Synology เผย 7 แนวทางปฏิบัติ…กู้คืนข้อมูลเมื่อโดนโจมตีจาก Ransomware

ไซโนโลจี้ (Synology) เผย 7 แนวทางปฏิบัติที่ดีที่สุด…ในการกู้คืนข้อมูลเมื่อโดนโจมตีจาก แรนซัมแวร์ (Ransomware)…

Synology เผย 7 แนวทางปฏิบัติ…กู้คืนข้อมูลเมื่อโดนโจมตีจาก Ransomware

เมื่อไม่กี่ปีมานี้ การโจมตีด้วยแรนซัมแวร์ได้ขยายตัว และพัฒนาขึ้นเป็นรูปแบบธุรกิจ ก่อให้เกิดผลกระทบร้ายแรงในหลายอุตสาหกรรม และส่งผลให้เกิดการสูญเสียข้อมูล และสินทรัพย์ขององค์กรต่าง ๆ เป็นอย่างมาก 2022 SonicWall Cyber Threat Report เปิดเผยสถิติที่น่าตกใจ

ว่ามีการรายงานการโจมตีด้วย แรนซัมแวร์ (Ransomware) รวม 6.233 พันล้านครั้งทั่วโลก ในปี 2022 เฉลี่ยการโจมตี 19 ครั้งต่อวินาที ถือเป็นการเน้นย้ำความจำเป็นเร่งด่วนที่องค์กรต่าง ๆ ต้องเสริมสร้างการป้องกันของตน ด้วยเหตุนี้ การมีแผนกู้คืนจากแรนซัมแวร์ที่ครอบคลุมจึงเป็นสิ่งสำคัญสำหรับผู้ดูแลระบบ IT

เนื่องจากจะสามารถลดผลกระทบของการโจมตี และทำให้ธุรกิจดำเนินต่อไปได้ในเวลาที่สั้นที่สุดเท่าที่จะเป็นไปได้อย่างไรก็ตาม จากประสบการณ์ที่ผ่านมา ไม่มีองค์กรใดที่จะป้องกันการโจมตีทางไซเบอร์ได้ทั้งหมด ดังนั้น องค์กรต่าง ๆ จึงต้องให้ความสำคัญกับ “การกู้คืน” (Recovery) นั่นคือสาเหตุที่ “การสำรองข้อมูล” ได้รับการยอมรับ

อย่างกว้างขวางว่าเป็นหนึ่งในการป้องกันการโจมตีแรนซัมแวร์ที่มีประสิทธิภาพมากที่สุด การมีข้อมูลสำรองล่าสุด ความปลอดภัย และการตรวจสอบจะเพิ่มโอกาสในการกู้คืนข้อมูลที่ประสบความสำเร็จ ในขณะเดียวกันก็ลดการหยุดทำงาน (downtime) และลดความเสี่ยงของการสูญเสียข้อมูลให้เหลือน้อยที่สุด

องค์ประกอบสำคัญของแผนการกู้คืนจากแรนซัมแวร์

การโจมตีด้วยแรนซัมแวร์เป็นหนึ่งในสถานการณ์ที่ท้าทายที่สุดสำหรับองค์กรต่าง ๆ ธุรกิจหรือสถาบันที่ได้รับผลกระทบอาจต้องพบกับปัญหาในการดำเนินงานที่เกิดจากการโจมตีดังกล่าว ไซโนโลจี้ ตระหนักถึงธรรมชาติของแรนซัมแวร์ จึงได้วิเคราะห์ และระบุองค์ประกอบสำคัญของแผนการกู้คืนข้อมูลจากแรนซัมแวร์

บอกลา Data silo : ด้วยความก้าวหน้าทางเทคโนโลยี และการพัฒนาที่หลากหลาย โดยปกติแล้วเครื่องมือต่าง ๆ ที่องค์กรใช้ในการดำเนินงานหรือการพัฒนามักจะกระจายอยู่ในหลายแพลตฟอร์ม การละเลยเวิร์กโหลดบางอย่างมีค่าเท่ากับการนำองค์กรสู่ความเสี่ยงที่จะถูกโจมตีด้วยแรนซัมแวร์

