เมื่อไม่กี่ปีมานี้ การโจมตีด้วยแรนซัมแวร์ได้ขยายตัว และพัฒนาขึ้นเป็นรูปแบบธุรกิจ ก่อให้เกิดผลกระทบร้ายแรงในหลายอุตสาหกรรม และส่งผลให้เกิดการสูญเสียข้อมูล และสินทรัพย์ขององค์กรต่าง ๆ เป็นอย่างมาก 2022 SonicWall Cyber Threat Report เปิดเผยสถิติที่น่าตกใจว่ามีการรายงานการโจมตีด้วยแรนซัมแวร์รวม 6.233 พันล้านครั้งทั่วโลกในปี 2022 เฉลี่ยการโจมตี 19 ครั้งต่อวินาที ถือเป็นการเน้นย้ำความจำเป็นเร่งด่วนที่องค์กรต่าง ๆ ต้องเสริมสร้างการป้องกันของตน
ด้วยเหตุนี้ การมีแผนกู้คืนจากแรนซัมแวร์ที่ครอบคลุมจึงเป็นสิ่งสำคัญสำหรับผู้ดูแลระบบ IT เนื่องจากจะสามารถลดผลกระทบของการโจมตี และทำให้ธุรกิจดำเนินต่อไปได้ในเวลาที่สั้นที่สุดเท่าที่จะเป็นไปได้
อย่างไรก็ตาม จากประสบการณ์ที่ผ่านมา ไม่มีองค์กรใดที่จะป้องกันการโจมตีทางไซเบอร์ได้ทั้งหมด ดังนั้น องค์กรต่าง ๆ จึงต้องให้ความสำคัญกับ "การกู้คืน (Recovery)" นั่นคือสาเหตุที่ "การสำรองข้อมูล" ได้รับการยอมรับอย่างกว้างขวางว่าเป็นหนึ่งในการป้องกันการโจมตีแรนซัมแวร์ที่มีประสิทธิภาพมากที่สุด การมีข้อมูลสำรองล่าสุด ความปลอดภัย และการตรวจสอบจะเพิ่มโอกาสในการกู้คืนข้อมูลที่ประสบความสำเร็จ ในขณะเดียวกันก็ลดการหยุดทำงาน (downtime) และลดความเสี่ยงของการสูญเสียข้อมูลให้เหลือน้อยที่สุด
องค์ประกอบสำคัญของแผนการกู้คืนจากแรนซัมแวร์
การโจมตีด้วยแรนซัมแวร์เป็นหนึ่งในสถานการณ์ที่ท้าทายที่สุดสำหรับองค์กรต่าง ๆ ธุรกิจหรือสถาบันที่ได้รับผลกระทบอาจต้องพบกับปัญหาในการดำเนินงานที่เกิดจากการโจมตีดังกล่าว Synology ตระหนักถึงธรรมชาติของแรนซัมแวร์ จึงได้วิเคราะห์ และระบุองค์ประกอบสำคัญของแผนการกู้คืนข้อมูลจากแรนซัมแวร์
• บอกลา Data silo : ด้วยความก้าวหน้าทางเทคโนโลยี และการพัฒนาที่หลากหลาย โดยปกติแล้วเครื่องมือต่าง ๆ ที่องค์กรใช้ในการดำเนินงานหรือการพัฒนามักจะกระจายอยู่ในหลายแพลตฟอร์ม การละเลยเวิร์กโหลดบางอย่างมีค่าเท่ากับการนำองค์กรสู่ความเสี่ยงที่จะถูกโจมตีด้วยแรนซัมแวร์ ดังนั้น ในแง่ของการสำรองข้อมูล องค์กรจะต้องหลีกเลี่ยการใช้ไซโลข้อมูล (Data silo) และรวมข้อมูลทั้งหมดไว้ในกลไกการสำรองข้อมูลที่ครอบคลุม
• การสำรองข้อมูลที่รวดเร็วและมีประสิทธิภาพ : เนื่องจากข้อมูลขององค์กรเพิ่มขึ้นอย่างรวดเร็ว ไม่เพียงแต่จะต้องเก็บรักษาข้อมูลเหล่านี้ไว้เพื่อวิเคราะห์ในภายหลัง แต่ยังอาจมีการถ่ายโอนไปยังคลาวด์ หรือใช้กับอุปกรณ์ IoT ด้วย ดังนั้น ปริมาณข้อมูลที่ต้องสำรองในสภาวะการใช้งานขององค์กรจะมีแต่จะเพิ่มขึ้นเท่านั้น ด้วยเหตุนี้ องค์กรจึงต้องการระบบที่สามารถสำรองข้อมูลได้อย่างมีประสิทธิภาพและรวดเร็ว แม้ว่าข้อมูลทั้งหมดจะได้รับการสำรองอย่างสมบูรณ์แล้ว ระบบดังกล่าวก็ยังสามารถลดช่วงเวลา Recovery Point Objective (RPO) ลงได้เป็นอย่างมาก
