期交所雙月刊66期

21 臺灣期貨雙月刊 TAIFEX BIMONTHLY 3. 定期備份資料並確認備份媒體有效性 4. 離線保護備份資料並且不要跟電腦或網路相連結 5. 設立一個遭遇勒索軟體攻擊時的持續應對計畫 6. 其中第 3 點與第 4 點與資料備份與媒體保護相關 離線保護資料的迷思 過去談到離線保護資料，總單純的定義為將 備份磁帶退出磁帶館，放入媒體庫或異地分儲， 但這作法已無法處理勒索軟體帶來的災難，根據 統計勒索軟體入侵後平均潛伏超過 100 天，目的 在奪取控制權、擴大感染範圍，還原磁帶資料已 無法協助客戶面對這樣的災難，像中油等受駭企 業，就是生產系統與備份系統都被加密，不付錢 的話，就得花很長一段時間設法解密還原資料。 新興起的還原思維 企業傳統建置 DR （ Disaster Recovery ）做為 備援系統，當駭客利用勒索軟體鎖定對象發起攻 擊時、他們除了加密系統之外，還會對備份目錄 進行加密，且 DR 環境與生產環境網路相通，並未 與受到攻擊的網路隔離，這使得 DR 環境也曝露 在攻擊之下。現在有個新的概念網路還原力（ CR, Cyber Resilience ），也稱為隔離恢復（ Isolated Recovery ），是數據保護的一個新領域，旨在提 供勒索軟體或其他新興起網路威脅的解決方案。 DR 與 CR 的比較 傳統災難恢復（ DR ）方法在網路攻擊後可以 像自然災害一樣恢復正常營運，但是 DR 與 CR 還 是存在差異 （表 1 ） 。 DR 目的是使服務恢復到正 常狀態，同時將資料遺失狀況降至最低，這意味 著專注於兩地資料傳輸與 IT 基礎設施的可用性至 關重要。 DR 優先考慮恢復營運速度和系統可用性，複 製和冗餘是因應自然災害主要方法，也是傳統上 被視為 DR 核心組件，而這個考量重點與 CR 大相 逕庭，因為兩者回復範圍、事件發生頻率、威脅 衝擊以及存儲和恢復位置差異，使它們成為兩個 截然不同的問題。 CR 所需工具是隔離的、離線備 份環境，其要求將基本資料儲存在與生產和復原 環境分開的低訪問、安全和不可變的保險庫中。 避風港計畫緣起 避 風 港（ Sheltered Harbor ） 計 畫 是 由 美 國 金 融 服 務 業（ Financial Services Information Sharing and Analysis Center ， FS-ISAC ） 於 2015 年提出的概念，目的在提供金融市場保護關 鍵的客戶資料以及支持營運的核心資料集，當關 鍵服務受網路攻擊或其他極端狀況導致毀損時， 得以利用這些資料快速恢復營運，要達成這個目 標有 3 個重點： • 資料金庫化（ Data Vaulting ） 參與的金融機構每天以標準格式備份關鍵的 客戶重要資料，然後將這些資料加密並傳輸到資 料保險庫。該保險庫與機構的系統完全分離，因 此無論網路攻擊多麼有效，攻擊者都無法訪問存 儲的資料。資料保險庫是與生產網路隔離的（ air- gapped ），這意味著它與銀行的系統完全隔離。 參與者可以自行管理保險庫，也可以使用其他技 術服務商提供的平台。資料保險庫是加密的、不 可更改的，並且與機構的基礎設施（包括所有備 份）完全分離。在發生漏洞、自然災害或其他系 統故障時，金融機構的資料將傳輸到恢復平台 （ Restoring Platform ），在那裡解密，再提供客 戶對重要資料的訪問。 • 彈性計畫（ Resiliency Planning ） 所有參與者都必須完成一項嚴格而有紀律的 表 1 ： DR 與 CR 的比較 分類 DR （ Disaster Recovery ） CR （ Cyber Resilience ） 回復時間 越快越好 可信賴的速度 回復連續性 資料無損失 容許 1 天的差異 威脅類型 地震、洪災、電力中斷 網路攻擊 威脅衝擊 典型區域 全球性、快速散播的 網路拓樸 與主中心相連 實體隔離 資料類型 複雜且大量 只含基本服務的必要資料 回復方法 通常 failback 採階段式挑選資料範圍還原