กู้คืนข้อมูลจาก Server ที่ถูกโจมตีจาก Ransomware ได้สำเร็จ! ด้วย Backup Solution จาก NIPA Cloud
เมื่อกล่าวถึงการสูญหายของข้อมูล แน่นอนว่ายิ่งข้อมูลที่เสียไปสำคัญและมีจำนวนมากเท่าไร ก็ย่อมส่งผลเสียอย่างร้ายแรงต่อองค์กรมากเท่านั้น การถูกโจมตีทางไซเบอร์ ถือเป็นอีกหนึ่งความเสี่ยงที่ก่อให้เกิดความเสียหายของข้อมูลได้ โดยเฉพาะในยุคที่นิยมเก็บข้อมูลของธุรกิจหรือองค์กรในรูปแบบไฟล์อิเล็กทรอนิกส์ ในกรณีศึกษานี้ จะกล่าวถึงวิธีการใช้ backup solution ของ NIPA Cloud กู้คืนข้อมูลจาก server ที่ถูก ransomware โจมตี รวมถึงการลดความเสี่ยงจาก ransomware ด้วย
อันตรายจาก Ransomware
Ransomware คือ มัลแวร์ (Malware) ที่จะเข้ารหัสหรือล็อกไฟล์ที่ต้องการโจมตีไว้ ทำให้เจ้าของไฟล์หรือผู้ใช้งานที่มีสิทธิ์เข้าถึงไม่สามารถเข้าถึงไฟล์นั้น ๆ ได้อีกต่อไป ขณะเดียวกัน ผู้โจมตีจะ “เรียกค่าไถ่” เพื่อแลกกับรหัสที่ใช้เข้าถึงไฟล์ที่โดนโจมตี
เมื่อเกิดเหตุการณ์ดังกล่าวขึ้น หมายความว่าผู้ใช้งานหรือองค์กรจะไม่สามารถเข้าถึงข้อมูลที่ถูกโจมตีได้อีกต่อไป หรืออาจจะต้องสูญเสียงบประมาณจำนวนมหาศาลเพื่อแลกกับข้อมูลซึ่งไม่แน่ว่าจะได้กลับคืนมาหรือไม่
การป้องกันและลดความเสี่ยงจากการติด Ransomware
เพื่อลดความเสี่ยงจากการติด ransomware ธุรกิจหรือองค์กรควรปฏิบัติตามวิธีการต่อไปนี้
1. ใช้ซอฟต์แวร์ที่ถูกลิขสิทธิ์และอัปเดตอย่างสม่ำเสมอ หากไม่อัปเดตระบบปฏิบัติการและซอฟต์แวร์ อาจก่อให้เกิดช่องโหว่ซึ่งทำให้ถูกโจมตีได้โดยง่าย
2. ติดตั้งโปรแกรมป้องกันไวรัสหรือป้องกันมัลแวร์และใช้งานเป็นประจำ เพื่อป้องกันการติดไวรัส ป้องกันการเข้าถึงเว็บไซต์ที่เป็นอันตรายและช่วยตรวจสอบไฟล์ที่ดาวน์โหลดมาทั้งหมด
3. สร้างความตระหนักรู้และวิธีตรวจสอบอันตรายในการใช้งานอีเมลให้แก่พนักงาน เนื่องจากการโจมตีอาจแฝงมาในรูปแบบของอีเมลหลอกลวง โดยมักเป็นไฟล์แนบหรือลิงก์ที่อาจสร้างความเสียหายได้หากคลิกโดยไม่ตรวจสอบให้ดี
4. สำรองข้อมูล (Backup) อย่างสม่ำเสมอ เพื่อให้สามารถกู้คืนข้อมูลที่ติด ransomware และป้องกันไม่ให้ข้อมูลที่สำรองไว้ถูกโจมตี ในกรณีศึกษาดังกล่าวนี้ ผู้ใช้งานใช้บริการ backup solution กับทาง NIPA Cloud ซึ่งสำรองข้อมูลจำนวนหนึ่งไว้ที่ server ของ NIPA Cloud ทำให้สามารถกู้คืนข้อมูลกลับมาได้อย่างปลอดภัย
5. กำหนดมาตรการด้านความปลอดภัยทาง IT ขององค์กรอย่างเข้มงวด เช่น การกำหนดสิทธิ์ในการเข้าถึงอุปกรณ์และไฟล์ต่าง ๆ การกำหนด policy เรื่องการติดตั้งซอฟต์แวร์ เป็นต้น
กรณีศึกษา : การกู้คืนข้อมูลจาก server ของผู้ใช้บริการที่ถูก ransomware โจมตี ด้วย backup solution จาก NIPA Cloud
Backup Solution ที่ติดตั้งไว้
ในกรณีนี้ มี server ทั้งหมด 5 เครื่อง ที่มีการ backup โดยจะติดตั้งบนเครื่อง Veeam Server (Veeam Backup and Replication) ที่ตั้งอยู่ทั้งฝั่งผู้ใช้บริการและฝั่ง NIPA Cloud โดยเครื่องทางฝั่งผู้ใช้บริการจะทำหน้าที่ตั้งค่าและสั่งการ backup jobs รวมถึงการสั่งการ restore ข้อมูล ขณะเดียวกันเครื่องทางฝั่ง NIPA Cloud ซึ่งมีพื้นที่ทั้งหมด 2 TB มีหน้าที่สำรองข้อมูล และเป็น cloud gateway สำหรับเชื่อมต่อกับเครื่องฝั่งผู้ใช้บริการ