• ช่วงเวลาการเก็บรักษาข้อมูลสำรอง : แรนซัมแวร์สมัยใหม่มีระยะเวลาแฝงตัวสูงสุด 30 ถึง 90 วัน ดังนั้นข้อมูลสำรองจะต้องได้รับการจัดเก็บอย่างมีประสิทธิภาพและปลอดภัยเพื่อรับมือกับทุกเหตุการณ์ที่ไม่คาดคิด เพื่อให้มั่นใจถึงข้อมูลที่สะอาดและกู้คืนได้ เพื่อรักษาการดำเนินการของธุรกิจที่ต่อเนื่อง
• การทดสอบความสามารถในการกู้คืนข้อมูลสำรอง : เนื่องจากองค์กรไม่สามารถคาดเดาได้ว่าเมื่อใดจะตกเป็นเหยื่อของการโจมตีของแรนซัมแวร์ จึงต้องมีการทดสอบและการฝึกซ้อมความสามารถในการกู้คืนข้อมูลสำรองในสภาพแวดล้อมที่ไม่แน่นอนดังกล่าว ซึ่งไม่เพียงแต่จะช่วยเพิ่มความน่าเชื่อถือในการสำรองข้อมูลเท่านั้น แต่ยังทำให้มั่นใจได้ว่าองค์กรจะสามารถดำเนินการได้อย่างถูกต้อง และกู้คืนข้อมูลได้อย่างรวดเร็วเมื่อต้องเผชิญหน้ากับภัยคุกคามจากแรนซัมแวร์
• สถาปัตยกรรมการสำรองข้อมูลที่ไม่สามารถเข้าถึงได้ (Inaccessible backup architecture) : วิธีการโจมตีด้วยแรนซัมแวร์แบบทั่วไปจะมีการเข้ารหัสข้อมูลดั้งเดิมขององค์กร และลบข้อมูลสำรองที่มีอยู่ไปพร้อมกัน ด้วยเหตุนี้ ข้อมูลสำรองขององค์กรจะต้องมีการรักษาความปลอดภัยที่เพียงพอ มีฟีเจอร์ป้องกันการยุ่งเกี่ยว และมีความสามารถในการแยกแรนซัมแวร์ในเครือข่ายหรือในสภาพแวดล้อมทางกายภาพโดยตรง (Physical environment) เพื่อให้มั่นใจว่าองค์กรจะมีสำเนาข้อมูลที่สะอาดและกู้คืนได้
• การกู้คืนที่รวดเร็วและยืดหยุ่น : เมื่อองค์กรถูกโจมตีจากแรนซัมแวร์ เป้าหมายหลักคือต้องให้มั่นใจถึงการดำเนินงานที่ต่อเนื่อง ซึ่งจะมีสองประเด็นสำคัญ ได้แก่ "เวลา" และ "ความยืดหยุ่น" ในการลดเวลาหยุดทำงาน จะต้องมีการกู้คืนแบบทันทีเพื่อลด Recovery Time Objective (RTO) ยิ่งไปกว่านั้น เนื่องจากแรนซัมแวร์มักจะพุ่งเป้าไปที่แพลตฟอร์มเดี่ยว การสำรองข้อมูลจึงต้องมีความสามารถในการกู้คืนข้ามแพลตฟอร์ม และข้าม Hypervisor เพื่อลดความเสี่ยงที่จะเกิดขึ้นกับการกู้คืน
• การจัดการแบบรวมศูนย์และใช้งานง่าย: ความซับซ้อนของสภาพแวดล้อม IT ภายในองค์กรกำลังเพิ่มขึ้น ในขณะที่องค์กรส่วนใหญ่ใช้กลไกการป้องกันดั้งเดิมสำหรับการสำรองข้อมูล การจัดการที่มีความซับซ้อนมากอาจนำไปสู่ข้อผิดพลาดหรือ human error ซึ่งเป็นช่องโหว่สำหรับการโจมตีด้วยแรนซัมแวร์ ดังนั้นการสำรองข้อมูลจำเป็นต้องมีฟังก์ชันการจัดการแบบรวมศูนย์พร้อมแสดงข้อมูลให้ตรวจสอบได้ว่าการสำรองข้อมูลทั้งหมดในสภาพแวดล้อมทำงานได้ตามปกติ
Synology ช่วยให้องค์กรต่างๆ ปรับใช้แผนการกู้คืนข้อมูลจากแรนซัมแวร์ได้อย่างไร
โซลูชันการปกป้องข้อมูลของ Synology นำเสนอองค์ประกอบที่สำคัญเพื่อช่วยเหลือองค์กรต่าง ๆ ในการต่อสู้กับแรนซัมแวร์ โดยจะปกป้องข้อมูลขององค์กรและทำให้มั่นใจถึงความปลอดภัยของข้อมูลที่สำรอง และซัพพอร์ตการกู้คืนข้อมูลที่มีประสิทธิภาพ โดยสร้างโซลูชันการปกป้องข้อมูลที่ครอบคลุมสำหรับธุรกิจ