ดังนั้น ในแง่ของการสำรองข้อมูล องค์กรจะต้องหลีกเลี่ยการใช้ไซโลข้อมูล (Data silo) และรวมข้อมูลทั้งหมดไว้ในกลไกการสำรองข้อมูลที่ครอบคลุม

การสำรองข้อมูลที่รวดเร็ว และมีประสิทธิภาพ : เนื่องจากข้อมูลขององค์กรเพิ่มขึ้นอย่างรวดเร็ว ไม่เพียงแต่จะต้องเก็บรักษาข้อมูลเหล่านี้ไว้เพื่อวิเคราะห์ในภายหลัง แต่ยังอาจมีการถ่ายโอนไปยังคลาวด์ หรือใช้กับอุปกรณ์ IoT ด้วย ดังนั้น ปริมาณข้อมูลที่ต้องสำรองในสภาวะการใช้งานขององค์กรจะมีแต่จะเพิ่มขึ้นเท่านั้น

ด้วยเหตุนี้ องค์กรจึงต้องการระบบที่สามารถสำรองข้อมูลได้อย่างมีประสิทธิภาพและรวดเร็ว แม้ว่าข้อมูลทั้งหมดจะได้รับการสำรองอย่างสมบูรณ์แล้ว ระบบดังกล่าวก็ยังสามารถลดช่วงเวลา Recovery Point Objective (RPO) ลงได้เป็นอย่างมาก

ช่วงเวลาการเก็บรักษาข้อมูลสำรอง : แรนซัมแวร์สมัยใหม่มีระยะเวลาแฝงตัวสูงสุด 30 ถึง 90 วัน ดังนั้นข้อมูลสำรองจะต้องได้รับการจัดเก็บอย่างมีประสิทธิภาพ และปลอดภัยเพื่อรับมือกับทุกเหตุการณ์ที่ไม่คาดคิด เพื่อให้มั่นใจถึงข้อมูลที่สะอาด และกู้คืนได้ เพื่อรักษาการดำเนินการของธุรกิจที่ต่อเนื่อง

การทดสอบความสามารถในการกู้คืนข้อมูลสำรอง : เนื่องจากองค์กรไม่สามารถคาดเดาได้ว่าเมื่อใดจะตกเป็นเหยื่อของการโจมตีของแรนซัมแวร์ จึงต้องมีการทดสอบ และการฝึกซ้อมความสามารถในการกู้คืนข้อมูลสำรองในสภาพแวดล้อมที่ไม่แน่นอนดังกล่าว

ซึ่งไม่เพียงแต่จะช่วยเพิ่มความน่าเชื่อถือในการสำรองข้อมูลเท่านั้น แต่ยังทำให้มั่นใจได้ว่าองค์กรจะสามารถดำเนินการได้อย่างถูกต้อง และกู้คืนข้อมูลได้อย่างรวดเร็วเมื่อต้องเผชิญหน้ากับภัยคุกคามจากแรนซัมแวร์

สถาปัตยกรรมการสำรองข้อมูลที่ไม่สามารถเข้าถึงได้ (Inaccessible backup architecture) : วิธีการโจมตีด้วยแรนซัมแวร์แบบทั่วไปจะมีการเข้ารหัสข้อมูลดั้งเดิมขององค์กร และลบข้อมูลสำรองที่มีอยู่ไปพร้อมกัน ด้วยเหตุนี้ ข้อมูลสำรองขององค์กรจะต้องมีการรักษาความปลอดภัยที่เพียงพอ

มีฟีเจอร์ป้องกันการยุ่งเกี่ยว และมีความสามารถในการแยกแรนซัมแวร์ในเครือข่ายหรือในสภาพแวดล้อมทางกายภาพโดยตรง (Physical environment) เพื่อให้มั่นใจว่าองค์กรจะมีสำเนาข้อมูลที่สะอาด และกู้คืนได้

