儘管員工、承包商和自動化工作流程不斷將檔案上傳至企業雲端儲存空間,但其中很少有檔案會經過即時安全檢查。
雖然可能已制定定期掃描政策,但這往往導致惡意檔案在 S3 儲存桶或 SharePoint 資料庫中滯留數天甚至數週,才被偵測到。在此期間,這些檔案可能已被存取、分享,或經由下游系統進行處理。
除了潛在的威脅之外,傳統的排程掃描還可能導致合規性違規,因為像PCI DSS v4.0這樣的全球資訊安全框架要求組織必須根據「目標風險分析」(TRA)建立掃描頻率,並在發生重大變更時,或依照既定的週期頻率進行檢視與更新。
對許多資安團隊而言,這意味著必須定期進行全面掃描:每 60 天對每個檔案、每個資料夾進行一次檢查。這不僅耗時費力、成本高昂,而且在 petabyte 級別的規模下,管理難度也日益增加。
還有更好的方法。
MetaDefender Security™ 中的事件驅動式掃描、身分識別掃描及靈活的掃描工作流程,能協助組織維持即時防護、減少重複掃描,並產生稽核人員所期望的「按使用者」稽核追蹤紀錄。
為何Cloud 需要的不僅是排程掃描
預定的完整儲存桶掃描功能,是針對雲端儲存僅作為備份目的地、而非主要協作平台的時代所設計的。那個時代已經不復存在。
如今,一家金融機構可能在單一 S3 儲存桶中存放 5,000 萬個檔案;而一家醫療機構則可能利用 SharePoint Online 作為數千名臨床醫護人員的文件儲存庫。
每隔 30 或 60 天對整個環境進行全面的惡意軟體掃描,不僅會消耗大量運算時間、產生龐大的API ,而且往往在威脅已經橫向擴散之後才完成。
此外,還存在結構性問題:定期掃描僅是瞬間快照,而非全面診斷。雖然它能顯示某個時間點的系統狀態,卻無法提供關於上次掃描完成後上傳之檔案的任何資訊。等到您執行下次掃描時,可能已經為時已晚。
現實而言,如果預定掃描會消耗過多運算資源、無法提供完整的狀況圖,甚至可能導致不符合規範,那麼下一個合乎邏輯的解決方案,便是針對雲端儲存資料實施即時防護。結合事件觸發機制與基於身分識別的掃描,將徹底改變合規性在實務中的運作樣貌。
透過MetaDefender Storage Security,利用事件驅動式掃描保護新檔案
MetaDefender Storage Security 事件驅動式掃描Storage Security ,將偵測模式從「按排程檢查所有內容」轉變為「一有變更即刻掃描」。與其以固定間隔輪詢儲存桶,其 RTP(即時處理)功能會直接監聽雲端平台的檔案事件,並在檔案一經新增或修改時立即進行處理。
對於 Amazon S3,基於事件的掃描是透過AWS EventBridge 來實現的。 當檔案上傳至受監控的儲存桶時,EventBridge 會將通知推送至Storage Security webhook,這將立即觸發掃描,無需經過輪詢迴圈所產生的延遲。這種推送式模型產生的API 少於輪詢模式,因此在大規模部署時,既能縮短回應時間,也能降低營運成本。
針對Azure Blob StorageStorage Security Security 推出了自動容器偵測功能;當您連線至儲存帳戶時,平台會自動偵測所有容器,並在無需手動設定的情況下,套用一致的 RTP 政策。類似的事件驅動式處理機制亦適用於所有受支援的儲存連接器函式庫,包括 SharePoint Online、Microsoft Teams、NetApp、Box 及其他服務。
實際上:
- 由遭入侵使用者於凌晨 2:47 上傳的檔案會經過掃描,若被判定為惡意檔案,將在被存取或分享之前被隔離
- 來自外部合作夥伴的新上傳檔案在經過任何內部流程處理之前,會以原始狀態存入系統
- 檔案抵達與安全判定之間的間隔以秒為單位,而非以小時或天為單位
