Snapshot 如何保護資料與對抗勒索病毒

勒索軟體的「時光機」剋星：快照 (Snapshot) 技術原理、攻防與防禦關鍵概念

在企業資安防禦的戰場上，勒索軟體（Ransomware）無疑是近年來最令人頭痛的對手。當駭客加密了你的關鍵資料並勒索巨額贖金時，傳統的「備份還原」往往因為耗時過長（RTO 過高），導致業務停擺損失慘重。

這時，一項儲存底層的技術「快照 (Snapshot)」，成為了許多企業與個人用戶對抗勒索軟體的最後一道防線，甚至被稱為資料救援的「時光機」。

究竟快照是什麼？它又如何能讓被加密的檔案瞬間「復活」？除了被動還原，現代快照技術還具備哪些「主動偵測」的能力？本文將深入剖析快照的底層原理與管理關鍵。

什麼是快照 (Snapshot)？

簡單來說，快照是檔案系統或儲存設備在「特定時間點」的狀態紀錄。需要特別釐清的是，快照不是把資料「再複製一份」，而是記錄當下檔案系統中，每一個檔案、目錄、區塊指向關係（Metadata、Block map）的版本狀態。

許多人會誤以為快照就是「備份 (Backup)」，其實兩者在技術原理上有著根本的差異：

• 備份 (Backup)： 將資料完整複製一份到另一個實體儲存空間（完整的 Copy）。
• 快照 (Snapshot)： 更像是對當下的資料結構拍一張「照片」，它通常只記錄資料的指標（Pointers）或中繼資料（Metadata），而不是複製資料本身。

簡單地說，當我們在硬碟中備份了 100GB 的照片，備份 10 份就會耗用 1TB 的空間。但是當我們用快照技術來處理，在「正常使用情境」下，保留 10 份快照通常只多吃 1%～20% 空間（約 1～20 GB），效率天差地遠。

快照與傳統備份的空間與時間成本比較表

圖表說明： 此表模擬了初始 100GB 資料在兩天內各變動 10GB 的情境。可以看到傳統備份每次都複製全部資料，空間消耗是線性的倍數增長。而快照僅記錄變動的區塊，空間增長極為緩慢。這解釋了為何企業可以輕易保留數百個時間點的快照。

技術原理：COW 與 ROW 的運作與代價

目前主流的快照技術主要分為兩種，它們在效能與空間利用上各有千秋：

1、寫入時複製 (Copy-On-Write, COW)

當原始資料需要被修改時，系統會先暫停寫入動作，把「舊資料區塊」複製到快照保留區，然後才允許在原位置寫入新資料。

優點： 讀取原始資料時非常快，因為資料位置沒有變動。 缺點： 寫入效能較差（因為每次寫入都要進行「讀取舊資料 -> 複製 -> 寫入新資料」的動作），這就是所謂的「寫入懲罰 (Write Penalty)」。

2、寫入時重新導向 (Redirect-On-Write, ROW)

這是現代高效能儲存（如 ZFS 檔案系統、中高階 NAS）常用的方式。當有新資料寫入時，系統不會動舊區塊，而是直接將新資料寫入到硬碟上的「新位置」，並更新指標指向新位置，而快照則繼續保留指向舊區塊的指標。

優點： 建立快照與寫入資料幾乎不會影響效能，速度極快。 代價：碎片化 (Fragmentation)。 這是 ROW 技術必須正視的物理限制。由於檔案的資料區塊在經過多次修改後，會散落在硬碟的不同實體位置，長期下來可能導致傳統硬碟 (HDD) 的讀取效能下降。因此，採用 ROW 技術的儲存系統，通常建議搭配全快閃架構 (All-Flash) 或具備強大的背景自動重組機制來抵消此影響。

快照如何防禦勒索軟體？從被動還原到主動偵測

勒索軟體的運作標準流程是：讀取檔案 → 加密 → 刪除原始檔案 → 留下加密後的亂碼檔。 針對此流程，快照提供了多層次的防禦機制。

關鍵一：繞過 OS 層級的攻擊 (VSS vs. Storage Snapshot)

談到快照，我們也必須區分「作業系統層級」與「儲存設備層級」。 現代勒索軟體（如 LockBit、BlackCat）入侵 Windows 後的第一個動作，往往是執行指令刪除 VSS (Volume Shadow Copy)，讓使用者無法利用 Windows 內建功能還原。 這時，儲存設備底層的快照就扮演最關鍵的角色囉。

