จากข่าว WannaCry Ransomware ที่แพร่ระบาดอย่างรุนแรงจนได้รับความสนใจจากสังคมเป็นอย่างมากนี้ คำแนะนำหนึ่งที่ได้ผลที่สุดก็คือการ Backup หรือสำรองข้อมูลเอาไว้ภายนอก เพื่อถึงแม้ Ransomware ตระกูลใดๆ จะมาเข้ารหัสไฟล์ของเราจนใช้งานไม่ได้ก็ตาม แต่เราก็ยังจะได้สามารถกู้คืนข้อมูลทั้งหมดกลับมาได้โดยไม่ต้องจ่ายค่าไถ่ แต่คุณรู้หรือไม่ว่า “ไม่ใช่ทุกระบบ Backup ที่จะสามารถปกป้องคุณจาก Ransomware ได้” ในบทความนี้เราจะมาเจาะลึกกันเรื่องการออกแบบระบบ Backup ให้ตอบโจทย์การรับมือกับ Ransomware โดยเฉพาะ
“การป้องกันดีกว่าการแก้ไข”
ถึงแม้ว่าองค์กรหลายแห่งจะมีความพยายามอย่างยิ่งยวดในการนำเอาระบบและกระบวนการรักษาความปลอดภัยที่ดีที่สุดมาติดตั้งแล้วก็ตาม มัลแวร์เรียกค่าไถ่ (Ransomware) ก็ยังคงเป็นปัญหาที่ลุกลาม และแพร่ ระบาดมากขึ้นอยู่ดี ดังที่ปรากฏเป็นข่าวที่ผ่านมา
ค่าไถ่ข้อมูลเฉลี่ยที่เรียกร้องอยู่ตอนนี้อยู่ที่ 679 เหรียญสหรัฐต่อผู้ใช้งานที่ตกเป็นเหยื่อแต่ละคน โดยเกือบครึ่งหนึ่งของการโจมตีมีผลต่อผู้ใช้มากกว่า 20 รายต่อหนึ่งองค์กร โดยเอฟบีไอยังมีรายงานว่า มูลค่าของค่าไถ่นี้อาจสูงถึง 5,000 เหรียญสหรัฐ ต่อผู้ที่ตกเป็นเหยื่อแต่ละคน ดังนั้นค่าใช้จ่ายที่ต้องชำระเพื่อเรียกคืนข้อมูลกลับมาจึงสูงขึ้นอย่างรวดเร็ว แต่ถึงแม้ว่าเหยื่อที่ได้รับผลกระทบจะได้มีการจ่ายค่าไถ่เพื่อกู้คืนข้อมูลของพวกเขา ปัญหาก็อาจยังไม่ถูกแก้ไข เนื่องจากมีการสำรวจพบว่า 19% ของบรรดาผู้ที่จ่ายค่าไถ่เพื่อกู้คืนข้อมูลนั้น ยังคงไม่สามารถเข้าถึงข้อมูลหรือเรียกข้อมูลของพวกเขากลับคืนมาได้ และมีการสนับสนุนเพียงเล็กน้อยจากเจ้าหน้าที่ หรือหน่วยงานที่เกี่ยวข้องเท่านั้น
อย่างที่เกริ่นไว้ในตอนต้น แนวทางในการปฏิบัติด้านการสำรองข้อมูล จึงเป็นการลดความเสี่ยง ที่สามารถทำให้ความเสี่ยงเหล่านี้เป็นเรื่องง่ายสำหรับองค์กรได้ดังต่อไปนี้
1. Backup ข้อมูลไปยัง Storage ภายนอก ที่เครื่องแม่ข่ายหรือลูกข่ายไม่สามารถเข้าถึงข้อมูลได้เองโดยตรงแบบ Volume หรือ Folder
การสำรองข้อมูลไปยัง Volume ที่ทำการ Mount จาก NAS หรือ File Sharing Server มาเป็นลักษณะ Folder หรือการ Mount iSCSI/FC มาเป็น Volume สำหรับทำการสำรองข้อมูลนั้น ไม่สามารถป้องกัน Ransomware ได้เลย เพราะหากเครื่องลูกข่ายหรือแม่ข่ายของคุณเกิดติด Ransomware ขึ้นมาจริงๆ ไฟล์ที่เครื่องนั้นๆ มองเห็นทั้งหมดก็จะถูกทำการเข้ารหัสไปด้วย ซึ่งก็จะรวมถึงไฟล์ที่ถูกบันทึกอยู่ใน NAS, File Sharing Server และ SAN Storage ด้วยเช่นกัน
