ตามรายงานการป้องกันข้อมูลปี 2023 นั้นมี 85% จากการสำรวจกลุ่มลูกค้าที่เจอเหตุการณ์การโจมตีจาก Ransomware และจากข้อมูลพบว่ามีเพียง 19% เท่านั้น ที่สามารถกู้คืนข้อมูลได้อย่างรวดเร็วโดยไม่ต้องจ่ายค่าไถ่ และพบอีกว่าผู้ที่ยอมจ่ายค่าไถ่ประมาณหนึ่งในสามไม่ได้รับข้อมูลคืน ดังนั้น Veeam จึงมุ่งมั่นที่จะทำให้กลุ่มลูกค้าที่ใช้งานอยู่เป็นหนึ่งใน 19% ที่สามารถจะกู้ข้อมูลคืนได้ตลอดเวลา และไม่ต้องจ่ายค่าไถ่โดยไม่รู้ว่าจะได้ข้อมูลนั้นคืนหรือไม่
Ransomware Recovery Strategies หรือกลยุทธ์ของการกู้คืนข้อมูลจากการถูกโจมตีจาก Ransomware ประกอบไปด้วย
1. การรักษาความปลอดภัยของการสำรองข้อมูลด้วยการทำ Immutable Repository หรือการสำรองข้อมูลที่ไม่สามารถแก้ไขหรือลบได้จนกว่าจะถึงวันที่กำหนดไว้ (Retention Policy) โดย Veeam สามารถใช้งาน Repository ได้ทั้งในรูปแบบ Harden Linux Repository หรือการสำรองข้อมูลบน Cloud Provider ที่รองรับการป้องกันการแก้ไขหรือลบข้อมูล เช่น Object Storage ชนิด AWS Amazon S3 หรือ Microsoft Azure Blob Storage เป็นต้น
2. การสำเนาชุดข้อมูลสำรองเหล่านั้นด้วย Best Practice ตามกฎ 3-2-1-1-0 Rule
3 : ควรมีสำเนาข้อมูลอย่างน้อย 3 ชุด
2 : ควรเก็บข้อมูลสำรองไว้บน Storage Media Type ที่แตกต่างกันอย่างน้อย 2 แบบเช่น ทั่วไปเรามักเก็บบน Internal Hard Disk Drives และอีกชุดข้อมูลอาจจะเก็บในรูปแบบ Tapes, External Hard Disk Drives หรือ Cloud-storage ก็ได้
1 : ควรจะเก็บสำเนาข้อมูลอย่างน้อย 1 ชุดให้อยู่ต่าง Site หรือต่าง Location กัน
1 : ควรจะเก็บสำเนาข้อมูลอย่างน้อย 1 ชุดในลักษณะการทำ Offline Backup หรือการทำ Air-gapped Backup คือในช่วงที่ไม่มีการ Backup ระบบจะไม่ถูกทำการเชื่อมต่อกับเครือข่ายหรืออีกนัยคือ Hacker ไม่สามารถเข้ามาแก้ไขหรือลบข้อมูลที่สำรองนั้นได้ เช่น Rotating external USB-disks, Tapes หรือ Object Storage with Immutability.
0 : คือการตรวจสอบให้แน่ใจว่าการสำรองข้อมูลนั้นไม่มีข้อผิดพลาด 0 Error ด้วยฟังก์ชั่น Sure Backup
3. การกู้คืนข้อมูลจากชุดที่ปลอดภัยจาก Ransomware ซึ่ง Veeam มีกระบวนการทำงานที่เรียกว่า Secure Restore โดยจะทำการทดสอบการ Restore ผ่านทาง Mount Server หรือ Veeam Server ที่ติดตั้ง Anti-Virus (Windows Defender, ESET, Symantec, Kaspersky หรือ Anti-Virus ที่รองรับการสั่งงานผ่าน Command Line Interface (CLI) โดยตรวจสอบว่ามี Ransomware ฝังอยู่ในชุดที่สำรองข้อมูลนั้นหรือไม่ หากตรวจสอบแล้วว่ามี Malicious หรือสิ่งที่เป็นอันตราย สามารถสั่งให้หยุดการกู้คืนชุดข้อมูลนั้น และเริ่มกระบวนการ Secure restore กับชุดสำรองข้อมูลถัดไป หากตรวจสอบแล้วชุดข้อมูลนั้นปลอดภัย เราสามารถสั่ง Restore ไปยัง Production หรือ Restore ไปยัง Environment อื่น ๆ เช่น Cloud ได้ หรืออีกกรณีหากการ Scan พบบางสิ่งที่เป็นอันตรายในไฟล์ชุดสำรองข้อมูลนั้น และเป็นข้อมูลสำคัญเรามีโอกาสที่จะยังคงกู้คืนข้อมูลนั้นได้ โดยเราสามารถสั่งให้ Anti-Virus Scan จนแล้วเสร็จและสั่ง Restore โดยการ Disable interface ของ VM นั้นเพื่อให้มั่นใจว่าไม่มีการเชื่อมต่อเข้ากับระบบ Production Network เพื่อทำการวิเคราะห์หา Forensic Analysis ต่อไป ด้วยการทำ Secure Restore สามารถใช้ได้กับประเภทของการกู้คืนข้อมูลดังนี้
- Instant Recovery
- Entire VM Recovery
- Virtual Disks Restore
- Restore to Microsoft Azure
- Restore to Amazon EC2
- Restore to Google Compute Engine
- Disk Export
- SureBackup
4. การมีตัวช่วยในการตรวจสอบและประเมินว่าเราควรจะ Restore ไปยังชุดสำรองข้อมูลเวอร์ชั่นใด RPO หรือแจ้งเตือนหากพบว่ามีความผิดปกติไปยังผู้ดูแลระบบเพื่อทำการตรวจสอบและเร่งหาทางแก้ไขเพื่อช่วยให้ระบบสามารถกู้คืนชุดข้อมูลที่ถูกต้องและปลอดภัยได้อย่างรวดเร็วยิ่งขึ้น ด้วย Veeam ONE ซึ่งจะเข้ามาช่วยในการตรวจสอบหาความเปลี่ยนแปลงหรือการคาดการณ์ช่วงเวลาที่เกิดความผิดปกติของ VM นั้นได้ เช่น การตรวจสอบ CPU Usage, Data Write Rate, Network Transmission Rate หรือ Suspicious Incremental Backup Size เป็นต้น
ดังนั้นกลยุทธ์ของการกู้คืนข้อมูลจากการถูกโจมตีของ Ransomware ที่กล่าวมาข้างต้นจะสามารถช่วยให้คุณเป็นส่วนหนึ่งของ 19 เปอร์เซ็นต์นั้น ที่ไม่ต้องจ่ายค่าไถ่เพื่อที่จะกู้คืนข้อมูลได้อย่างถูกต้องปลอดภัยและรวดเร็ว
หากคุณสนใจบริการหรือต้องการคำปรึกษาเพิ่มเติมด้วย Solution ดังกล่าว
ติดต่อเราได้ที่ marketing@tangerine.co.th หรือ โทร 02 285 5511
ท่านจะได้รับคำตอบจากผู้เชี่ยวชาญที่ได้รับการรับรองมาตรฐาน
บริษัทฯ ผ่านการรับรองมาตรฐาน ISO / IEC 27001: 2013 ซึ่งเป็นมาตรฐานความปลอดภัยของข้อมูลอีกด้วย
