在上篇專訪中提到Acronis (安克諾斯)正提供雲服務平台且專門為服務供應商(Managed Service Provider)而打造。Acronis 從去年11月台灣資料中心落地。有了這個台灣本地的資料中心,使用Acronis的服務供應商(Managed Service Provider)也能提供方案符合特定行業,如公部門、金融、醫療等,對機敏資料的規範。然而如何為服務供應商(Managed Service Provider) 做到服務差異化並達到資安效率化? Acronis 大中華區首席技術顧問 王榮信在接受《資安人》專訪,娓娓道出Acronis如何把資料保護跟資安防禦做出有別於市場的超融合。
Q. Acronis的超融合是甚麼? 超融合對服務供應商(Managed Service Provider, MSP)的意義是那些?
A. Acronis積極進行資料保護跟資安防護技術的超融合,Acronis可以做到用單一agent (代理程式) 執行多層次防護。過去防毒、EDR、DLP的agent各自獨立,不同的管控有不同agent。在同一個端點上,平均中小企業有6-7支,大型企業10支以上。未來可能還會更多,因為攻擊手法改變,可以預測的是agent越裝越多。
Acronis把所有的防護都融合在單一agent中,根據服務供應商自身需求或其前端客戶需求,決定agent要開啟什麼功能。這個特色對於服務供應商的工程師會很有感,當有多個代理程式存在就會產生管理的問題,像是升級頻率、相互衝突等都是挑戰。
管理的工作負荷量才是服務供應商或使用單位真正的考量重點。
Acronis常常遇到服務供應商擔心,想多賣一些服務產品,但是人力資源沒有太多。多賣一個服務,反而影響到原來的產品。客戶評價不好,人手不足壓垮自己,反而無法提供好的服務。
簡單來說,Acronis的超融合就是要做到3個重點: 降低管理複雜度、人力營運成本降低、協助想要轉型的SI或服務供應商快速容易轉型。
從使用單位的角度來分析,委外服務是一定的趨勢。尤其是中小企業,他們之前可能不是很重視資安,不可能養人、買斷技術。但是現在中小企業面臨的資安威脅不會比大企業少,透過委外,他們可以專心在自己本來的業務。像資安這類的服務需求轉向服務供應商委外,是很自然的發展。
Q. Acronis 如何協助服務供應商的加值服務做到市場差異化?
A. Acronis 提供與服務供應商既有後台的深層技術面整合,這裡面包含自動化服務。用Acronis與GoDaddy (全球最大網際網路域名註冊及網站代管公司) 整合為例,客戶在GoDaddy 租用Windows 主機外,還需要防毒軟體的防護、機器還原之類服務時,使用者只要在GoDaddy 後台勾選,GoDaddy 就可以自動完成提供Acronis的服務。類似這種深層服務的整合,Acronis提供API。用API界接的方式可以很方便提供服務。
目前Acronis在台灣服務快50家服務供應商,並協助SI轉型、雲服務供應商(如:網站託管、ERP軟體服務提供商等類型為主)。今年預計客戶數量會快速成長。
除了中文化服務,Acronis對服務供應商還有彈性的貼牌服務,服務供應商可以維持一貫的品牌視覺提供加值服務,Acronis要做服務供應商最堅強的後盾!
Q. 從事件的前中後階段,Acronis如何協助MSP更有效率的處理資安事件?
A. Acronis協助服務供應商處理資安事件有兩個面向:一個是服務供應商自己,一個是他的客戶。服務供應商提供服務的同時也要保護自己,不受攻擊。此外服務供應商幫助他們的客戶也有數位韌性。畢竟客戶要活得下去才有錢購買服務供應商的服務。
Acronis在事前中後有不同的連動聯防著墨。先談事後,我們談的不只是備份還原,還要確保還原乾淨,避免無效的備份。我們會在還原前,用最新病毒碼,先在雲端掃描,確定檔案是乾淨的才做還原,這是獨家功能。因為做備份的廠商基本上沒有資安技術,除非他跟資安廠商合作才能提供這樣的服務。
事中處理過程,更為重要。勒索攻擊的地下經濟體大,病毒不斷地進行變種,攻擊者用一次勒索軟體就丟了,下次再買新的。這樣的現象讓每次防毒軟體的效率不彰,採集樣本的偵測率跟不上變種的速度。但是從勒索軟體行為的本質看,不管如何病毒變種,它們都要加密才能攻擊。Acronis用加密這個動作做為AI引擎觸發因子,識別勒索軟體的動作。
Acronis的專利技術在於能做到不犧牲部分檔案,也可識別勒索軟體的攻擊。我們的作法是把程式做在Driver(驅動)層,當勒索軟體要加密或改變檔案型態時,Driver可以過濾system code(程式碼)。懷疑是惡意行為時,系統會它持續動作,等到識別確認就踩住它,不讓它繼續動作。在這個過程中,我們同時先把好的檔案Cache (緩存)住。當系統刪除被識別出來的惡意程式同時,從 Cache上的檔案進行自動回復。
時間差在勒索攻擊事件裡面常常是造成企業災損的重要因素。
尤其是企業組織裡,IT多數不做個別終端的備份服務。但是當組織中有特殊權限的終端設備被攻擊時,「零時差」的防護顯得更為重要。
即便是識別的過程中,有些檔案被加密,但是好的檔案有Cache 並自動還原,從結果論來說是好的。這個技術不是備份也不是EDR就能做到的,但就是一個Acronis超融合的例子。
事前的部分,就是惡意程式到企業內部的端點或資料庫前,Acronis的防護包含兩個面向:
- 針對系統跟應用程式層面漏洞盤點與修補;
- 人也是資安破口之一。人會上網與收發郵件,過程中遭遇釣魚網站或惡意郵件,我們可以做整體過濾。
為了要有效率的處理資安事件,當然產品、技術是一個重點,有沒有自動化,可不可以融合,強化過去做不到的,讓防護發揮效果都是重要的。但是不能忽略的是,無論是數位轉型跟數位韌性,最重要的在管理者上,管理者能不能去管理這件事。因此用技術協助管理者更有效率的處理跟管理,達到持續營運目標,才是Acronis關注的重點。
系列文章: 老牌備份軟體如何幫助客戶一鍵數位轉型再創價值