靠 ActiveProtect 備份隔離機(jī)制守護(hù)資料最後一道防線

臺北2025年8月7日 /美通社/ -- 近日傳出全球知名遊樂產(chǎn)業(yè)公司，遭遇重大規(guī)模資料外洩事件，惡意勒索軟體不但加密組織的資料，還設(shè)有「毀滅模式」，一旦啟動就會完全刪除所有檔案，這顯示出攻擊者不再只以勒索企業(yè)為目標(biāo)，更意圖癱瘓業(yè)務(wù)核心。

這帶給企業(yè)的提醒，是即便擁有龐大預(yù)算與完整團(tuán)隊，仍難以抵擋高度組織化與產(chǎn)業(yè)化的網(wǎng)路攻擊。同時，這帶出資安早已不是有部署就夠，從端點(diǎn)、網(wǎng)路、資料、存取控制，到網(wǎng)路韌性的每個環(huán)節(jié)都不能鬆懈，必須建構(gòu)系統(tǒng)性資料保護(hù)架構(gòu)，企業(yè)才能以完善的防禦措施面對網(wǎng)路攻擊，確保持續(xù)營運(yùn)。

多層次防禦系統(tǒng)當(dāng)?shù)?，從端點(diǎn)防護(hù)到備份能力缺一不可
仔細(xì)拆解這個惡意攻擊的過程，會發(fā)現(xiàn)駭客並非正面突破，而是透過合作供應(yīng)商的資安破口，竊取超過上萬份機(jī)密檔案。更可怕的是，該勒索病毒還採用「邊勒索、邊毀檔」的雙重攻擊模式，即使企業(yè)付錢也無法保證資料能復(fù)原。

因此，企業(yè)若要有效抵禦攻擊，不可只依賴防火牆或單一防毒工具，而是必須建構(gòu)整套從內(nèi)到外的多層次防禦系統(tǒng)。更重要的是，企業(yè)現(xiàn)在不能「獨(dú)善其身」，更得嚴(yán)格要求與管理供應(yīng)鏈，確保所有合作夥伴都符合相同資安標(biāo)準(zhǔn)，定期評估與稽核供應(yīng)商資安情形，並建立明確的資安合規(guī)條款，才能避免碰上類似的窘境。

而要達(dá)到完整的多層次防禦，就必須具備以下幾個關(guān)鍵構(gòu)面：

• 端點(diǎn)防護(hù)：部署 EDR（Endpoint Detection & Response）或進(jìn)階防毒軟體，可以主動偵測並阻擋勒索軟體與可疑行為。許多攻擊都是從單一端點(diǎn)滲透企業(yè)內(nèi)網(wǎng)，因此端點(diǎn)若失守，整個系統(tǒng)就可能淪陷。
• 網(wǎng)路防護(hù)：實(shí)施網(wǎng)路區(qū)隔、設(shè)置內(nèi)網(wǎng)防火牆等，有效分隔關(guān)鍵業(yè)務(wù)系統(tǒng)與一般用戶，並透過 IDS/IPS 或 NDR 等工具，進(jìn)行流量分析與異常偵測，即時攔截異常連線。
• 資料安全：保護(hù)企業(yè)最關(guān)鍵的資料內(nèi)容，包括個資、機(jī)密商業(yè)資料，加密資料以降低外洩風(fēng)險。同時搭配 DLP（Data Loss Prevention）機(jī)制，防止資料遭異常複製、匯出或上傳到不明位置。
• 存取控管：落實(shí)零信任、最小權(quán)限原則，且導(dǎo)入多因子驗證（MFA），防止帳號盜用後被攻擊者濫用。組織亦可整合 SSO 與 IAM 平臺，統(tǒng)一控管企業(yè)內(nèi)外部的身分與授權(quán)行為。
• 系統(tǒng)監(jiān)控：部署 SIEM（Security Information and Event Management）平臺，可集中收集並關(guān)聯(lián)分析來自系統(tǒng)、網(wǎng)路、應(yīng)用的安全事件，還能提早察覺資料異常存取、大量寫入等攻擊前兆。
• 備份與還原：定期備份重要資料，保存多個版本與異地副本，企業(yè)才能在遭受攻擊時無需支付贖金，即可利用備份資料還原系統(tǒng)狀態(tài)，減少停機(jī)所造成的損失。

