作者:EMC 大中華區總裁譚仲良
當大家以為勒索軟件「WannaCry」已經告一段落,新一波的勒索軟件「Petrwrap」又直捲全球,入侵歐美多國電腦系統,病毒最先從俄羅斯及烏克蘭傳播,再向西歐蔓延。其實,自 2017 年初開始,惡意軟件在全球各地肆虐,攻擊不同的機構及企業,亞洲地區當然亦不幸免。層出不窮的惡意攻擊手段,導致很多機構或企業難以在網絡攻擊初期及早發現並抵禦攻擊。根據香港警方表示,今年首三個月的網絡安全及科技罪案數字已達 1,353 宗,針對分散式阻斷服務(DDoS)攻擊的案件,去年全年只有 6 宗,但今年首季已有 5 宗,預計數字將大幅超越去年。另一份 2017 網絡安全調查報告指出,在超過半數的受訪亞洲企業,每月至少遭受到一次引致業務中斷的網絡攻擊,其中香港有近 15% 企業每星期均會遭到網絡攻擊。由此可見,IT 基建安全受到威脅的企業數目正不斷上升。
網絡攻擊已經成為企業常見的事故,不但有機會令敏感或機密數據外洩,令人愈來愈擔心的是,這些網絡攻擊更可能導致業務關鍵系統受到破壞,並且無法修復,後果真的無法想像,在某些情況下更有可能導致企業破產。因此,企業需要部署合適的方案,預防惡意軟件侵襲,並在受到攻擊後迅速令業務回復正常運作。企業在挑選及部署修復數據及業務流程方案時,需留意以下四大重點:
- 規劃及設計-若遭受網絡攻擊而影響業務運作,大部分企業希望以最短的時間令業務盡快回復正常運作,因此企業需因應其業務性質和需要,以及關鍵系統、應用和 IT 基建等因數,清晰釐定修復點目標(RPO)及修復時間目標(RTO),協助規劃及設計最合適的修復方案;
- 隔離及複製數據-企業亦需建立一個只授權特定用戶進入、離線的隔離數據中心環境,配合能把數據複製到次要數據儲存陣列或備份目標的軟件,同時在生產環境和修復隔離區之間建立「預設氣隙」(scheduled air gap),以保護數據免受刪除或損壞;
- 檢查及驗證隔離區域數據-方案需具備有系統的工作流程,在利用輔助儲存系統隔離區域中的備份安全數據進行修復前,將有關數據與最近複製的數據進行比對及驗證,當發現受損或感染的備份數據時發出警報,確保其完整性;
- 重置及修復-修復一般主要根據標準的機制及程序,但企業亦需注意以下重要事項:
- 檢查備份以確保數據完整性;
- 確保伺服器的微碼和韌體與生產環境相同;
- 還原在修復隔離區域的備份數據,並測試修復環境以確保修復的業務流程能配合企業營運的需要;
- 在驗證業務流程後,將修復隔離系統重新連接到主系統的生產環境,並確保隔離修復系統運作正常。
總括而言,為了減低受到惡意網絡攻擊的風險,企業除了需要制定應對網絡威脅的策略外,更必須部署合適的快速修復業務方案,當受到網絡攻擊時,以防業務關鍵系統受到破壞,盡快令業務重回軌道,正常運作,盡量減低業務受影響的時間,從而造成重大的損失。