文章目錄
[官方資安專責機構的解說]
這篇是由 TWCERT/CC 提供的 文章 所延伸
文章開宗明義點出幾個 入侵管道:
[時勢的轉變]
在勒索病毒大量爆發之前, NAS 使用者, 基本上是過著無憂無慮的生活,
而 食髓知味的犯罪集團, 在 NAS 開始大量被企業以及家庭/個人使用者採用後,
網路環境開始變得不一樣了, 有越來越多的網路威脅, 透過各種管道, 對於 NAS
持有者虎視眈眈.
當前的趨勢 “對於周遭環境, 採取零信任策略“
既然網路上的危機四伏, 那麼, 使用者就得要步步為營, 不能把 “安全的環境” 當作必然的現象.
NAS 廠商經過 201x~202x 這幾年的 勒索病毒現象衝擊後, 其實都會特別開闢專區,
提醒 NAS 持有者, 該注意哪些地方, 譬如:
[NAS原廠對 抗勒索軟體的文章專區]
ASUSTOR (華芸): 面對 Ransomware 加密勒索與網路攻擊應有的觀念、措施與備份策略, ||
如果被勒索軟體綁架,該如何處理?
QNAP (威聯通): 保護重要資料,對抗加密勒索軟體 || 關於勒索軟體(ransomware)的一些常見問題 ||
QNAP 安全儲存解決方案,防禦網路惡意攻擊
Synology (群暉): 徹底分析勒索軟體 5 大行為模式,企業才能對症下藥、有效防範資料損失 ||
如何避免勒索軟體攻擊我的 Synology 裝置? || 保護您的組織,不受勒索軟體攻擊 ||
如何從勒索軟體攻擊中恢復?掌握勒索軟體復原最佳實踐的 7 大要點 ||
從一寫多讀機制到不可變快照,Synology 三大進階保護策略有效對抗勒索軟體
看到以上這麼多繁雜文件清單, 所有非 IT 產業的使用者, 都會爆發出
深深的無力感, 此刻, 最常見到反應的就是: 使用者想開啟 耍無賴模式 .
“我不管, NAS 廠商賣我 NAS, 就是要負責 NAS 全部的資訊安全啦 !”
回過頭來想, 以檔案資產的珍貴性質為中心, 使用者即便不使用 NAS,
也得要找出適合自己的保存方式, 常見的方法像是:
1. 燒成光碟片, (光碟可能會年久或者環境影響而變質/ 光碟機可能越來越難取得…)
2. 租用公有雲儲存空間, (檔案依然可能莫名消失, iCloud 案例)
3. 複製到外接硬碟, (難以管理越來越多的硬碟, 手動備份很麻煩, 不知硬碟健康情況…)
[面對 接受 處理 放下]
自己的資料檔案, 終究要自己負責保管, 硬碟廠商/雲端空間廠商的買賣租賃合約裡,
其實都看得到 資料毀損情況的免責條款, 畢竟對個人來說, 資料可以說是無價的,
但是廠商幾百幾千元所提供消費者的服務或者產品, 是沒辦法對應扛起 個人無價資料的損壞責任.
買商品原本是希望使用得無憂無慮, 不過, 資安問題發生在於產品之外, 環境中有許多惡意的外部攻擊,
攻擊手法與管道更是繁多. 各家 NAS 廠商其實都已經提供防禦措施的建議與說明,
只是看使用者到底有沒有辦法逐一或者盡量落實原廠給的資安建議.
安全以及方便, 經常是相互衝突的. 使用 NAS 卻完全不顧資訊安全, 檔案資產必然會遇到很高的風險.
管制多了, 又會覺得使用上不方便, 這表示每個 NAS 使用情境, 還是要個別審視想要的資訊安全程度
以及方便性二者的權衡與折衝來調整整個使用環境和使用策略, 進而完成 資訊安全方面的設定/規範.
資訊方案要做到資安嚴謹, 表示得要遵循許多規定, 嚴守許多標準流程. 繁瑣就不是我們在操作
資訊設備時想碰上的. 因此, 自動化的過程, 會是一個解方, “以魔法來對抗魔法”, 繁複的程序,
盡量用 資訊方案和策略, 去形成自動化/智慧化的輔助, 期盼保持 使用上簡單方便, 也保持安全性的目標.
為今之計, 如果自己持有的資料檔案, 真的是這麼重要, 那麼大家所期待的 資料保存秘訣, 現在可以揭曉了:
[備份 3-2-1 原則]
由於惡意攻擊手法太多, 明槍易躲暗箭難防, 最保守最基本的策略就是 “有備無患“, 以不變應萬變.
得要預期惡意程式可能會攻擊得手, 先準備一份離線備份(甚至是異地備份), 是防止萬一情況發生的
救生網/保命索.
對於主力資料除凗設備, 做了任何防守, 都還是可能有漏洞, 因此, 能保有一份定期更新的離線備份,
對於提升檔案資產存活, 是很實在的策略.
[防毒閘道器]
如果嫌上面的資安原則/條例煩人, 不想自己管, 那就要找旁人幫忙.
類比於人類的居住環境安全來說, 常見的保護策略有:
1. 加裝環境監控/警報/門禁…,
2. 或者 住到 人車管制的華廈/社區, 進出必須通過認證, 甚至是 物業管理人員/崗哨管制,
3. 加上一些智慧型的門禁系統, 刷卡進入社區/大樓, 在電梯間使用感應扣, 進入核定樓層…
總之就是:
i. 截斷不相干人等入侵住家的途徑,
ii. 對單一入口/路徑, 進行嚴格人員/物流管制.
以人身保護來說, 對於 VIP 人物, 最常見的則是: 聘僱 貼身保鑣,
保鑣會眼觀四面耳聽八方, 甚至以肉身做為阻擋攻擊的人肉盾牌.
對於像是 NAS 之類的伺服器, 相對單純, 由於 NAS 是網路型設備,
對外靠的是 網路連線, 外部威脅要抵達 NAS, 絕大多數得要通過網路,
因此, 在需要保護的 NAS 網路前端, 加裝一台 防毒閘道器, 就相對於人類世界
VIP 身邊配置的專屬保鑣, 隨時發揮保護的效果, 保護 NAS 不受大多數外部威脅攻擊.
[總結]
以一般使用者來說, NAS 主機放置在網路的位置很要緊:
1. 如果是放在封閉內部網路(沒有連外的路由器)使用, 則依據零信任的概念, 有危險的鄰居會是:
i. 同一個內部網路的連網電腦或者設備,
ii. 實體遭竊/天災人禍(隨身碟病毒/惡意刪除檔案…)
[ 隔絕外部, 危險等級: ✯ ]
2. 如果是放在內部網路(但是有連外的路由器)使用, 則依據零信任的概念, 有危險的鄰居會是:
i. 除了上述危險因素之害, 還會多出利用 “Port Forwarding 規則開放的服務埠” 進入的連線與封包.
ii. 如果沒有對應開放的 “Port Forwarding 規則”, 也還是有 路由器本身遭受弱點攻擊的可能.
[ 開放連外, 危險等級: ✯✯ ]
3. 如果放到數據機之下, 對外有真實 IP, 那麼網路威脅就會放大到 所有能看到此一真實 IP 的外來者.
NAS 的所有網路服務埠/連線機制/作業系統本體, 都會面臨到全面的攻擊以及強固程度的考驗.
[ 網路裸奔, 危險等級: ✯✯✯✯✯ ]
Comments