Covid-19 疫情影響之下,近兩年來有許多企業較以往更重視數位轉型的必要性,將工作負載移至雲端、進行雲端備份等,成為企業在變局中的應變及自保之道。
然而,企業運作從地端延伸至雲端,意謂駭客可以攻擊侵入的漏洞變多,公司資安戰線勢必拉長,尤其企業原本認為「多一分保障」的雲端備份,卻可能因為暗藏病毒變身為攻擊武器。
許多企業遭遇勒索病毒攻擊時,想到自家還有雲端備份就鬆了一口氣,殊不知災難並沒有盡頭,「除了攻擊地端資料,駭客也『進化』至針對雲端備份投毒,因此當企業利用雲端備份進行資料還原時,等於遭受二次攻擊,唯一的希望也破滅了,最後只好乖乖付贖金。」Acronis 大中華區首席技術顧問 Sean Wang 描述了企業在面對資安的新難題。
多層次防護也採用同一套資安邏輯?
攻擊手法日新月異、可能的漏洞愈來愈多、防禦層面越來愈複雜,從事前預防、事中偵測到事後回復,任何環節都不能放鬆,導致資安人員面臨的挑戰愈趨嚴苛。
面對這樣的態勢,Sean Wang 提出建議:「為了強化勒索軟體防護,使用傳統的防毒和備份軟體已經不夠,企業需強化多層次的防護,雖然每一層的防護力都不可能達到 100%,但是當有一層防護出現缺失,還有其他層次可以提供防護,透過層層防護能夠降低病毒滲透率。」
要實現多層次防護,市面常見做法是在不同產品上進行政策設定和管理。大型企業擁有足夠資財力及人手,有本錢可以採用此種方法,但是相對缺人缺錢的中小企業該如何是好?
根據最近的趨勢,駭客並不會放過中小企業,甚至還專挑這些「軟柿子」下手,畢竟相較攻破大企業的銅牆鐵壁,攻擊資安防護薄弱的對象較省成本、效益更高。
所以,中小企業該如何以較少資源實現多層次防護?
「要謹記一個重點,將事情簡單化,」 Sean Wang 進一步說明雲端時代的資安防護新觀念,「企業要考量如何以單一管控方式同時管理地端及雲端系統,並且盡量簡化管控的技術邏輯,使其能一體適用於私有雲、公共雲、混合雲等不同上雲方式,也就是說,資安管控政策及邏輯不需因遷移異動而有所更改,這能為企業省下不少麻煩。」
從地端遷移到雲端,更凸顯資安部署重要性!
根據《TechOrange 科技報橘》「2022 雲端 AI 應用大調查」指出,企業能否在快速變遷的時代存活並致勝,與雲端戰略密早已不可分。
在這個變化快速的時代,企業的彈性應變能力較以往來得更為關鍵,工作負載隨時可能從地端遷移至不同型態的雲端,甚至因為地緣政治關係,企業必須更改雲端平台品牌選擇。
若是改變一次,企業就需重新佈署資安政策,代價絕非中小企業所能承受。
因此,企業必須慎選能以最簡單的管控,達到最大資安效益的方案,例如 Acronis Cyber Protect Cloud 解決方案,能夠在多層次防護架構下,彈性根據不同情境及範圍啟用不同功能,全部透過單一管控介面,單一政策設定邏輯來管理,「此方案具有連動式調整機制,某一層防護設定有所更改,其他層次會自動對應調整,大幅提高資安應變速度。」Sean Wang 說。
攻擊者專挑弱者下手,Acronis 助企業找到資安關鍵策略!
此外,針對企業內部數據加密及雲端資料端到端保護的需求,Acronis 提供備份至雲端傳輸通道的加密、儲存在雲端備份資料的加密存放,並且協助企業盤點地端電腦是否已完備全硬碟加密。
Acronis 中控管理介面也提供雙因子驗證機制,除了身分驗證,另增加管理者手機 OTP App 密碼認證。為避免誤刪檔案的慘劇發生,管理介面亦設有禁止管理者於特定期間刪修檔案的功能。企業可透過 Acronis 經銷商或是訂閱制服務平台了解 Acronis 方案。
萬事起頭難,面對資安議題的複雜化,Sean Wang 建議業者可以透過 NIST 網路安全框架(NIST CSF)進行簡單的自我評估,「套用 80/20 法則,先著手最關鍵的 20%,就能解決 80% 的資安問題,」他並特別提醒業者一定要開始正視資安,「攻擊者會挑弱者下手,所以資安不用要求完美,只要比同業難以攻破,就可以逃過一劫了。」