การกู้คืนที่รวดเร็ว และยืดหยุ่น : เมื่อองค์กรถูกโจมตีจากแรนซัมแวร์ เป้าหมายหลักคือต้องให้มั่นใจถึงการดำเนินงานที่ต่อเนื่อง ซึ่งจะมีสองประเด็นสำคัญ ได้แก่ “เวลา” และ “ความยืดหยุ่น” ในการลดเวลาหยุดทำงาน จะต้องมีการกู้คืนแบบทันทีเพื่อลด Recovery Time Objective (RTO)

ยิ่งไปกว่านั้น เนื่องจากแรนซัมแวร์มักจะพุ่งเป้าไปที่แพลตฟอร์มเดี่ยว การสำรองข้อมูลจึงต้องมีความสามารถในการกู้คืนข้ามแพลตฟอร์ม และข้าม Hypervisor เพื่อลดความเสี่ยงที่จะเกิดขึ้นกับการกู้คืน

การจัดการแบบรวมศูนย์ และใช้งานง่าย : ความซับซ้อนของสภาพแวดล้อม IT ภายในองค์กรกำลังเพิ่มขึ้น ในขณะที่องค์กรส่วนใหญ่ใช้กลไกการป้องกันดั้งเดิมสำหรับการสำรองข้อมูล การจัดการที่มีความซับซ้อนมากอาจนำไปสู่ข้อผิดพลาดหรือ human error 

ซึ่งเป็นช่องโหว่สำหรับการโจมตีด้วยแรนซัมแวร์ ดังนั้นการสำรองข้อมูลจำเป็นต้องมีฟังก์ชันการจัดการแบบรวมศูนย์พร้อมแสดงข้อมูลให้ตรวจสอบได้ว่าการสำรองข้อมูลทั้งหมดในสภาพแวดล้อมทำงานได้ตามปกติ

ไซโนโลจี้ ช่วยให้องค์กรต่าง ๆ ปรับใช้แผนการกู้คืนข้อมูลจากแรนซัมแวร์ได้อย่างไร

โซลูชันการปกป้องข้อมูลของ ไซโนโลจี้ นำเสนอองค์ประกอบที่สำคัญ เพื่อช่วยเหลือองค์กรต่าง ๆ ในการต่อสู้กับแรนซัมแวร์ โดยจะปกป้องข้อมูลขององค์กร และทำให้มั่นใจถึงความปลอดภัยของข้อมูลที่สำรอง และซัพพอร์ตการกู้คืนข้อมูลที่มีประสิทธิภาพ โดยสร้างโซลูชันการปกป้องข้อมูลที่ครอบคลุมสำหรับธุรกิจ

ปกป้องข้อมูลของคุณ

• การสำรองข้อมูลแบบรวมศูนย์ข้ามแพลตฟอร์ม : ให้การปกป้องข้อมูลแบบรวมศูนย์สำหรับข้อมูลข้ามแพลตฟอร์ม รวมถึงโครงสร้างพื้นฐานหลักขององค์กร และแอปพลิเคชันคลาวด์ ทำให้มั่นใจได้ถึงการปกป้องข้อมูลที่ปลอดภัยทั่วทั้งระบบนิเวศ
• ปฏิบัติตามกฎการสำรองข้อมูล 3–2–1 : สามารถสำรองข้อมูลไปยังหลายปลายทาง เช่น การทำสำเนาไปยังเซิร์ฟเวอร์สำรองข้อมูล offsite หรือพื้นที่จัดเก็บข้อมูลบนคลาวด์ เพื่อให้มั่นใจได้ถึงความพร้อมใช้งานของข้อมูลสำรอง

