去年5月,香港金融管理局向所有認可金融行業發布了一份備忘錄,要求金融機構嚴格實施第三級數據備份 (STDB) 以應對網絡攻擊,更特別針業於疫情期間不斷增加的勒索軟件攻擊。指引由香港銀行公會為銀行制訂,涵蓋九大原則,包括:數據不可更改(Immutable)、延續、分隔、安全、可控、可驗證、保證、高效能及兼容,當中數據不可更改及復原尤為重要。
勒索軟件攻擊通常遵循特定模式及程序,首先入侵機構的防火牆,並開始潛伏,勒索軟件一旦進入防火牆便會不斷收集訪問資訊進入系統,並開始於系統內橫向移動,黑客很多時透過RDP(遠端桌面協定)等進行遠程操作、以及建立命令及控制,並識別敏感數據及部署勒索命令執行,同時,亦會開始為取得的數據進行加密。
數據完整不可更改的重要性
很多時黑客都在無聲無息地入侵系統,機構需把握當中的潛伏期,以迅速將數據復原至入侵前至為關鍵,具備快照及數據備份效能的系統更是數據防護的重要一環。
快照(Snapshot) 是數據復原的最有效及最快速方法。快照主要是存取唯讀數據及資料,提供系統內的數據資訊及狀態記錄,以最高精細度幫助受害機構復原數據,無法作出任何變更。快照的設計目的旨在對系統影響最小的情況下進行相同的記錄,保留一到兩個月前的快照記錄,因此通常儲存於主要儲存裝置上或周邊,有助快速復原數據。數據備份(Backup)相對快照的保留時間較長,主要儲存於次級儲存裝置中,並且因其製作需時,不會太頻繁地進行備份,通常於日常工作時間以外的備份平台製作。
建構快速復原環境
無論機構使用快照或備份,快速復原數據至關重要,以免阻礙業務日常運作。同時,機構需要保留足夠的儲存空間以存取數據副本,以便快速復原大規模數據。機構在配置企業級儲存產品時,開始時需選擇主要處理非結構性數據的固態硬碟,備有快照及備份的效能,能夠快速復原數據。同時,機構亦需確定系統無法刪除及無法移動快照部份,這樣便能阻截黑客從快照下手。
全新NAND快閃記憶體帶來不同大小容量及高速度儲存效能,具有TLC或QLC快閃記憶體的儲存方案能夠以接近機械式硬碟HDD的高容量運作。此外,系統的負載能力亦需考慮其中,目前最高性能的固態儲存方案FlashBlade可提供超過每小時270TB的負載效能,足以讓大部份機構快速復原數據,由於大部分供應商都未能提供此負載水平,建議機構需細閱有關規格。
網絡攻擊將會變得更強及更複雜,因此機構需制定有效的數據保護策略,並配罝高效能儲存設備,迅速將數據復原至被攻擊前,除了能夠復原關鍵數據,以確保業務發展可持續性。
作者:Pure Storage 港澳區總經理楊玉珊