แนวทางที่ปลอดภัยจาก Ransomware มากกว่านั้น ก็คือการสำรองข้อมูลไปยัง Volume ปลายทางผ่านทาง API, การเรียกใช้ Object Storage หรือบริการต่างๆ บน Backup Software โดยเฉพาะ ซึ่งไม่ได้มีการเปิดให้เครื่องแม่ข่ายหรือลูกข่ายเข้าถึงไฟล์เหล่านั้นได้ในลักษณะ Folder หรือ Volume นั่นเอง เพราะ Ransomware จะไม่สามารถโจมตีไปถึงไฟล์เหล่านั้นได้ ทำให้ข้อมูลที่สำรองเอาไว้ของเรายังคงปลอดภัยอยู่เสมอ
2. Backup ข้อมูลให้บ่อย เมื่อถูก Ransomware โจมตีจะได้ไม่เสียข้อมูลไปเยอะ
สำหรับนโยบายการสำรองข้อมูลในสมัยนี้ อาจต้องมีการสำรองข้อมูลให้ถี่ขึ้นซักนิด โดยอาจจะทำการสำรองข้อมูลรายวัน หรือถี่กว่านั้นสำหรับระบบที่มีความสำคัญสูง เนื่องจากหากเกิดเหตุการณ์ที่ Ransomware โจมตีและเข้ารหัสจริงๆ ความสูญเสียที่จะเกิดขึ้นกับไฟล์ที่เรายังไม่ได้สำรองข้อมูลจะได้มีน้อยที่สุด และกู้คืนข้อมูลย้อนหลังกลับมาได้มากที่สุดเท่าที่จะเป็นไปได้นั่นเอง ซึ่งการสำรองข้อมูลบ่อยๆ ในสมัยนี้ที่มักใช้การทำ Incremental Backup นั้นก็ไม่ได้ทำให้กินพื้นที่บนระบบจัดเก็บข้อมูลสำรองแต่อย่างใด อีกทั้งยังลดโอกาสที่จะเกิดเหตุการณ์ Traffic Spike ในระบบเครือข่ายได้อีกด้วย
3. ทำ Snapshot สำหรับข้อมูลใน Backup Storage และ Virtual Machine
เพื่อเป็นการป้องกันอีกชั้น การทำ Snapshot บน Backup Storage โดยตรงเองก็เป็นทางเลือกที่ดี อีกทั้งสำหรับองค์กรที่ไม่ได้มีระบบ Backup Storage แบบอื่นๆ นอกจาก NAS หรือ SAN นั้น หากระบบ Storage เหล่านั้นสามารถทำ Snapshot จัดเก็บเอาไว้ในพื้นที่ซึ่งเครื่องลูกข่ายหรือแม่ข่ายที่มาเชื่อมต่อใช้งานไม่สามารถเข้าถึงได้ ก็จะทำให้สามารถย้อนข้อมูลกลับไปยัง Snapshot ใดๆ ก่อนที่ข้อมูลจะถูก Ransomware ทำการเข้ารหัสไปได้ เป็นวิธีการป้องกัน Ransomware ขั้นพื้นฐานสำหรับเหล่า Shared Storage นั่นเอง