ActiveProtect 內(nèi)建不可竄改與離線備份，有效守護(hù)備份資料安全性
整套企業(yè)資安防禦體系中，備份與還原經(jīng)常被視為最後一道防線：當(dāng)所有防禦措施失效、資料遭加密或刪除時，備份能幫助組織恢復(fù)營運(yùn)、避免支付高額贖金。然而，當(dāng)前駭客不再滿足加密原始資料，還會進(jìn)一步攻擊備份系統(tǒng)。對此 Synology 推出備份專用一體機(jī) ActiveProtect，就著重備份伺服器本身安全性，打造備份資料隔離機(jī)制，確保備份堅不可摧。

首先，ActiveProtect 提供不可竄改備份（Immutable backup）功能，結(jié)合了版本鎖定（Retention lock）機(jī)制，能為每個備份標(biāo)的、各個版本都套用不可變鎖定，相較於傳統(tǒng)備份軟體僅能在儲存空間的快照層級進(jìn)行鎖定，ActiveProtect 的保護(hù)層級更為全面。

這種機(jī)制也大幅減輕了管理負(fù)擔(dān)，無需為不同保留時間的標(biāo)的，切割不同儲存空間，等於能降低人為疏失造成的安全漏洞。當(dāng)備份資料一旦上鎖，面對勒索病毒攻擊或內(nèi)部惡意操作，就無法被修改或刪除，從而使資料安全性達(dá)到零信任標(biāo)準(zhǔn)。

再來 Synology 要從另一個面向，防堵惡意攻擊進(jìn)入備份伺服器的可能。ActiveProtect 內(nèi)建自動化的實(shí)體/網(wǎng)路隔離技術(shù)（Air-gap）。當(dāng)備份資料從備份伺服器，複製到異地的 ActiveProtect 裝置時，系統(tǒng)會自動識別資料傳輸階段，僅允許指定來源伺服器傳送資料，有效阻絕非必要連線。備份任務(wù)完成後，異地的備份伺服器，還會自動關(guān)閉網(wǎng)卡或裝置電源，防止任何非授權(quán)連線或滲透風(fēng)險。

過往類似的離線備份，多是靠人工移除網(wǎng)路線或手動移除硬碟的方式，相當(dāng)不便利。而 ActiveProtect 提供更智慧、即時且自動化的解決方案。此外，由於 ActiveProtect 能自動偵測來源端的資料傳輸狀態(tài)，若備份提前結(jié)束，系統(tǒng)也會相應(yīng)提前自動關(guān)閉網(wǎng)路，將備份伺服器的暴露風(fēng)險降至最低，確保企業(yè)擁有一份乾淨(jìng)且可靠的可還原資料。

面對日益複雜且持續(xù)演進(jìn)的資安威脅，企業(yè)需建立起多層次的防禦架構(gòu)，免於自身成為資安事件的受害者。從端點(diǎn)防護(hù)、網(wǎng)路安全、資料保護(hù)到存取控管，各個環(huán)節(jié)都得做到滴水不漏，尤其作為最後防線的備份系統(tǒng)，更需要具備不可竄改及網(wǎng)路隔離等進(jìn)階功能，才能在危急時刻發(fā)揮功用，確保企業(yè)在遭受攻擊時迅速復(fù)原、達(dá)成營運(yùn)不中斷的目標(biāo)。

>> 欲打造高度韌性的資料保護(hù)架構(gòu)，歡迎與專家免費(fèi)諮詢：https://sy.to/nlfbc