1.1 យុទ្ធសាស្រ្ដ 3-2-1-1

យុទ្ធសាស្រ្ដ 3-2-1 គឺជាគោលការណ៍ណែនាំដ៏ចម្បងបំផុត ដែលស្ថាប័នធំៗ ជាច្រើនប្រើក្នុងការដាក់ពង្រាយការបម្រុងទុកទិន្នន័យជាយូរណាស់មកហើយ។ ដើម្បីធ្វើឲ្យ កាន់តែប្រសើរឡើងនូវការការពារសុវត្ថិភាពទិន្នន័យ ក្រុមហ៊ុន Huawei បានណែនាំនូវកំណែទម្រង់ថ្មី គឺយុទ្ធសាស្រ្ដ 3-2-1-1 ។

ខាងក្រោមនេះជាអត្ថន័យនៃយុទ្ធសាស្រ្ដនីមួយៗ៖

• 3: រក្សាទុកទិន្នន័យ 3 ច្បាប់ចម្លង — 1 ច្បាប់ដើម បូក 2 ការបម្រុងទុក។
• 2: រក្សាទុកទិន្នន័យនៅលើឧបករណ៍ផ្ទុកយ៉ាងហោចណាស់ 2 ប្រភេទ។
• 1: រក្សាទុកច្បាប់ចម្លងទិន្នន័យពីចម្ងាយ 1  (Remote Data Copy)
• 1: រក្សាទុកច្បាប់ចម្លងបន្ថែម 1 និងរក្សាទុកនៅដាច់ដោយឡែកយ៉ាងសុវត្ថិភាព
• គោលបំណងនៃយុទ្ធសាស្រ្ត 3-2-1-1 គឺដើម្បីរក្សាឯកសារ ឬទិន្នន័យចម្លងច្បាប់ចុងក្រោយប្រកបដោយសុវត្ថិភាពបំផុត ដើម្បីធានាបានថាក្រុមបច្ចេកទេស អាចស្ដារឬសង្រ្គោះឡើងវិញនូវឯកសារ ឬទិន្នន័យមកវិញបានភ្លាមៗ ក្នុងករណីដែលទិន្នន័យសំខាន់មួយចំនួនត្រូវបានខូចឬបាត់ ដោយសារតែមានការវាយប្រហាពីមេរោគ Ransomware។

Figure 7: 3-2-1-1 strategy

ហេតុអ្វីតំបន់ឯកោ ឬតំបន់ទុកនៅដាច់ដោយឡែក (Isolation Zone) មានសារៈសំខាន់? 

ការរក្សាទុកឯកសារ ក៏ដូចជាទិន្នន័យក្នុងឧបករណ៍ផ្ទុកនៅតំបន់ឯកោ ឬទុកដាច់ដោយឡែក (Isolation Zone) គឺពិតជាមានសារៈសំខាន់ខ្លាំងណាស់ ក្នុងការការពារពីការវាយលុកពីមេរោគ Ransomware។ ខាងក្រោមនេះ គឺជា ហេតុផលទាំង៣ ដែលអ្នកត្រូវរក្សាឯកសារនៅក្នុង Isolation Zone៖

1. មេរោគ Ransomware អាចមានលទ្ធភាពវាយលុក និងធ្វើការលុបបំផ្លាញនូវឯកសារ និងទិន្នន័យសំខាន់ៗបាន។ តំបន់ឯកោ ឬ Isolation Zone គឺមានបច្ចេកវិទ្យា Air-Gap ដើម្បីការពារទិន្នន័យ ខណៈការរក្សារទិន្នន័យក្នុងឧបករណ៍ផ្ទុកទិន្នន័យនៅតំបន់ឯកោ គឺជាការផ្ទុកបែបអហ្វឡាញ ជាហេតុធ្វើឲ្យមេរោគ Ransomware មិនអាចមានលទ្ធភាពចាប់យក និងចូលទៅជ្រៀតជ្រែកអ៊ិនគ្រីប ឬលុបបំផ្លាសញទិន្នន័យបាននោះទេ។ ហើយនៅពេលដែលទិន្នន័យនៅក្នុងប្រព័ន្ធត្រូវបានបំផ្លាសញ ហើយត្រូវការទិន្នន័យពីតំបន់រក្សាទុកយកមកប្រើប្រាស់ពីតំបន់ឯកោវិញ ពេលនោះវានឹងបើកតែ Replication Port ឬមានន័យថា វាអនុញ្ញាតឲ្យមានផ្លូវចម្លងឯកសារពីឧបកណ៍ផ្ទុកដែលរក្សានៅតំបន់ឯកោ ចូលមកចេញមកវិញបានតែមួយច្រកតែប៉ុណ្ណោះ​ ពោលគឺំមិនមានផ្លូវដែលមេរោគចូលទៅបំផ្លាញឯកសារក្នុងឧបករណ៍ផ្ទុកទិន្នន័យដែលរក្សានៅតំបន់ឯកោបាននោះទេ។
   