ปกป้องข้อมูลสำรองของคุณ

• ความไม่เปลี่ยนแปลงของข้อมูล (Data Immutability) : รองรับการสำรองข้อมูลแบบเปลี่ยนแปลงไม่ได้เพื่อป้องกันการเปลี่ยนแปลงหรือการลบโดยไม่ได้รับอนุญาต ปกป้องข้อมูลสำรองขององค์กรจากผลกระทบของแรนซัมแวร์ และการโจมตีที่เป็นอันตรายอื่นๆ
• Air–Gap : ตรงตามหลักการ “Safe Haven Project” ของ Cybersecurity and Infrastructure Security Agency สหรัฐอเมริกา ทำให้มั่นใจได้ว่าสภาวะการใช้งานที่มีการสำรองข้อมูลของคุณจะสามารถแยกออกจากการโจมตีด้วยแรนซัมแวร์ที่อาจจะเกิดขึ้น
• การควบคุมสิทธิ์การเข้าถึง : รองรับ Active Directory และ LDAP รวมถึง SAML 2.0 ช่วยให้องค์กรต่างๆสามารถปรับใช้การตรวจสอบตัวตนหลายปัจจัยเพื่อเพิ่มประสิทธิภาพของการเข้าถึงเซิร์ฟเวอร์สำรองข้อมูล

การกู้คืนข้อมูล

• การฝึกซ้อมการกู้คืนเป็นประจำ : ช่วยให้องค์กรต่าง ๆ สามารถกู้คืนข้อมูลไปยัง Hypervisor ในตัวสำหรับการทดสอบในสภาพแวดล้อม Sandbox เป็นประจำ ซึ่งจะช่วยให้ฝึกซ้อมการกู้คืนได้โดยไม่ส่งผลกระทบต่อไซต์ที่ดำเนินงาน เพื่อมั่นใจได้ถึงความสามารถในการกู้คืนข้อมูล
• รองรับวิธีการกู้คืนข้อมูลที่หลากหลาย : ให้ความสามารถในการกู้คืนที่หลากหลายและยืดหยุ่น รวมถึงการกู้คืนแบบ Bare-metal การกู้คืนระดับไฟล์ และการกู้คืนฐานข้อมูล ซึ่งจะช่วยให้องค์กรต่าง ๆ สามารถเลือกวิธีการกู้คืนที่เหมาะสมที่สุดตามความต้องการเฉพาะได้
• การกู้คืนแพลตฟอร์มที่แตกต่างกัน : ในกรณีที่เกิดเหตุการณ์ขึ้นก็สามารถกู้คืนแบบเรียลไทม์ได้ในสภาพแวดล้อม Virtualization ของ VMware หรือ Hyper-V คุณสามารถสำรองข้อมูลอิมเมจใน Virtual Environment เหล่านี้ได้อย่างรวดเร็วตรงตามข้อกำหนดของการกู้คืนข้ามแพลตฟอร์ม รวมถึง P2V และ V2V

บทสรุป

การโจมตีด้วย แรนซัมแวร์ เพิ่มขึ้นในอัตราที่น่าตกใจในช่วงไม่กี่ปีที่ผ่านมา ก่อให้เกิดความเสียหายอย่างมากต่อธุรกิจและองค์กร การปกป้องข้อมูลและการดำเนินงานอย่างต่อเนื่องได้กลายมาเป็นสิ่งที่องค์กรต่าง ๆ ให้ความสำคัญเป็นอันดับต้น ๆ โซลูชันการปกป้องข้อมูลของ ไซโนโลจี้ ตรงตามแนวปฏิบัติที่ดีที่สุด

โดยกำหนด “แผนการกู้คืนข้อมูลจาก Ransomware“ ที่เหมาะสมที่สุดสำหรับธุรกิจเสริมสร้างความแข็งแกร่งในการป้องกันองค์กรจากการโจมตีแรนซัมแวร์ ช่วยให้องค์กรต่าง ๆ บรรลุการดำเนินงานอย่างต่อเนื่องได้อย่างมีประสิทธิภาพ

ส่วนขยาย

* บทความเรื่องนี้น่าจะเป็นประโยชน์สำหรับการวิเคราะห์ในมุมมองที่น่าสนใจ 
** เขียน: ชลัมพ์ ศุภวาที (บรรณาธิการ และผู้สื่อข่าว) 
*** ขอขอบคุณภาพประกอบบางส่วนจาก N/A

สามารถกดติดตามข่าวสาร และบทความทางด้านเทคโนโลยีของเราได้ที่  www.facebook.com/itday.in.th