走向资安应用的数据只读技术

勒索软件威胁态势持续升高，为避免数据遭受恶意加密与删除，发展历史悠久的一写多读技术（WORM），也重新受到IT界的重视，并出现新的应用方向，让企业可借此防止数据遭到恶意窜改，进而构成保护数据安全的重要手段。

透过病毒入侵、以加密或删除用户资料作为勒赎手段的勒索软件，已经是当前最让所有人头痛的资安威胁之一。

面对勒索软件的威胁，常见的防范措施包括：及时修补软件漏洞、防止病毒透过漏洞入侵，利用防毒软体或防火墙的侦测与阻挡功能、遏止可疑的数据存取行为，以及藉由定期备份，以便原始资料遭到勒索软件侵害后，仍能透过备份复本来还原数据等。

但这些防范措施各有局限，举例来说，修补软件漏洞难以做到万全，总是会有零时差漏洞出现；面对不断进化的病毒，防毒软体或防火墙的侦测与阻挡功能也无法确保总是生效；即使勤于备份，但备份复本本身也有可能遭到勒索病毒的感染，以致无法用于还原数据。

面对这种情况，这几年来出现一种防范新思路，那就是直接从储存装置或储存媒体着手，利用一写多读（Write Once Read Many，WORM）或不可变储存（Immutable storage）技术，提供防止数据窜改的特性，从最根本的储存层次，来避免数据遭到勒索软件的侵害。

以只读技术遏止勒索软件破坏数据

一写多读或不可变储存，指的是同样的数据防窜改技术，基本概念是透过软件、固件或硬件手段，确保写入储存媒体或指定储存区的数据维持在只读状态，经授权的用户仍可读取WORM保存的数据，但不能复写、修改或删除，借此满足数据保存与完整性的要求。

而利用WORM与不可变储存技术保存数据的特性，在防范勒索软件方面也能发挥作用。由于WORM能保证写入后的数据，维持在不可变化的只读状态——允许读取，但不可删除与更改，彻底「锁住」了数据状态，那么，勒索软件自然也无法对数据进行加密或删除。对于WORM保存的数据来说，即使系统已经感染勒索软件，但由于WORM机制已经「锁住」了数据状态，先天上就阻挡了勒索软件发作、藉由加密或删除动作来危害数据的可能性。

最适合使用WORM技术的场合，其实是备份与归档（Archive）这些静态的数据储存应用，借此建立可确保安全性与完整性的数据复本，或是安全的数据保存储存库，作为对抗勒索软件威胁的最终手段。藉由WORM技术的保护，即便在线数据遭到感染，后端仍有安全可靠的复本可供还原。

将数据只读技术用于信息安全防护

除了用于防范勒索软件外，数据防窜改技术在其他资安应用面向，也能派上用场，例如：

防止恶意的内部威胁，避免敏感数据遭到企业人员恶意删除：避免意外操作，导致数据受损，例如用户不当的操作，意外更动、覆盖或删除数据内容；隔离系统软、硬件的错误，所导致的数据损坏；防止因数据保留策略或删除还原点，导致备份复本遭到删除。

在资安威胁、特别是勒索软件威胁日益升高的今日，数据防窜改技术凭借着保存数据状态的能力，重要性已更胜以往，应用面向也已走出过去的法规遵循领域，而成为资安防护的关键环节。事实上，许多提供WORM技术与相关产品的厂商，也都改以资安作为产品功能应用的重点，许多储存平台也都将支持WORM功能列为重点。

而这样的发展趋势，也让原本只局限于特定应用领域的数据防窜改技术，成为企业IT不可或缺的一环。