   
2. ហានិភ័យនៃការបាត់បង់ ឬលិចធ្លាយឯកសារ មិនមែនកើតឡើងដោយសារតែការវាយលុកពីជនឧក្រិដ្ឋសាយប័រមកពីខាងក្រៅតែមួយមុខនោះទេ​ ប៉ុន្ដែបុគ្គលិកខាងក្នុងស្ថាប័ន ឬក្រុមហ៊ុនក៏អាចជាកត្តាធ្វើឲ្យបាត់បង់ឯកសារ ឬទិន្នន័យផងងដែរ។ បើតាមក្រុមហ៊ុនវិភាគទិន្នន័យបានឲ្យដឹងថា ក្នុងរយៈពេល៣ឆ្នាំខាងមុខ ការគំរាមកំហែងសាយប័រ អាចនឹងកើតឡើងកាន់តែច្រើនចេញពីកត្តាបុគ្គលិកខាងក្នុង។
   
   យ៉ាងណាក៏ដោយ ការរក្សាទិន្នន័យនៅក្នុងតំបន់ឯកោ (Isolation Zone) មិនបង្ហាញនៅលើប្រព័ន្ធបណ្ដាញ (Network) របស់ក្រុមហ៊ុន និងត្រូវបានរក្សាទុកដោយបុគ្គលិកដែលទុកចិត្តបានតែប៉ុណ្ណោះ ដែលមានន័យថា គេអាចបញ្ចៀសពីបញ្ហា ឬហានិភ័យបែកធ្លាយឯកសារ​ឬទិន្នន័យសំខាន់ៗ ដោយសារតែកត្តាបុគ្គលិកខាងក្នុងក្រុមហ៊ុន។
   
   
3. ការរក្សាឧបករណ៍ផ្ទុកឯកសារ ឬទិន្នន័យ នៅក្នុងតំបន់ឯកោ (Isolation Zone) គឺអាចធានាបាន នូវការស្ដារឡើងវិញនៃទិន្នន័យដែលបាត់បង់ ឬត្រូវបានបំផ្លាញ ដែលកើតឡើងក្រោយពីការវាយប្រហាដោយមេរោគ Ransomware។ ថ្វីដ្បិតតែការរក្សារឯកសារនៅក្នុងតំបន់ឯកោ (Isolation Zone) គឺជាការរក្សាឯកសារបែបអហ្វឡាញក៏ពិតមែន ប៉ុន្ដែវានៅតែមានសមត្ថភាពអាចចម្លងឯកសារមកសង្រ្គោះវិញ (Data Recoery) បានយ៉ាងឆាប់រហ័ស ដល់ទៅ ១០០ដងឯណោះ បើប្រៀមធៀបទៅនឹងការរក្សាទិន្នន័យតាមបែប Tape Libruary។ ដូច្នេះហើយ បើទោះបីជា ការរក្សាទិន្នន័យនៅប្រព័ន្ធធំ ត្រូវបានវាយលុក និងបំផ្លាញដោយមេរោគ Ransomware ក៏ដោយ ក៏គេនៅតែអាចស្ដារទិន្នន័យនោះមកប្រើប្រាស់បានភ្លាមៗ ពីឧបករណ៍ផ្ទុកដែលរក្សានៅតំបន់ឯកោបានផងដែរ។ ហេតុដូច្នេះប្រសិនបើគេបានធ្វើការរក្សាឯកការនៅក្នុងតំបន់ឯកោបានយ៉ាងត្រឹមត្រូវ នោះប្រព័ន្ធធំនឹងមិនគាំងនោះឡើយ បើទោះបីជាមានការវាយប្រហារ លុបទិន្នន័យមួយចំនួនពីមេរោគ Ransomware ក៏ដោយ។

