在資安領域,worm這個詞,指的是會自我複製增殖的「蠕蟲」程式,不過在儲存領域,則是一寫多讀(Write Once Read Many,WORM)技術的縮寫。

原本WORM一寫多讀技術,是針對法規遵循需求的資料保管應用,與資安領域沒有太多聯繫。不過從3、4年前起,我們便注意到WORM技術具備了對抗勒索軟體威脅的潛力,可利用WORM技術鎖住資料狀態、防止刪改的能力,阻擋勒索軟體對資料的危害。

經過幾年時間下來,我們觀察到有越來越多廠商採取了這條路線,以WORM技術做為勒索軟體防範方案的核心。在今年的臺灣資安大會中,我們便見到數家廠商展出了這種型式的解決方案,例如Dell的CyberRecovery,以及NetApp、Cohesity等廠商整合在產品中的防護功能等。

更進一步,WORM除了被用於專門的解決方案以外,也有越來越多的通用儲存設備,包括NAS與SAN儲存陣列等,以不同型式引進了WORM功能,藉此提供抵禦勒索軟體的基本能力,例如Pure Storage這次在會場展出結合快照的Safe Mode功能,便是其中的典型。這些發展也顯示了,WORM技術的應用範圍,在這幾年間已有顯著擴大,成為資安防護不可或缺的一環。

打造資料安全儲存的堡壘

在勒索軟體解決方案中,WORM技術扮演的角色,是幫助建構安全的資料複本儲存區域,以便在災難發生時,提供安全可用的複本,讓用戶復原生產環境。

針對這類用於復原的「安全複本」需求,一些廠商推出了專門的解決方案,例如Dell的CyberRecovery,Arconis Cyber Protect,另一些廠商則透過既有產品的功能組合,來提供相同的應用效果,例如NetApp、Cohesity等。

Dell仿效美國政府的避風港計畫,將其CyberRecovery稱為資料避風港,突顯這套解決方案有別於一般的災難備援架構,可作為抵禦勒索軟體威脅的資料避風港。

Dell強調,由於勒索軟體具備「傳播感染」的特性,因而不是一般災難備援機制所能應付。一般的災難備援機制,為了盡可能維持服務的持續性,主站點與備援站點之間都是網路連通,並利用持續性的同步機制,維持雙方的資料同步,然而這個特性,在遭遇勒索軟體威脅時,卻反而成為傳播感染的管道,受到感染的主站點,立即便會透過同步機制,將病毒傳播到備援站點,以致備援站點的複本資料也受到感染,無法用於復原。

而CyberRecovery則透過結合離線備份與WORM技術,提供阻絕病毒傳播與感染複本資料的手段,從而能為用戶提供用於還原的「安全複本」。藉由離線備份,可降低複本儲存環境暴露在威脅下的機率;WORM則可鎖住複本內容狀態,即便複本已遭到感染,也不會遭到病毒的竄改或刪除。

Arconis的Cyber Protect則將威脅分析、掃描、監控與備份等功能,結合在一個平臺下,雖然本身沒有提供WORM功能,但Arconis的產品能透過支援WORM儲存設備(如磁帶),來達到相同的目的。

NetApp則透過其ONTAP儲存平臺內含的WORM功能(稱作SnapLock),以及快照與遠端複製等功能的組合,也能達到提供離線安全複本的效果,此外還能搭配專屬的Active IQ雲端管理平臺,從雲端監視用戶端設備疑似勒索軟體行為的異常存取,並主動向用戶發出警告。類似的,Cohesity的SnapFS儲存平臺,也提供了Immutable snapshots與Data Lock等WORM功能.可幫助用戶建立不可刪改的備份複本。

Dell連續2年在臺灣資安大會上展出CyberRecovery資料避風港解決方案.結合離線備份與WORM防寫技術,提供因應勒索軟體入侵的資料復原應用。

Cohesity的SnapFS儲存平臺,也提供了Immutable snapshots與Data Lock等WORM功能.可幫助用戶建立不可刪改的備份複本。

改善復原效率的進階作法

透過WORM技術的應用,理論上便能打造出不受勒索軟體侵害的安全複本儲存環境,我們過往對這類解決方案的認知,也是到這個層次為止。不過在這次資安大會中,Dell與Acronis另外指出,除了依靠WORM技術來提供可用於復原的安全複本外,還要考慮到復原作業的效率。

離線複本與WORM技術的應用,是著眼於複本環境本身的安全性,但資料很可能在來源端就已受到感染,以致寫入複本環境的複本,其實也已受到感染,雖然在WORM技術的鎖定下,受感染複本中的勒索軟體無法發作,但受感染的複本已不能用於還原。所以用戶在進行復原時,必須透過多還原點機制,找出未受感染的複本版本來進行復原。

理論上,只要用戶保存的還原點夠多,總是能找出未受感染的複本,然而問題在於,這個過程幾乎完全依賴試誤,十分缺乏效率,用戶可能花了許多時間執行還原作業後,才發現選用的還原複本也是遭到感染的,以致還原作業成為徒勞。

這方面Dell與Acronis的解決方案,都含有進一步的措施,另外結合了威脅偵測與分析功能,可以幫助用戶檢測與排除受感染的複本,確保複本環境中所有複本資料的可用性,進而也能大幅提高復原的效率。

Dell CyberRecovery在備份複本儲存環境結合了威脅分析與偵測功能,可排除遭到病毒感染的備份複本,確保備份複本的可用性,進而提高資料復原的效率。

大幅擴散中的WORM技術

我們在今年資安大會中看到的WORM技術應用現況,與4年前首次介紹WORM用於勒索軟體防護的技術專題:「WORM一寫多讀技術的資安新應用」時,已有相當大的轉變。

3、4年前,除了Dell CyberRecovery等極少數先行者之外,絕大多數WORM產品.都是針對法規遵循應用的特殊用途儲存設備,除了金融等少數受監管行業較多採用外,WORM的應用相當有限。

不過到了今日,情況已經完全不同,WORM成為對抗勒索軟體威脅的熱門技術之一,而勒索軟體防護也反客為主,成為WORM技術主要的應用標的。

在產品應用上,WORM技術也跨出法規遵循專用儲存設備的範疇,不僅成為本地端或雲端勒索軟體防護解決方案的核心功能,也開始被應用到通用儲存設備上,過去2年以來,我們便觀察到有越來越多SAN與NAS儲存設備,都陸續引進WORM技術,現在甚至連入門級儲存設備,也開始跟進提供WORM相關功能。

依照這樣的趨勢,我們可以預期,WORM很可能會像快照、複製技術一樣,成為所有儲存設備必備的資料服務功能之一,普及到所有用戶環境中。

Pure Storage透過結合在FlahArray儲存陣列快照功能中的SafeMode,為SAN儲存設備提供了資料防竄改功能,可用於抵禦勒索軟體威脅。

 

一寫多讀(WORM),或者說資料不可變(Immutable)技術,最初是為了長期資料保存或法規遵循應用而誕生,用於確保寫入儲存媒體或指定儲存區的資料,無法再被更改,以提供法律與訴訟上的有效性。 而WORM技術保存資料的特性,在資安方面也能發揮作用。由於WORM能保證寫入後的資料,狀態不再變化——既不可刪除,也不可更改,徹底「鎖住」了資料狀態,那麼自然也不會遭到勒索軟體的加密或刪除。當WORM用於備份儲存時,即使備份複本已感染勒索軟體,但由於WORM機制已經「鎖住」了資料狀態,先天上就遏止了勒索軟體發作、加密或刪除資料的可能性。

 

熱門新聞

Advertisement