แผนภาพ backup solution ที่ NIPA Cloud วางระบบไว้
รูปแบบการโจมตีจาก Ransomware
แผนภาพแสดง server ที่ถูก ransomware โจมตี
ขั้นตอนการ Restore ข้อมูล
ทีมงาน NIPA Cloud รับเรื่องจากผู้ใช้บริการและประสานงานต่อทันทีที่ได้รับแจ้งปัญหา แม้อยู่นอกเวลาทำการ โดยเริ่มจากการประสานให้ทีมที่เกี่ยวข้องเช็กความผิดปกติของไฟล์ backup
เนื่องจากเครื่อง Veeam server ทางฝั่งผู้ใช้บริการถูก ransomware โจมตี ทีมงานจึงสร้างเครื่องดังกล่าวขึ้นใหม่ และเชื่อมต่อมายัง Veeam Cloud Connect ฝั่ง NIPA Cloud เพื่อ restore ข้อมูลกลับไปตามขั้นตอนดังนี้
2.1 ติดตั้ง Veeam Backup and Replication Version 11
2.2 ดาวน์โหลด Veeam License จากหน้า Veeam Portal Partner เพื่อนำไปใช้บนเครื่องที่ติดตั้งใหม่
2.3 เชื่อมต่อมายัง Veeam Cloud Connect ฝั่ง NIPA Cloud โดยการใช้ tenant เดิม ด้วยวิธีการดังกล่าวนี้ ทีมงาน NIPA Cloud สามารถ restore ข้อมูลในระดับ full VM สำเร็จถึง 2 เครื่องเซิร์ฟเวอร์ (Server-01 และ Server-03)ดำเนินการ restore ข้อมูลจากเครื่องที่เหลือในระดับไฟล์ แต่ไม่สำเร็จเนื่องจากไฟล์มีจำนวนมากกว่า 7 แสนไฟล์ รวมขนาดกว่า 800 GB รวมถึงไฟล์จำนวนมากติดไวรัส ทำให้ระบบของ Veeam ต้อง clean ไวรัสด้วย จึงใช้เวลาดำเนินการนานกว่าปกติ 4-5 เท่า
ทีมงาน NIPA Cloud เปลี่ยนวิธีการมาสร้างเครื่อง Veeam server (Veeam Backup and Replication) ที่ฝั่ง NIPA Cloud แทน เพื่อแก้ไขปัญหา network ระหว่าง site และใช้เครื่องที่สร้างใหม่นี้สั่ง restore ข้อมูลจาก Veeam Cloud Connect ในรูปแบบ guest file (Microsoft Windows) ซึ่งในขั้นตอนนี้ สามารถเลือก export เฉพาะไฟล์ที่ผู้ใช้บริการจำเป็นต้องใช้งานออกมาลง External Hard Drive ก่อนได้
Map Network Drive จากเครื่องของผู้ใช้บริการมายังเครื่อง Veeam server ฝั่งผู้ใช้บริการ ผ่าน VPN เพื่อ transfer ข้อมูล โดยใช้โปรแกรม FreeFileSync ในการ transfer และ skip ไฟล์ที่ติดไวรัสทั้งหมดเพื่อความรวดเร็วและป้องกันการส่งต่อไฟล์ที่ติดไวรัสไปยังเครื่อง server ใหม่
Transfer ข้อมูลที่เหลือทั้งหมดไปยัง server ฝั่งผู้ใช้บริการสำเร็จรวมกว่า 6 แสนไฟล์ โดยเป็นไฟล์ที่ปราศจากไวรัสทั้งหมด
จากกรณีศึกษาดังกล่าวจะพบว่า ด้วยการสำรองข้อมูลไว้ที่ server ของ NIPA Cloud และความเชี่ยวชาญของทีมงาน ผู้ใช้บริการที่ใช้ backup solution ของ NIPA Cloud สามารถกู้คืนข้อมูลที่สูญหายไปจากการติด ransomware ได้เกือบทั้งหมด ลดความสูญเสียให้แก่องค์กรได้เป็นอย่างมาก ทั้งในด้านค่าใช้จ่ายและความไว้วางใจของลูกค้าลูกค้าองค์กร
หากต้องการใช้บริการ backup solution จาก NIPA Cloud พร้อมรับคำปรึกษา และการดูแลอย่างใกล้ชิด สามารถติดต่อรับคำแนะนำได้เลยทันที
We—as a team of Thai people—are assured that Thai cloud is the absolute answer for driving your business in the digital era.