1.2 យុទ្ធសាស្រ្ដក្នុងការដាក់អាវក្រោះការពារ ឧបករណ៍ផ្ទុកទិន្នន័យពីមេរោគ Ransomware

ការការពារឧបករណ៍ផ្ទុកទិន្នន័យពីមេរោគ Ransomware ដ៏ពេញលេញពីមេរោគ Ransomware រួមមានការរក្សាទិន្នន័យទាំង ៤ដំណាក់កាល រួមមានដូចខាងក្រោម៖

1. Production Storage
2. Backup Storage
3. Production storage isolation zone
4. Backup storage isolation zone 

នៅក្នុងការអនុវត្តន៍ជាក់ស្ដែង សហគ្រាសត្រូវតែជ្រើសរើសយុទ្ធសាស្រ្ដដែលស័ក្ដសម ចំពោះកម្មវិធី ឬប្រព័ន្ធដែលស្ថាប័នរបស់ពួកគេកំពុងតែមាន ដើម្បីអាចបង្កើតខ្សែរការពារទៅលើឧបករណ៍ផ្ទុកឯកសារ និងទិន្នន័យ សំខាន់ៗ ដែលជាបេះដូងរបស់ស្ថាប័ន ឲ្យជៀសផុតពីការវាយលុកពីមេរោគ Ransomware។

ការអនុវត្តន៍ដែលមានប្រសិទ្ធិភាពបំផុត គឺការបម្រុងទុកទិន្នន័យទាំងអស់, ត្រៀមទិន្នន័យទុកសង្រ្គោះចម្លងចូលទៅកាន់ប្រព័ន្ធសំខាន់ៗ ដើម្បីការពារក្នុងករណីដែលទិន្នន័យទាំងអស់នោះត្រូវបានវាយលុកនិងបំផ្លាញចោល។ ហើយជាចុងក្រោយគឺត្រូវបង្កើតប្រព័ន្ធការពារការវាយលុកពីមេរោគ Ransomware ទៅលើប្រព័ន្ធស្នូលរបស់ក្រុមហ៊ុន។

Figure 8: Overview of storage-layer ransomware protection

1.2.1 ការប្រើប្រាស់ឧបករណ៍ផ្ទុកផ្នែកផលិតកម្ម ដើម្បីការពារទៅលើប្រតិបត្តិការណ៍អនឡាញ និងប្រព័ន្ធផលិតកម្ម

ប្រសិនបើប្រព័ន្ធទាំងនេះ ត្រូវបានវាយប្រហាដោយមេរោគ Ransomware នោះនឹងមានផលវិបាកធ្ងន់ធ្ងរជាច្រើនអាចនឹងកើតឡើង រួមមានការរំខានដល់សេវា (Service Interrumption) និងការជាប់គាំងនៃខ្សែរសង្វាក់ផលិតកម្ម។ ប្រសិនបើមានការជាប់គាំងប្រព័ន្ធបច្ចេកវិទ្យា ដែលជាផលិតកម្មការងារកាន់តែយូរប៉ុណ្ណា ដូច្នេះក្រុមហ៊ុនមួយនោះ ក៏នឹងជួបការខាតបង់កាន់តែធ្ងន់ធ្ងរតាមនោះដែរ។ ហេតុដូច្នេះ សហគ្រាសត្រូវតែផ្ដល់អាទិភាព ទៅលើការងារ សង្រ្គោះមកវិញភ្លាមៗ នូវ Server និងដាច់ខាតត្រូវបង្កើតឲ្យបាននូវផែនការណ៍​ ក៏ដូចជាប្រព័ន្ធការពារការវាយប្រហាពីមេរោគ Ransomware មកលើប្រព័ន្ធបច្ចេកវិទ្យារបស់ស្ថាប័នទាំងមូល។