ปกป้องข้อมูล
• การสำรองข้อมูลแบบรวมศูนย์ข้ามแพลตฟอร์ม : ให้การปกป้องข้อมูลแบบรวมศูนย์สำหรับข้อมูลข้ามแพลตฟอร์ม รวมถึงโครงสร้างพื้นฐานหลักขององค์กร และแอปพลิเคชันคลาวด์ ทำให้มั่นใจได้ถึงการปกป้องข้อมูลที่ปลอดภัยทั่วทั้งระบบนิเวศ
• ปฏิบัติตามกฎการสำรองข้อมูล 3-2-1 : สามารถสำรองข้อมูลไปยังหลายปลายทาง เช่น การทำสำเนาไปยังเซิร์ฟเวอร์สำรองข้อมูล offsite หรือพื้นที่จัดเก็บข้อมูลบนคลาวด์ เพื่อให้มั่นใจได้ถึงความพร้อมใช้งานของข้อมูลสำรอง
ปกป้องข้อมูลสำรอง
• ความไม่เปลี่ยนแปลงของข้อมูล (Data Immutability) : รองรับการสำรองข้อมูลแบบเปลี่ยนแปลงไม่ได้เพื่อป้องกันการเปลี่ยนแปลงหรือการลบโดยไม่ได้รับอนุญาต ปกป้องข้อมูลสำรองขององค์กรจากผลกระทบของแรนซัมแวร์ และการโจมตีที่เป็นอันตรายอื่นๆ
• Air-Gap : ตรงตามหลักการ "Safe Haven Project" ของ Cybersecurity and Infrastructure Security Agency สหรัฐอเมริกา ทำให้มั่นใจได้ว่าสภาวะการใช้งานที่มีการสำรองข้อมูลจะสามารถแยกออกจากการโจมตีด้วยแรนซัมแวร์ที่อาจจะเกิดขึ้น
• การควบคุมสิทธิ์การเข้าถึง: รองรับ Active Directory และ LDAP รวมถึง SAML 2.0 ช่วยให้องค์กรต่างๆสามารถปรับใช้การตรวจสอบตัวตนหลายปัจจัยเพื่อเพิ่มประสิทธิภาพของการเข้าถึงเซิร์ฟเวอร์สำรองข้อมูล
การกู้คืนข้อมูล
• การฝึกซ้อมการกู้คืนเป็นประจำ : ช่วยให้องค์กรต่าง ๆ สามารถกู้คืนข้อมูลไปยัง Hypervisor ในตัวสำหรับการทดสอบในสภาพแวดล้อม Sandbox เป็นประจำ ซึ่งจะช่วยให้ฝึกซ้อมการกู้คืนได้โดยไม่ส่งผลกระทบต่อไซต์ที่ดำเนินงาน เพื่อมั่นใจได้ถึงความสามารถในการกู้คืนข้อมูล
• รองรับวิธีการกู้คืนข้อมูลที่หลากหลาย : ให้ความสามารถในการกู้คืนที่หลากหลายและยืดหยุ่น รวมถึงการกู้คืนแบบ Bare-metal การกู้คืนระดับไฟล์ และการกู้คืนฐานข้อมูล ซึ่งจะช่วยให้องค์กรต่าง ๆ สามารถเลือกวิธีการกู้คืนที่เหมาะสมที่สุดตามความต้องการเฉพาะได้
• การกู้คืนแพลตฟอร์มที่แตกต่างกัน : ในกรณีที่เกิดเหตุการณ์ขึ้นก็สามารถกู้คืนแบบเรียลไทม์ได้ในสภาพแวดล้อม Virtualization ของ VMware หรือ Hyper-V สามารถสำรองข้อมูลอิมเมจใน Virtual Environment เหล่านี้ได้อย่างรวดเร็วตรงตามข้อกำหนดของการกู้คืนข้ามแพลตฟอร์ม รวมถึง P2V และ V2V
บทสรุป
การโจมตีด้วยแรนซัมแวร์เพิ่มขึ้นในอัตราที่น่าตกใจในช่วงไม่กี่ปีที่ผ่านมา ก่อให้เกิดความเสียหายอย่างมากต่อธุรกิจและองค์กร การปกป้องข้อมูลและการดำเนินงานอย่างต่อเนื่องได้กลายมาเป็นสิ่งที่องค์กรต่าง ๆ ให้ความสำคัญเป็นอันดับต้น ๆ โซลูชันการปกป้องข้อมูลของ Synology ตรงตามแนวปฏิบัติที่ดีที่สุด โดยกำหนด "แผนการกู้คืนข้อมูลจาก Ransomware" ที่เหมาะสมที่สุดสำหรับธุรกิจเสริมสร้างความแข็งแกร่งในการป้องกันองค์กรจากการโจมตีแรนซัมแวร์ ช่วยให้องค์กรต่างๆ บรรลุการดำเนินงานอย่างต่อเนื่องได้อย่างมีประสิทธิภาพ