企業保護營運資料的重要性不在話下,但要打造真正有效的安全治理架構,組織必須正確識別當前遭遇的威脅為何,才能對症下藥、選擇正確的抵禦機制。Synology 安全事件應變組經理林涵恩便觀察 2023 年度,針對資料、儲存伺服器而來的攻擊,整理出多種企業務必預防的資安威脅類型。
林涵恩指出,在這些攻擊當中有 90% 為勒索軟體,會加密檔案以換取贖金,但也發現漸漸出現直接破壞資料的類型。而入侵方式當中,近乎一半都是透過竊取憑證,其次是暴力攻擊,最後則為內部入侵。以下就分別解析這些攻擊是如何「進入」企業,以及怎麼利用 Synology DSM 系統內建提供的安全措施,為企業嚴格把關:
7even Security 靠木馬程式竊取憑證,多重驗證能有效降低侵入
7even Security 主要是利用木馬程式,在使用者從網頁登入 NAS 的時候,將相關資訊回報給攻擊者,攻擊者便可以藉此資訊,登入企業的伺服器並加密資料。而這些木馬程式,經常偽裝成使用者可自行在網路抓取的常見程式,像是影片播放器、手機模擬器等,導致下載後使用者難以發現異常。
企業防禦 7even Security 時,最好的做法是採取防火牆與多因子驗證。林涵恩說明,由於攻擊大多會來自海外,建議企業啟用 DSM 防火牆,針對地理位置阻擋來自異常地點的外網登入行為;另一方面,Synology 多因子驗證整合包含硬體密碼金鑰、OTP 驗證、核准登入等多重機制,能有效防堵攻擊者只需取得密碼,即可成功入侵的資安危機。
而在 DSM 7.2 中,Synology 更新增了自適應多重驗證(Adaptive MFA),系統會偵測潛藏安全風險的登入情境,並自動發出確認要求,例如管理者帳號只用密碼登入,並且針對從外部連線的登入行為,透過 Secure SignIn 或 Email 驗證方式二次確認身分,才能夠連線,等於為系統資料安全再加上一道鎖。
延伸了解 | DSM 7.2 安全性再升級,提供更多資料保護機制
StealthWorker 利用大量 NAS 登入,靠 QuickConnect 達到全域聯防
當組織內的儲存伺服器出現大量且異常的登入,才發現這些入侵源頭竟同樣為 NAS ,那可能就是遭到 StealthWorker 攻擊。林涵恩解釋,這類攻擊為一種殭屍網路,它會鎖定登入介面並不斷以「字典攻擊」暴力破解方式嘗試正確密碼,再藉此進入至企業內部。特別的是 StealthWorker 會繞過一般系統預設的自動封鎖功能,例如系統設定每小時只允許 10 次登入失敗,那 StealthWorker 就會在第 9 次嘗試失敗後停下。
既然這類型攻擊的目標是「猜出」密碼,那無論高強度密碼,或有開啟多因子驗證,都能有效降低被猜對的機率。而 DSM 7.2 針對類似入侵手法,更推出了 QuickConnect 全域聯防機制,某一台被嘗試登入的 NAS 會回報可疑 IP 給 QuickConnect 的伺服器,就能夠在企業全域封鎖該 IP,阻擋其改為攻擊其他 NAS。
小心 Samba 暴露在外網,成為 Checkmate 下手對象
企業架設 Samba 伺服器多是為了內部共享檔案使用,但萬一沒發現原用於內部的 Samba 已經暴露在外網,就容易遭暴力攻擊、專門加密掛載目錄的 Checkmate 鎖定。針對此攻擊手法,設定地理位置的防火牆並確保 Samba 在內網,是最為穩固的抵禦策略。為了讓企業意識到其 Samba 伺服器暴露於外網,DSM 7.2 加入了自動封鎖的功能,可以阻擋來自異常 IP 位置的 Samba 登入行為。
林涵恩也提醒,Samba 已是相對老舊的網路協定,如果企業期待更安全的檔案系統,那例如 Synology Drive 為基於網頁使用的檔案協作平台,提供了安全層級更高的 Https 協定,再加上 Synology Secure SignIn 無密碼驗證工具,滿足多因子驗證需求。另外,Synology Drive 亦具備版本控制、細緻分享權限管裡等功能,還可搭配 Synology NAS 系統內建備份功能落實資料保護,對於重視資料安全性的組織來說將是更適切的選擇。
延伸了解 | 行政院核研所替換傳統 Samba,改用 Synology Drive 強化安全與協作效率
內部攻擊難以預防,最佳解答就是備份再備份
企業不只要防範外部惡意攻擊,有時候組織內部的「合法」使用者也可能成為安全漏洞。由於管理員帳號擁有各種權限,萬一存有不良意圖,即可直接加密伺服器的掛載目錄、入侵企業用於管理的 AD 系統,或是破壞重要資料。然而,基本上所有的安全措施,都難以防範這些來自合法使用者的惡意行為。
因此林涵恩強調,面對這類型風險,企業第一步要做的,就是養成持續且完整備份的習慣,才有辦法救回資料。如果組織能進一步達到備份 3-2-1 的架構,便能夠藉由多份且位於異地的備份版本,更完整守護資料安全性。
最後,綜合上述資料的風險,林涵恩總結了兩大要點——首先,企業務必在內部導入多因子驗證,「高達 85% 以上的安全攻擊,都能夠透過 MFA 擋下。」他說。再來,唯有確實做足備份,才能確保資料不幸受到破壞,並且在資料遭加密時,得以快速復原、重啟營運。而 Synology 正能提供切合這兩項需求的一站式資料管理解決方案:為了安全性不斷進化的 DSM 系統,內建各種源頭防禦措施,搭配許多免授權費用的備份套件,無論 PC、虛擬機、伺服器、到公有雲服務,皆能依合理預算全面落實關鍵資料保護。