ដើម្បីសម្រេចបានគោលដៅនៃការការពារមួយនេះ សហក្រាសដាច់ខាតត្រូវតែ រៀបចំនូវយុទ្ធសាស្រ្ដការស្ដារឡើងវិញនូវទិន្នន័យនៅត្រង់ចំណុច Recovery Point Objective (RPO) និងត្រូវធានាឲ្យបានថា អាចទាញយកទិន្នន័យសំខាន់ត្រូវបានរក្សាយ៉ាងសុវត្ថិភាព និងត្រូវបានដាក់ជិត ឧបករណ៍ផ្ទុកទិន្នន័យផលិតកម្ម (Production Sotorage) ដើម្បីធានាបានថា អាចទាញយកទិន្នន័យមកជំនួសបានឆាប់រហ័ស និងទាន់ពេលក្នុងករណីដែល Production Storage ត្រូវបានវាយប្រហា។

ជាមួយគ្នានេះដែរ អ្នកជំនាញ ក៏បានណែនាំឲ្យបង្កើតប្រព័ន្ធការពារមេរោគ Ransomware ទៅលើ Production Storage ឲ្យបានរឹងមាំ និងអនុវត្តន៍យុទ្ធសាស្រ្ដការពារកម្រិតខ្បស់ដើម្បីការពារពីការវាយលុក ពីមេរោគ Ransomware ដែលអាចធ្វើឲ្យបាត់បង់ទិន្នន័យ។ បន្ថែមពីនេះទៀត ការរក្សាទុកទិន្នន័យផលិតកម្ម (Production Storage) នៅក្នុងតំបន់ឯកោ (Isolation Zone) ក៏ជារឿងសំខាន់ដែលត្រូវធ្វើដើម្បីធានាបាននូវសុវត្ថិភាពខ្ពស់ ពីការបាត់បង់ទិន្នន័យដោយសារតែមេរោគ Ransomware ផងដែរ។

ខាងក្រោមនេះជាវិធីសាស្រ្ដសំខាន់ៗមួយចំនួន ក្នុងការការពារ Production Stoage ពីមេរោគ Ransomware៖

បើកដំណើរការមុខងារចាប់មេរោគនៅក្នុងឧបករណ៍ផ្ទុកទិន្នន័យផ្នែកផលិតកម្ម​ (Produciton Stoage) ដើម្បីប្រាកដចិត្តថា អាចមានអាចក្រោះស្កេនស្ទាក់ចាប់មេរោគ ransomware។ ប្រសិនបើស្ថាប័នរបស់អ្នកប្រើប្រាស់ឧបករណ៍ផ្ទុកសេរីទំនើប អ្នកអាចប្រើប្រាស់ប្រព័ន្ធចាប់មេរោគ Ransomware ដែលមានស្រាប់នៅក្នុងឧបករណ៍នោះ (Build-in detection function)។ ប៉ុន្ដែក្នុងករណីដែលស្ថាប័នរបស់អ្នកប្រើប្រាស់ឧបករណ៍សុវត្ថិភាពទិន្នន័យដើម្បីជាជំនួយបន្ថែម ដើម្បីជាជំនួយក្នុងការស្កេនស្ទាក់ចាប់មេរោគ។

បើកមុខងារប្រឆាំងនឹងការរំខាន តាមរយៈការបើកដំណើរការមុខងារ Snapshot ទៅលើឧបករណ៍ផ្ទុកផលិតកម្ម (Production Stoage)  និងឧបករណ៍ផ្ទុកដែលដាក់នៅតំបន់ឯកោ (Isolation Storage)។ ដើម្បីសម្រេចបាននូវកិច្ចព្រមព្រៀងកម្រិតសេវាកម្ម (SLA)​ ពោលគឺការរក្សានូវស្ថិរភាពដំណើរការ System ប្រកបដោយប្រសិទ្ធិភាពខ្ពស់ គឺគេត្រូវអនុវ្តតន៍ការបើកមុខងារ Snapshot តាមច្បាប់ខាងក្រោម៖