ทั้งนี้เทคนิคนี้ก็สามารถนำไปประยุกต์ใช้กับ Virtual Machine (VM) ทั้งบนระบบ Virtualization และ Cloud ได้ด้วยเช่นกัน เพราะการทำ Snapshot ในระดับ VM นั้นก็จะทำให้เราย้อน VM นั้นๆ กลับไปสภาพก่อนที่จะถูกโจมตีได้ แต่ก็ต้องจัดการอุดช่องโหว่ที่ Ransomware เหล่านั้นใช้โจมตีมาให้เรียบร้อยก่อนที่จะถูกโจมตีซ้ำสองด้วย
4. ปกป้อง Backup Storage จากการถูก Ransomware โจมตีเองโดยตรงด้วย
เป็นอีกประเด็นหนึ่งที่มักถูกมองข้ามกัน กับการที่เหล่า Backup Storage ไม่ว่าจะเป็น Windows File Sharing, Linux NAS Storage หรือ Software-defined Storage ค่ายต่างๆ นั้นถูก Ransomware ทำการเจาะช่องโหว่เข้าไปเข้ารหัสไฟล์ที่ถูกจัดเก็บอยู่บน Backup Storage ด้วย ทำให้ระบบงานอื่นๆ ที่ทำการสำรองข้อมูลมายัง Backup Storage เหล่านี้ไม่สามารถกู้คืนไฟล์ใดๆ ได้ และตกเป็นเหยื่อของ Ransomware ต่อไป
การรักษาความมั่นของปลอดภัยให้กับ Backup Storage นั้นทำได้หลายวิธี ไม่ว่าจะเป็นการหมั่น Patch อุดช่องโหว่ด้านความมั่นคงปลอดภัยต่างๆ, การกำหนด Firewall Rule ให้อุปกรณ์อื่นๆ สามารถเข้าถึง Backup Storage ได้เฉพาะจาก Protocol และ IP Address ที่จำเป็น, การติดตั้งระบบ Antivirus/Anti-malware และอื่นๆ เพื่อเสริมความมั่นคงปลอดภัยเพิ่มเติม และอื่นๆ อีกมากมาย เรียกได้ว่าทุกแนวทางที่ใช้ในการรักษาความมั่นคงปลอดภัยให้กับ Server นั้น ก็สามารถนำมาประยุกต์ใช้กับ Backup Storage ได้แทบทั้งหมดเลยก็ไม่ผิดนัก และเป็นสิ่งที่สมควรทำเป็นอย่างยิ่งด้วย
5. มีระบบวิเคราะห์ข้อมูลและตรวจสอบย้อนหลังกับความผิดปกติที่เกิดขึ้นกับข้อมูลที่ Backup เอาไว้ได้
การหมั่นตรวจสอบการทำงานของระบบสำรองข้อมูล และวิเคราะห์เหตุการณ์ต่างๆ ที่เกิดขึ้นกับระบบ Backup ทั้งหมดให้ได้อย่างต่อเนื่องนั้นก็ถือเป็นอีกประเด็นสำคัญ โดยปัจจุบันนี้เทคโนโลยี Backup นั้นเริ่มมีเทคโนโลยีตรวจจับ Ransomware ได้แล้วในตัว อีกทั้งในระบบที่ทำการสำรองข้อมูลแบบ Incremental Backup เองนั้น หากมีการสำรองข้อมูลที่ถูกเข้ารหัสไป ปริมาณข้อมูลที่ต้องสำรองนั้นก็จะเพิ่มขึ้นอย่างผิดสังเกตอยู่แล้ว ประเด็นต่างๆ เหล่านี้เองที่เหล่าผู้ดูแลระบบสามารถนำมาใช้เพื่อเป็นส่วนหนึ่งในการวิเคราะห์และค้นหาปัญหาต่างๆ ที่เกิดขึ้นในรายวันได้อย่างน่าสนใจ
ที่มา : techtalkthai
ลิงค์ : https://www.techtalkthai.com/5-backup-strategies-to-protect-your-data-from-ransomware-by-veritas/