因為 NAS 或 SAN 的快照管理獨立於作業系統之外（Out-of-Band），即使駭客取得了 Windows 的 Administrator 權限殺光了本機快照，也無法透過指令刪除儲存設備上的底層快照。

關鍵二：瞬間還原 (Instant Recovery)

由於快照保留了檔案被加密前的「指向狀態」，當發現中勒索病毒時，管理員只需要在儲存設備的管理介面上，選擇感染前的時間點（例如：感染發生在 10:00，選擇 09:55 的快照）。

這時候呢，無論資料量是 1TB 還是 100TB，利用快照還原通常只需要幾秒鐘到幾分鐘，系統只需將指標「指回」舊的區塊即可，大幅降低了復原時間目標 (RTO)。

關鍵三：AI 熵值偵測 (Entropy Detection) ，從時光機變身偵測器

傳統快照是被動的，但最新的儲存技術正在利用快照進行「主動防禦」。 勒索軟體在加密檔案時，會導致資料區塊的「熵值（Entropy，即亂度）」急劇升高（加密後的資料看起來像是隨機亂碼）。

現代儲存設備會即時監控寫入區塊的熵值變化。一旦發現大量區塊的熵值異常飆升且伴隨著高頻率寫入，系統會判定正在發生攻擊，並自動觸發不可變快照，甚至主動切斷該連線 (SMB/NFS) 的寫入權限。

另外，如果系統本身提供適當機制，也可以透過 Security Center 監控可疑檔案操作（file activity monitoring），一旦偵測到異常，即可觸發保護措施，如將卷設為唯讀、自動建立快照或暫停快照排程，以防止資料加密或遺失。

進階防禦：不可變快照與管理原則

隨著資安攻防演進，駭客不僅加密資料，還會嘗試竊取儲存設備的管理者權限來「銷毀快照」。為了應對這種「斷後路」的攻擊，必須導入下列更嚴格的鎖定機制。

不可變快照 (Immutable Snapshots) / WORM

這是一種「寫入一次，可多次讀取 (Write Once, Read Many)」的技術。一旦設定了不可變快照（例如鎖定 7 天），在這段期間內，沒有任何人（包括握有最高權限的 Administrator 或 Root 帳號）可以刪除或修改這些快照。這就像是把底片鎖進了有時間鎖的保險箱。

管理層面的最後一道鎖：MFA 與四眼原則

技術再強，人性往往是弱點。如果駭客透過社交工程騙取了最高權限密碼怎麼辦？新一代的資安合規要求（如 ISO 27001 修訂版）建議實施以下措施：

多因素驗證 (MFA)： 登入儲存管理介面或執行刪除動作時，強制要求手機 OTP 二次驗證，搭配 Google 驗證器、微軟驗證器已經是常態，在 ZOHO、Cloudflare DNS 等系統服務要執行重點動作時也都有類似確認，管理員應習慣且實際部署到日常的系統作業中。

四眼原則 (Four-Eyes Principle)： 針對「刪除快照」或「格式化」等毀滅性指令，系統應設定需由「兩位」不同的管理員帳號同時授權才能執行。這能有效防止單一帳號被駭或內部人員惡意破壞。

快照不等於備份，更無法解決「雙重勒索」

雖然快照在防範勒索軟體上極其強大，平常辦公室有同仁呼喊主管或 IT 人員來搶救他誤刪或系統毀損資料的同時也非常好用，但我們仍必須釐清市場上實際現有的認知：

第一點就是快照不能完全取代備份，畢竟快照依賴於原始儲存設備，如果整台 NAS 硬體故障或硬碟損壞，快照也會隨之消失，我們在實作企業儲存環境或家用環境時，儘量都要遵循 3-2-1 備份原則（3 份資料、2 種介質、1 份異地），多準備一台 NAS 備份你的 NAS 或儲存設備，另外還有可採購磁帶機、外接硬碟等裝置來做備份，以及雲端異地備份等等，透過 Hybrid Backup Sync 實現多層備份，包括空氣間隙（air-gapped）隔離備份，在威脅日益增加的今日，3-2-1 備份原則當然仍是鐵律。

第二點是快照救得了資料，但救不了機密，雖然快照解決了「資料可用性 (Availability)」，讓你把檔案救回來。但現今流行的「雙重勒索 (Double Extortion)」是駭客會先將你的敏感資料偷傳出去，再進行加密。就算你用快照秒速還原了資料，駭客仍會威脅公開你的客戶個資。因此，快照必須搭配 DLP (資料外洩防護) 與網路加密傳輸，才是完整的資安策略。

快照防禦能力分級檢核表