1. កាលណាគេ រក្សាប្រព័ន្ធផ្ទុកទិន្នន័យ (Storage System) ឲ្យនៅកាន់តែជិត ទិន្នន័យផលិតកម្ម (Production) នោះនឹងជួយឲ្យមុខងារ Snapshot អាចថត និងចាប់តាមដានមេរោគបានកាន់តែឆាប់រហ័ស។ ឧទាហរណ៍ ប្រសិនបើរយៈពេលនៃការស្ដារមកវិញនៃទិន្នន័យ (Recovery Period) សម្រាប់កម្មវិធីមួយ ត្រូវបានធ្វើឲ្យដំណើរការក្នុងរយៈពេល ២ម៉ោង ក្នុងករណីនេះ អ្នកជំនាញណែនាំឲ្យធ្វើការបង្កើតប្រេកង់ឲ្យខ្លីជាង ២ម៉ោង និងកំណត់ពេលវេលារក្សាទុកទិន្នន័យ ចន្លោះពី ១ ទៅ ៣ថ្ងៃ ដើម្បីឲ្យមុខងារ Snapshot អាចចាប់យកមេរោគបានយ៉ាងមានប្រសិទ្ធិភាព ទៅលើឧបករណ៍ផ្ទុកផលិតកម្ម (Production Stoage)។
   
2. បើកមុខងារអ៊ិនគ្រីបទិន្នន័យ​ (Enable Data Encryption): ប្រសិនបើតំណភ្ជាប់ IP (IP Link) របស់អ្នកត្រូវបានប្រើ ដើម្បីបញ្ជូនទិន្នន័យរវាងការផ្ទុកផលិតកម្ម (Produciton Storage) និងការផ្ទុកផលិតកម្មដាច់ដោយឡែក (Isolation Production Storage) អ្នកជំនាញណែនាំឲ្យធ្វើការ អ៊ិនគ្រីបទៅលើតំណរភ្ជាប់ (Link) ដើម្បីការបារពីការបែកធ្លាយទិន្នន័យ (Data Leak) នៅក្នុងអំឡុងពេលបញ្ជូនទិន្នន័យ។ 

1.2.2 ប្រើឧបករណ៍ផ្ទុកបម្រុងទុក ដើម្បីការពារប្រព័ន្ធកម្មវិធីសំខាន់ៗ ដែលបម្រើដោយឧបករណ៍ផ្ទុកផលិតកម្មផ្សេងៗគ្នា

ប្រសិនបើសហគ្រាសរបស់អ្នក ប្រើប្រាស់ឧបករណ៍ផ្ទុកទិន្នន័យផលិតកម្ម​ឰ (Production Storage) ដែលផ្ដល់ដោយស្ថាប័នផ្សេង អ្នកត្រូវតែដាក់ឲ្យមានការការពារមេរោគ Ransomware រួមមួយដាក់ឲ្យដំណើរការការពារទៅលើឧបករណ៍ផ្ទុកទិន្នន័យទាំងអស់នោះ។ ដោយសារតែឧបករណ៍ផ្ទុកទិន្ន័យពីស្ថាប័នខ្លះមិនមានបច្ចេកវិទ្យាការពារមេរោគ Ransonware ខណៈហ៊ុនខ្លះភ្ជាប់ជាមួយនឹង Ransomware ប៉ុន្ដែបច្ចេកវិទ្យាទាំងនោះមានភាពស្មុគស្មាញ និងមានតម្លៃថ្លៃ។
ក្នុងករណីនេះ វាគឺជាការអនុវត្តដ៏ល្អមួយក្នុងការសាងសង់ការការពារ ransomware លើកន្លែងផ្ទុកទិន្នន័យបម្រុងទុក។ ដូចគ្នាដែរ តំបន់ដាច់ស្រយាលត្រូវតែបង្កើតឡើងសម្រាប់កន្លែងផ្ទុកទិន្នន័យបម្រុងទុក ដើម្បីការពារទិន្នន័យពេលគ្មានអ៊ីនធឺណិត ការពារការវាយប្រហារលើកន្លែងផ្ទុកទិន្នន័យបម្រុងពីការធ្វើឱ្យបាត់បង់ទិន្នន័យ។ ដោយសារតែការផ្ទុកបម្រុងទុកគឺជាខ្សែការពារចុងក្រោយ វាជារឿងសំខាន់ក្នុងការសាងសង់តំបន់ឯកោបម្រុងទុក។ ក្នុងករណីនេះ ជម្រើសល្អបំផុតគឺការបង្កើតឲ្យមានប្រព័ន្ធការពារមេរោគ Ransomware ទៅលើឧបករណ៍ផ្ទុកទិន្នន័យបម្រុង (Backup Storage) និង ឧបករណ៍ផ្ទុកទិន្នន័យដែលរក្សានៅតំបន់ដាច់ឯកោ (Isolation Zone) ដើម្បីការពារទិន្នន័យសំខាន់ៗ ពីការវាយលុកដោយមេរោគ Ransomware។

