脅的持續升高，備份軟體又引進Air-Gap隔離設定的功能，可減少備份儲存環境的暴露，進一步降低備份複本遭到非授權接觸的機率，還能搭配具備WORM（一寫多讀）或不可變儲存（Immutable storage）功能的儲存媒體或儲存平臺，確保備份複本不受刪改。

當前的企業級備份儲存平臺，對於備份複本安全的保障，大都已能做到Air-Gap隔離加上WORM防刪改的層次。

備份複本的進階保護：對抗源頭感染

在4年前的資安大會上，我們首次見到Dell提出進一步的備份複本保護概念——結合威脅與異常偵測，檢測來源端的感染，進一步確保備份複本的可用性。

Dell指出，僅僅依靠離線備份與WORM這類被動保護手段，仍不足以保證複本的可用性——若用戶資料在來源端就已受到感染，寫入複本環境的備份複本連帶也會受到感染，雖然WORM的資料鎖定功能，可防止勒索軟體或病毒發作，但這些被感染的備份複本，也已無法用於還原，等同於是無效、不可用的複本。資料還原的目的，不只是將複本倒回而已，而是要將工作環境回復到正常運作的完好狀態，若將潛藏感染檔案的備份複本誤用於還原，將有導致感染復發的風險，導致工作環境無法回復到可運作狀態。

原則上，只要用戶保存的備份還原點夠多，總是能找出還未受到感染的可用複本。問題在於，用戶無法得知保存的眾多複本中，那些是未受感染的乾淨複本，依靠試誤來找出可用複本，顯然是不切實際的，合理的解決辦法，便是為備份儲存平臺結合一套主動式的威脅偵測機制，例如Dell整合在CyberRecovery解決方案中的CyberSense機制，藉由持續掃描保存庫中的備份複本，確認那些複本已受感染，那些複本乾淨可用。

但整合在備份儲存平臺中的偵測工具，目的並不是要取代一般的防駭工具，而是扮演最後防線的角色，如Dell舉例指出，防駭工具可達到99%的成功保護效果，但可能會有1%漏網之魚會隨著備份複本進入備份儲存區，此時便是CyberSense機制發揮作用的時候，可找出這些漏網之魚。

備份平臺主動偵測功能的擴散

繼Dell之後，我們在近2、3年的資安大會上，陸續見到其他備份平臺廠商也開始強調主動偵測功能。

例如Arrosoft（傲索科技）在2022年展出的的AirGap離線備份系統，與BaaS備份代管服務，便含有提供異常偵測與威脅分析的資料健檢、即時偵測與異常警報功能。Arconis在2023年大會展出的Cyber Protect平臺，則同時整合了威脅分析、掃描、監控與備份等功能。還有Veritas在2024年大會介紹的Veritas 360 Defense解決方案，以NetBackup備份平臺與Veritas Alta資料管理平臺為核心，整合威脅偵測、不可變儲存、隔離保護等功能。

到了今年大會會場上，我們又見到參展的Druva雲端備份服務，以及Nakivo備份軟體，也都強調結合掃描與偵測功能，確保還原乾淨資料的功能。

而從這幾年來的資安大會展出內容，我們可以清楚觀察到，針對備份複本安全性的分析與偵測，已經成為當前備份平臺的必備功能之一，從Dell、Veritas等老牌備份產品供應商，到Druva、Nakivo這些新興備份平臺，都已先後發表相關應用。

從被動保護邁向主動偵測：「備份乾淨度」的概念

在導入不可變儲存技術，防止備份複本遭到惡意刪改之後，各大備份儲存平臺又陸續引進主動偵測技術，找出可能受到來源感染的備份複本，確保備份複本的乾淨與可用，進而形成備份乾淨度的概念。

備份複本掃描偵測功能的擴散

已有越來越多備份軟體與儲存平臺，整合了勒索軟體掃描與偵測功能，藉以確保備份複本的乾淨與可用。如這次資安大會參展的Nakivo備份軟體（京稘科技代理），便內含了在還原時掃描備份複本的功能。

備份平臺主動威脅偵測功能的進階發展

在今年資安大會上，我們除了見到有越來越多廠商跟進推出備份複本主動偵測功能外，還見到一些備份儲存平臺廠商已不僅止於「提供威脅偵測能力」，還強調對於威脅偵測與保護能力的一系列進階發展。

例如Druva便針對因應勒索軟體威脅的網路韌性，提出分為5個層次的保護架構，第1級是確保資料不變性；第2級是透過帳戶保戶、多因素登入等機制確保備份安全，以及備份安全狀態的掌握能力；第3級是透過威脅偵測機制，將乾淨與受影響的複本相互分離，藉此加速從攻擊事件中恢復；第4級是透過威脅搜尋、事件調查，避免再次受到感染；第5級則是增強偵測。

而身為備份威脅偵測應用先驅者的Dell，在今年大會則提出「備份乾淨度」的概念，更直觀地統合了備份複本威脅偵測相關應用的手段與目的——確保為用戶提供乾淨的備份複本。

同時Dell也介紹他們為了因應勒索軟體威脅的進化，在威脅偵測技術上的新發展。

Dell指出，標準的檔案文件是由metadata、Header與Content，前2者合計有12種屬性組合，後者有超過200種檔案屬性組合。但新的勒索軟體變異已能迴避metadata加Header的屬性偵測，而針對Content的屬性掃描，又極為耗費資源。而他們則透過整合DPS備份軟體與CyberSense偵測機制，可以直接從備份檔案格式掃描內容，大幅節省時間與資源。

除此之外，Dell還憑藉資源充沛、用戶基礎廣大的優勢，建立了10種以上用於辨識勒索軟體威脅的AI/機器學習模型，利用包括超過1,500個用戶、數PB樣本、7,000種以上變體樣本，再結合透過訂閱、公開募集與實際攻擊案例資料，反覆地訓練與學習，進而產生新的機器學習模型集，為用戶提供高精確度的備份乾淨度報告，Dell宣稱可達到99.997％的勒索攻擊行為判斷準確度，可幫助用戶精準找出受感染的備份複本，確保可用的乾淨複本。

依我們推測，其他備份儲存平臺的威脅偵測功能，應該也是採取與Dell類似的運作方式，藉助AI與機器學習技術來識別勒索軟體威脅。

分析備份乾淨度的技術挑戰

Dell表示，檢測備份乾淨度的困難，在於隨著勒索軟體的不斷變異，單純檢測基本檔案屬性的方式，已越來越難以有效偵測勒索軟體；但若要掃描更詳細的內容屬性，需要的資源又過於龐大。Dell是透過整合掃描工具與備份軟體檔案格式，來克服這項困難。

借助AI技術識別備份中的勒索軟體威脅

為了因應勒索軟體的不斷變異，Dell引進了超過10項AI與機器學習模型，結合以全球1500萬用戶為基礎的龐大樣本，建立高精確度的勒索軟體攻擊行為判斷模型，幫助找出受感染的備份複本，確保備份的乾淨與可用。