工業技術研究院 資訊與通訊研究所 朱怡虹
勒索病毒(Ransomware)或又稱勒索軟體,是一種特殊惡意軟體,透過企業資安漏洞入侵企業系統,藉由加密手法將企業重要檔案加密,然後威脅受害企業於期限內交付贖金。企業在付出贖金以前,因無法取得被扣押的資料,商業營運因而延宕或停擺。
台灣過去一年來,許多大型企業如中油、 台塑、仁寶、鴻海、研華等都傳出疑似遭受勒索病毒攻擊 [1],而這些都還只是冰山的一角。與2019年相比,勒索病毒攻擊在2020年激增了485% [2]。企業遭受病毒攻擊後的損失,除了上億元的龐大贖金費用外,因為系統停機造成的營業損失和商譽受損也難以估計,根據Coveware研究 [3],2020年勒索病毒攻擊平均使受影響的公司停機21天,嚴重影響公司營運。
資料備份 勒索病毒防護最後關卡
勒索軟體並非只挑大型企業進行攻擊,中小型企業亦是勒索病毒攻擊對象。中小型企業因為IT預算低無法完整強化系統資安防護,一旦遭受病毒攻擊,大多沒有能力恢復系統,只能乖乖繳贖金來取回資料。
工研院研發的「抵抗勒索病毒的雲端備份技術」可幫助中小型企業對抗勒索病毒,此技術可將企業重要資料定期備份到雲端,確保重要營運資料受到完整保護,當企業遭受病毒攻擊後,可透過備份資料即時回復系統,迅速恢復營運。另外,雲端系統對於中小型企業來說,是最具高成本效益的備份方式,雲端系統的用多少付多少計價方式、易於管理、高可靠度等優點,可大幅減少企業IT支出。隨著病毒不斷的進化,感染途徑也日新月異,資料備份是公認企業對抗勒索病毒最重要的最後一道防護關卡。
資料安全為系統設計核心概念
工研院研發的「抵抗勒索病毒的雲端備份技術」,以資料安全為核心概念作設計,與其他備份軟體相比,具備以下兩大重點特色。
具備抵抗勒索病毒能力
目前大部分資料備份軟體的設計並沒有以抵抗現代勒索病毒為標的,因此他們所備份的檔案是有可能被勒索病毒污染或刪除,導致企業在遭受病毒攻擊後,備份系統儲存的資料仍舊無法提供系統還原。勒索病毒加密檔案的手法不盡相同,除了所使用的加密演算法不同外,檔案被加密的位置也大不相同,包含了檔案整個加密、部分加密、隨機位置加密、跳過檔案標頭僅加密檔案內容等。本系統會自動檢視每個欲備份到雲端的檔案內容,包括檢查標頭和內容是否有被病毒加密的跡象,一旦發現檔案有被病毒汙染,系統將避免備份系統乾淨的版本被複寫,確保每個檔案於備份系統中都至少有一份未受病毒汙染的版本。
除此之外,本系統的「一鍵乾淨還原功能」可讓企業在遭受病毒攻擊後快速復原系統。此功能自動為每個檔案找到其不受病毒汙染的最新版本,在一次的還原執行下,自動達成整個系統最乾淨的還原。以圖1為例,此系統總共有三個檔案且已執行過四次備份,每個檔案的最新且未受病毒汙染的版本不盡相同,例如,這三個檔案各自最新不受汙染的版本分別為:備份時間點2的版本2、備份時間點2的版本1、備份時間點1的版本1。本系統的「一鍵乾淨還原功能」可自動為每個檔案找到以上所述版本,在一次的還原執行下就幫整個系統還原至最乾淨的狀況,透過此功能,企業不再需要人工耗時的將整個系統一一還原至各個備份時間點,只為了找到所有檔案落在不同備份時間點的乾淨版本,在備份檔案數量龐大的情況下,此功能可為企業大幅縮短系統復原時間。
圖1 一鍵乾淨還原功能,每個檔案自動還原至不受病毒汙染的最新版本
資料安全儲存且可搜尋
為了解決雲端資料隱私問題,本系統將資料加密後才傳送到雲端做備份,另外,特別研發的「檢索加密技術(Searchable Encryption) 」,更讓加密後的檔案具備檢索能力。在無此技術下,當使用者想從雲端資料找尋某些特定內容的檔案時,由於雲端檔案皆已加密,唯一的方法就是下載所有檔案到地端,解密後再進行檔案搜尋,此方法需從網際網路下載大量檔案非常耗時,且下載大量不需要的檔案也造成不必要的雲端資料下載費用。本系統的「檢索加密技術」,提供使用者加密資料的全文檢索能力,檢索過程不需從雲端下載檔案和資料解密,因此,使用者先透過檢索功能從龐大雲端資料中篩選出符合需要的檔案,之後再將需要的檔案進行下載和解密。此技術提供萬用字元(Wildcard)搜尋能力,準確度(Recall Rate) 100%,搜尋速度快,且已獲中華民國、美國及歐盟的專利權。
系統架構
本系統可支援多台檔案伺服器進行備份,備份地點可選擇Amazon、Microsoft或Google雲端系統。備份資料將透過一台代理伺服器(Proxy Server)進行加密後才從網際網路傳送到雲端。備份的基本單位為資料夾,每台備份伺服器可有多個資料夾設定備份,可各自指定備份頻率,每個備份資料夾基本上保留最新的N份備份,但系統將透過內建的勒索病毒防護機制,替檔案額外保留未受病毒汙染的檔案版本。
圖2 系統架構
勒索病毒升溫 需立即啟動防護措施
資安業者Cytelligence近期指出 [4],2019年全球平均每 14 秒就有一個新企業遭受勒索病毒攻擊,但從2019年至今,此數字已下降至11秒,顯示勒索軟體危害急遽增加,所有企業都應該要即刻正視這個問題。工研院研發的「抵抗勒索病毒的雲端備份系統」可幫助缺乏資源的國內中小型企業快速建立自主災害復原能力,以抵禦不斷演進的新型勒索病毒,避免企業支付數百萬甚至上億元的贖金,和營運中斷所造成的損失。此系統具備抵抗勒索病毒能力,能確保每個檔案於備份系統皆保存著未受病毒汙染可供還原的檔案版本。本系統研發的檢索加密技術,除了將資料加密後才會備份到雲端外,亦提供加密資料全文檢索功能讓企業可更輕鬆管理備份資料。
參考文獻
[1] Yahoo News https://news.campaign.yahoo.com.tw/2020election/article.php?u=57f2913d-8e35-31d5-910f-a200382ce193
[2] Bitdefender:2020 Consumer Threat Landscape Report https://www.bitdefender.com/files/News/CaseStudies/study/395/Bitdefender-2020-Consumer-Threat-Landscape-Report.pdf
[3] Coveware:Ransomware Payments Fall as Fewer Companies Pay Data Exfiltration Extortion Demands https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[4] Cytelligence:Ransomware in 2020 https://cytelligence.com/ransomware2020/