儲存月報第87期：從被動邁向主動：儲存平臺勒索軟體防護功能的進化

隨著勒索軟體的肆虐，儲存設備已成為勒索軟體攻擊的主要目標之一，促使各大儲存平臺紛紛引進對應的防護功能，以便在此提供抵禦勒索軟體威脅的手段。

隨著時間推移，儲存平臺整合的勒索軟體防護功能更為多樣化。最初，儲存廠商的焦點放在被動式的防護手段，例如WORM或不可變快照等不可變（Immutability）儲存技術，以提供不受惡意刪改的資料保存或複本，或是讓資料保存區域與外界隔離的Air-Gap技術等。但這些都是在勒索軟體發作後，幫助用於恢復資料的被動手段。

近1年多來，越來越多廠商在儲存平臺整合主動式的防護手段，包括威脅的偵測與識別，以便在勒索軟體發作之前或當下，發現與排除威脅，再結合原有的被動防護功能，構成更完整的儲存端勒索軟體防護方案。

典型的儲存端勒索軟體防護架構

當前應用在儲存平臺的勒索軟體防護功能，主要有不可變儲存、Air-Gap、資料快速還原，以及威脅偵測與識別等幾種：

不可變儲存技術

用於將資料鎖定在唯讀狀態，防止非授權的刪改，又分為用於資料本體與用於資料複本等2大類型，前者如WORM，後者則如不可變快照。

目前大多數企業級儲存平臺都能提供不可變儲存技術，但針對勒索軟體防護應用的不可變儲存，需要具備足夠的強固性，能抵禦攻擊者透過時間飄移攻擊來欺騙系統時間，進而影響不可變儲存的資料保存時間判定；同時，儲存系統的管理也需要較嚴格的操作驗證，以防止攻擊者修改不可變儲存的資料保存政策。

Air-Gap

將資料從主儲存系統複製到隔離的環境保存，為關鍵資料提供進一步的保護。

由於Air-Gap的目的是安全地保存關鍵資料複本，所以，原則上是與備份、歸檔系統結合使用，而非用於須承載線上即時存取服務的主儲存系統。

資料快速還原

透過快照等快速還原技術，利用預先建立的複本，迅速將受感染的資料或整個儲存區，還原到完好狀態。

目前絕大多數企業級儲存設備都內含快照功能，可供快速還原資料使用，但面對勒索軟體攻擊時，快照還原作業成功發揮功效的前提，是快照複本自身的完好、未受感染與刪改，所以快照必須配合不可變儲存技術與威脅偵測一併使用，排除受感染的複本，並避免複本本身遭到刪改。

資安威脅偵測與識別

基本的資安威脅偵測，是透過持續監控儲存設備的存取行為，當預設的特定異常行為出現時，向管理者發出警示。更深度的監控與分析作業，是結合機器學習或AI技術，學習用戶的存取行為模式，進而可以即時分析與發現資料與存取行為的異常，更精確地識別出威脅。

一般的存取行為監控與分析功能，可以整合在儲存設備自身的管理控制臺，至於結合機器學習與AI的深度威脅偵測與識別，通常是搭配儲存廠商的雲端管理平臺，或是獨立的威脅分析平臺來執行，以免機器學習與分析作業的負載影響用戶端設備的效能。

典型的儲存端勒索軟體防護方案組成

前述不同面向的儲存設備防護技術，分別在勒索軟體攻擊的事前、事中、事後階段，提供抵禦攻擊的手段。

整合在雲端或獨立管理平臺中的威脅偵測與識別功能，可在攻擊發生前與發生當下，即時向用戶發出警示，從而啟動對應的措施。

至於儲存設備內含的不可變儲存與快照還原技術，則能提供安全的資料複本，以便在攻擊發生的事後，將資料回復到正常狀態。

而基於Air-Gap的隔離環境，則為關鍵資料提供多一層的保護。用戶需要定期將關鍵資料複製，並放到Air-Gap隔離環境保存。

更進一步，有些廠商還提供防護措施的自動化聯動觸發功能，例如在偵測到資安威脅時，自動建立不可變快照，或是鎖住使用者的存取等，藉此更即時地阻擋威脅。

一線大廠的勒索軟體防護方案

在兩三年前，只有少數儲存廠商提供個別的勒索軟體防護功能，這些安全機制既不普遍，多種防護功能之間也沒有組成完整的體系。而經過這段時間的發展，目前多數一線儲存廠商，都能提供涵蓋前述面向的完整勒索軟體防護技術。

首先，是儲存設備內含的不可變儲存功能（WORM或不可變快照），以及用於快速還原的快照功能；其次，是提供異常狀態監控與威脅偵測的雲端管理平臺或獨立平臺；最後，再搭配提供進階保護的Air-Gap隔離保存環境。