1. ប្រើមុខងារប្រឆាំងនឹងការរំខានដូចជាកម្មវិធី WORM និងបច្ចេកវិទ្យសុវត្ថិភាព Snapshot ដើម្បីការពារទិន្នន័យ។ ម្មវិធី WORM អាចប្រើភ្ជាប់ជាមួយនឹងឧបរកណ៍ផ្ទុកទិន្នន័យបម្រុង (Backup Storage) ខណៈ WORM អាចការពារពីការជ្រៀតជ្រែកទិន្នន័យបាន។
2. បើកមុខងារចាប់មេរោគ Ransomware: ការបើកមុខងារចាប់មេរោគ Ransomware គឺអាចជួយការបារទិន្នន័យពីការអ៊ិនគ្រីបបំផ្លាញពីមេរោគ។ ជាពិសេសការបើកមុខងារ ចាប់មេរោគ Ransomware ទៅលើឧបករណ៍ផ្ទុកទិន្នន័យបម្រុងទុក និងឧបករណ៍ផ្ទុកទិន្នន័យដែលត្រូវបានដាក់នៅតំបន់ឯកោ នឹងជួយឲ្យឯកសារ ក៏ដូចជាទិន្នន័យទាំងអស់មានសុវត្ថិភាព  និងជៀសផុតពីការវាយលុកពីមេរោគ Ransomware។ 

សរុបមកការការពារ Ransomware ចាំបាច់ត្រូវអនុវត្តពីទិដ្ឋភាព៣ ដូចខាងក្រោម៖

• ប្រព័ន្ធគ្រប់គ្រង (Management System)
• គោលនយោបាយសុវត្ថិភាព (Security Policy)
• សមត្ថភាពបច្ចេកទេស (Technical Capabilities)

ជំហ៊ានទី១៖ បង្កើតការការពារដ៏រឹងមាំមួយសម្រាប់សុវត្ថិភាពតាមអ៊ីនធឺណិតជាមូលដ្ឋាន ដូចជាការប្រើ Firewall និង Sandboxes ជាដើម។

ជំហ៊ានទី២៖ បង្កើតការយល់ដឹងអំពីសុវត្ថិភាពរបស់និយោជិត និងបណ្តុះបណ្តាលបុគ្គលិកឱ្យបង្កើតទម្លាប់ និងសមត្ថភាពការងារល្អដើម្បីកំណត់ និងការពារការវាយប្រហារពីមេរោគ ឬការហេកផ្សេងៗ។

ជំហ៊ានទី៣៖ ពង្រឹងខ្សែការពារចុងក្រោយនៅស្រទាប់ផ្ទុកសម្រាប់ការការពារពីមេរោគ Ransomware ។ 

ឧទាហរណ៍ បើកមុខងារចាប់និងវិភាគមេរោគ ដើម្បីកំណត់អត្ដសញ្ញាណមេរោគ Ransomware ប្រើប្រាស់ WORM និងបើកមុខងារ Snapshots ដើម្បីការពារពីការជ្រៀតជ្រែកទិន្នន័យ។ ក្រៅពីនេះ ត្រូវបើកមុខងារអ៊ិនគ្រីបដើម្បីការពារការបែកធ្លាយទិន្នន័យ ក៏ដូចជាធ្វើការប្រើប្រាស់មុខងារ Air-Gap ដើម្បីបង្កើតជាតំបន់ផ្ទុកទិន្នន័យឯកោ (Isolation Zone) ដើម្បីថែរក្សាទិន្ន័យបែបអហ្វឡាញ ដើម្បីធានាបានថាទិន្នន័យសំខាន់ៗ ត្រូវបានចម្លង និងរក្សាយ៉ាងសុវត្ថិភាព និងអាចរក្សាជាទិន្ន័យបម្រុងដែលអាចទាញយកមកប្រើប្រាស់ឡើងវិញបាននៅពេលដែលត្រូវការ៕