儲存月報第78期：聯防架構確保備份不被竄改

時間又到了每年3月31日的世界備份日（World Backup Day），一個提醒大家重視備份、落實資料備份的日子。

面對勒索軟體持續肆虐全球的今日，備份的落實，已不僅止於傳統的「3-2-1」原則——資料至少備份3份、採用2種備份儲存型式，其中1份備份位於異地，同時還要確保備份不受勒索軟體侵害，才能確保備份是有效的。

備份是資料儲存的「保險」，是用戶遭遇資料毀損災難時，賴以還原的手段。然而在今日，備份已成為勒索軟體攻擊的目標，一旦備份系統遭到勒索軟體侵害，備份，企業也就失去這最後一道保險。所以沒有勒索軟體防護措施的備份環境，已經稱不上是有效的備份。

備份的勒索軟體防護手段

面對勒索軟體威脅，當前多數備份軟體與備份儲存系統，已陸續引進一系列防護措施來遏止勒索軟體的危害。

目前最普遍使用的備份保護措施，包含了3種技術型式：威脅偵測、Air-Gap，以及不可變儲存（Immutable storage）。

威脅偵測系統屬於主動防護措施，在備份資料存取的過程中，透過一系列偵測措施，例如檢測檔案簽名（File Signatures）是否錯誤，偵測檔案名稱、擴展名稱或存取權限是否出現異常更動，以及是否出現大規模檔案內容的更動或刪除行為等，來判斷是否有勒索軟體侵入，並向用戶管理者發出警示。

Air-Gap與不可變儲存則屬於被動防護手段。Air-Gap能將備份環境與外界隔離，藉此降低備份環境暴露在網路攻擊中的機會。而一寫多讀（Write Once Read Many，WORM）等不可變儲存技術，因為能夠鎖定備份複本的狀態，杜絕備份複本遭到刪除、覆蓋或修改。

整體而言，這些防護措施覆蓋了備份應用的所有環節，從備份資料的傳輸與寫入，到備份複本的儲存保管。但即便用戶的備份環境擁有了前述全部的防護措施，一系列操作設定上的細節，將會影響到這些防護措施能否有效運作，從而決定備份保護的成敗。

影響不可變儲存的因素

一般而言，WORM等不可變儲存技術可以鎖住備份複本的狀態，不允許更改予刪除，因而當用戶遭受勒索軟體攻擊時，仍有不受攻擊影響的安全複本，可用於還原資料。

但不可變儲存技術要能有效發揮作用，有賴於4個條件的配合：

1.備份複本在受到不可變儲存技術鎖住之前，必須是「乾淨無毒」的。

不可變儲存技術屬於「被動」型式的防護手段，不能判別其鎖住的資料是否含有勒索軟體，如果勒索軟體潛伏時間較長，很可能在用戶利用WORM功能鎖住備份複本之前，備份複本就已遭受感染，那麼這些受感染的複本，就算被WORM鎖住，也無法作為有效的複本來使用。

然而，這也意味著，WORM等不可變儲存技術，並不能單獨發揮防護勒索軟體的作用，必須結合威脅偵測技術，先行主動偵測與掃描備份複本，確保備份複本的完好，然後WORM的鎖定功能才有實質意義。

2.備份複本在被不可變儲存技術鎖住前，必須是「驗證有效」的。

不可變儲存技術只是被動地鎖住指定儲存媒體或儲存區的寫入行為，並無法判別其中的資料是否完好。但由於沒有足夠的時間，許多用戶都不能確實驗證備份複本是否確實能還原資料，以致難以發現備份複本的資料是不完整或受損的，而這些不完整的備份複本，即便使用WORM來鎖定狀態，也無法成功用於還原。所以定期執行完整的備份驗證程序——不只是檢驗備份作業成功與否，還包括模擬的還原程序，仍是備份應用中不可或缺的一環。

3.必須確實地設定備份複本的WORM鎖定保留期限（retention time），才能有效保護資料。

當備份複本被設定為WORM不可變之後，攻擊者便無法直接刪除這些WORM備份複本，但仍可透過其他方式來攻擊備份環境，達到刪除備份的效果。例如，故意向備份環境寫入大量資料，導致備份儲存區滿載，此時可能導致備份系統為了維持運作，強制刪除較舊的備份複本，以便釋放備份儲存空間。

但設定了保存期限的WORM備份複本，系統便無法強制刪除，即便儲存空間滿載會導致備份系統陷入停擺，無法寫入新的備份資料，但WORM備份複本仍能保存下來。

4.WORM技術必須結合系統時間保護技術才能有效運作。

軟體類型的不可變儲存技術，是基於系統時間來設定與判別鎖定資料的期限，若攻擊者能修改備份儲存系統的時間——也就是所謂的「時間切換」（time zapping）攻擊，便有可能藉由竄改系統時間，將系統時間提前，導致不可變儲存功能提前解除鎖定，從而讓資料暴露在攻擊中。因此提供不可變儲存技術的儲存設備，必須提供防竄改時鐘（Tamper-proof clock），才能確保不可變儲存的鎖定期限功能有效。

影響Air-Gap的因素

Air-Gap的目的，是讓備份環境與可能的威脅來源隔離，特別是斷開與網際網路的連接，減少備份複本暴露在攻擊下的機會。

但實際上只有磁帶、光碟這類可以實體移除、分離保存的抽取式儲存裝置，才能做到徹底的Air-Gap效果，也就是實體的離線（offline），透過網路將備份資料寫入磁帶或光碟後，就能將這些儲存媒體取出，完全與前端生產環境斷開，甚至斷電，徹底確保攻擊者無法接觸與存取這些備份儲存媒體。

至於基於磁碟儲存或雲端儲存的備份儲存環境，雖然許多聲稱能提供Air-Gap機制，但其實都只是邏輯架構與設定上的「虛擬」隔離，利用存取控制技術來隔離備份環境與生產環境，而非真正斷開實體的網路連結，因而仍然存在著因不當的系統配置、系統漏洞或人為操作錯誤，導致隔離失效，備份資料暴露在網路上的可能性。

除了徹底檢查Air-Gap涉及的網路配置、盡可能修補系統漏洞，另一種解決此問題的折衷辦法，是採用D-D-T之類的架構，將磁帶納入備份環境的末端，作為安全的離線資料保存手段。

備份保護機制的實施

隨著攻擊手法的日新月異，我們不能期望威脅偵測系統總是能夠及時發現所有攻擊行為，因此，必須同時搭配Air-Gap與WORM等被動防護措施，才能提供完整的保護。另一方面，僅僅依靠被動防護措施，也不能保證備份複本可用，必須結合威脅偵測來確認複本的可用。

所以，威脅偵測、Air-Gap與不可變儲存這3類技術，對於備份保護來說是缺一不可。

而在實際的建置方式上，這3類技術既能以備份軟體為核心來部署，也可透過獨立的備份保護環境來部署。

目前許多備份軟體都內含威脅偵測功能，並提供Air-Gap架構的建置設定指引，只要再結合提供WORM功能的備份儲存設備，就能構成完整的勒索軟體防護機制。

也有一些廠商提供All-in-one的備份保護系統產品，結合了威脅偵測、Air-Gap與不可變儲存功能，用於搭配用戶的備份環境，幫助備份環境確保安全的複本，最典型的便是Dell的Cyber Recovery。

但無論哪一種部署與實施方式，都須注意到前述細節設定，才能確保保護措施的有效。