接下來我們先從幾家代表性的儲存大廠，檢視目前主流儲存設備的勒索軟體防護功能導入概況：

Dell

針對旗艦產品PowerMax儲存陣列，Dell提供基於CloudIQ雲端AI管理平臺的主動式勒索軟體威脅偵測服務。針對PowerScale與ECS儲存平臺，他們提供基於Superna Ransomware Defender的獨立保護套件，此套件擁有自動化的勒索軟體保護服務，包括自動偵測與識別威脅，並觸發一系列因應措施，如鎖定使用者、建立快照或暫停複製作業等。

在不可變儲存技術方面，PowerMax系列提供不可變的安全快照（secure snapshots），PowerScale則擁有SmartLock WORM功能。

另外，Dell還提供獨立的PowerProtect Cyber​​ Recovery（PPCR）解決方案，可將前端主儲存設備的複本，透過擁有AirGap保護的複製管道傳送到PPCR，然後利用PPCR的WORM技術保存這些複本，PPCR還整合Cyber​​ Sense掃描功能，可偵測與確保這些複本的完好。

Hitachi Vantara

透過Ops Center Analyzer、Ops Center Protector、Hitachi Data Retention Utility等工具，Hitachi Vantara提供涵蓋整個VSP儲存陣列家族的勒索軟體防護功能。

Ops Center Analyzer是Hitachi Vantara雲端AI管理平臺的一環，提供威脅偵測與警示功能。Hitachi Data Retention Utility與Ops Center Protector則是搭配VSP儲存陣列的軟體套件，前者提供WORM鎖定儲存區（Volume）選項，後者則能建立不可變快照。

Hitachi Vantara還提供與VM2020 Cyber​​VR平臺搭配的隔離式資料保全解決方案，可透過Ops Center Protector將VSP的資料複本，複製到CyberVR平臺的隔離環境保存，並利用後者的掃描、測試功能，提供隔離於生產環境的勒索軟體安全應用。

HPE

HPE可透過InfoSight雲端AI管理平臺，為旗下Alletra與Primera系列儲存陣列提供主動式威脅偵測服務。

針對不可變儲存技術，Alletra 9000與Primera系列儲存陣列擁有源自3PAR的Virtual Lock功能，兼具WORM與不可變快照雙重用途，既可鎖住整個儲存區，也能鎖住快照複本。至於Alletra 5000/6000，則有不可變快照功能。

另外，HPE也結合Zerto軟體平臺與Alletra儲存陣列，提供Zerto Cyber​​ Resilience Vault解決方案，透過內含的主動偵測與不可變儲存等功能，提供與生產環境隔離的資料複本安全保存環境。

IBM

基本上，目前IBM的區塊與檔案儲存產品，都提供勒索軟體保護功能。

在威脅偵測方面，IBM FlashSystem儲存陣列擁有特殊的硬體式勒索軟體偵測功能，可分析儲存陣列寫入模式，藉此判別威脅，還能將相關資料上傳IBM Storage Insights雲端平臺，做進一步分析。

而Storage Scale檔案與物件儲存平臺，則是透過IBM Storage Insights雲端平臺與Spectrum Control管理平臺，提供威脅偵測與警示能力。

在不可變儲存方面，FlashSystem儲存陣列提供Safeguarded Copy不可變快照，Storage Scale則有檔案層級的鎖定功能，以及Safeguarded Copy不可變快照。

另外，IBM也以FlashSystem與Safeguarded Copy為基礎，打造稱作FlashSystem Cyber​​ Vault的隔離式資料保全方案。

NetApp

為了本身長期發展的ONTAP儲存平臺，NetApp提供了自動化的勒索軟體偵測與防護功能。

利用ONTAP內含的ONTAP Security軟體功能，可學習與分析用戶存取模式，從而發現異常，還能透過Cloud Insights雲端平臺提供額外的監控服務，而在BlueXP雲端管理控制臺當中，也有專門的Ransomware Protection Dashboard介面，可幫助用戶評估威脅風險。

在不可變儲存技術方面，ONTAP平臺很早就擁有稱作SnapLock的WORM功能，近來又新增不可變快照功能。特別的是，ONTAP平臺還擁有威脅偵測與不可變儲存的自動聯動功能，當ONTAP Security的ONTAP Onbox功能偵測到系統異常，便會自動立即觸發、建立不可變快照，保存當下資料的複本。

Pure Storage

相較於其他一線大廠，Pure Storage也有勒索軟體防護功能。

例如，Pure Storage的Pure1雲端管理平臺，可為FlashArray與FlashBlade兩大產品線，提供操作異常偵測的服務。

在不可變儲存技術方面，FlashArray與FlashBlade都擁有稱作SafeMode的不可變快照功能。

未來儲存應用的必備功能

除了前述一線大廠外，其餘眾多中生代與新創儲存廠商，如DDN、Infinidat、Nutanix、StorONE、Nasuni、Panzura、Weka等，也都陸續在儲存平臺中引進了同類的勒索軟體防護功能，也讓這類功能成為未來儲存應用不可或缺的環節。