從合規性的角度來看,基於事件的掃描會針對每個經實時評估的檔案, 建立一份持續且帶有時間戳記的 記錄。該記錄會顯示於掃描報告中,可依儲存單元和日期範圍進行篩選,並能直接支援稽核查詢。
身分識別掃描:根據使用者活動、風險及優先級掃描檔案
Storage Security 最具實務意義的功能之一Storage Security 身分識別掃描,此功能能將掃描結果與上傳或修改檔案的特定使用者身分建立關聯。
這使得合規性的討論重點,從「我們掃描了儲存桶」轉變為「我們清楚知道是哪位使用者上傳了每個觸發偵測的檔案、何時發生的,以及採取了哪些行動。」
身分識別掃描如何減少重複掃描
試想傳統的做法:排程一次全面掃描,不分檔案上次掃描的時間或上傳者,逐一掃描所有檔案,並產生一份顯示所有檔案均已檢查完畢的報告。這種做法不僅耗費大量資源、速度緩慢,而且無法區分一個已保持乾淨且 18 個月未變更的檔案,與一個由上週遭入侵的帳戶於昨日上傳的檔案。
身分識別掃描技術能實現更智慧的解決方案:
- 來自已知且可信用戶或服務帳戶、且已在上一輪掃描中經過檢查的檔案,可被視為更具可信度。
- 由高風險身分(例如外部帳戶、承包商憑證、近期被標記的使用者等)所建立或修改的新檔案,可被列為優先處理對象或立即重新掃描
- 稽核報告可針對每位使用者身分,顯示哪些檔案經過掃描、何時進行以及結果為何;此格式完全符合 PCI DSS 稽核員與 ISO 27001 評估員所關注的重點。
其結果是建立起既更強健又更高效的合規態勢。與其反覆掃描相同的靜態檔案,您現在是針對具情境意識的事件做出回應:哪些內容被修改了,以及由誰所修改。
隨選、排程與即時傳輸工作流程:為各種情境選擇合適的方法
Storage Security 三種掃描模式,而有效的合規計畫通常會將這三種模式結合使用。
即時處理為活躍儲存提供持續保護
即時處理是偵測即時威脅的主要機制。此機制採事件驅動模式,針對受監控的儲存單元始終處於運作狀態,並專為處理現代雲端檔案工作流程的龐大資料量與高速傳輸而設計。
自MetaDefender Storage Security .4.1 更新以來,管理員可在 RTP 掃描模型中使用新的「選擇自...起修改的檔案」日期選擇器,將早於當前 RTP 設定的檔案納入掃描範圍。此功能可提升先前上傳檔案的合規性覆蓋範圍,例如那些保留原始「最後修改」日期而非上傳時間戳記的 OneDrive 檔案。
對於 60 天的合規週期而言,這意味著您可以明確鎖定過去 60 天內修改過的檔案,而無需從儲存歷史的起始點開始觸發對整個儲存桶的全面掃描。
依您的稽核時程安排定期掃描
針對定期合規要求(PCI DSS、HIPAA、SOC 2、內部稽核週期),Storage Security 解決方案支援靈活的掃描排程功能,自4.3.0 版本起,可精確至分鐘級別進行設定。 這使安全團隊能夠定義精確的掃描時段,使其與稽核期間相符;在非營業時間執行以將影響降至最低;並產生帶有時間戳記的報告,這些報告可直接對應於正在審查的合規期間。
可 高效設定排程掃描 。無需重新掃描整個達 petabyte 級別的儲存環境,掃描可針對特定儲存桶、容器、文件庫或資料夾進行, 若啟用身分識別掃描功能,亦可針對與特定使用者或角色相關的檔案進行掃描。
按需掃描,實現精準修復與事件應變
按需掃描適用於特定情境:例如已發現安全事件,團隊需立即評估特定儲存單元;或合規稽核即將展開,而某個儲存桶在上一輪排程掃描中未被涵蓋;又或是剛完成新的儲存系統整合,需要進行初步的全面評估。
Storage Security 功能新增了「重新處理失敗檔案」功能,讓管理員能夠建立僅針對先前掃描失敗檔案的新掃描任務,在填補特定防護漏洞的同時,避免進行完整重新掃描所產生的額外負擔。此外,管理員亦可直接從「報告」分頁停止正在執行的掃描,無需切換至介面中的其他頁面。
透過自動偵測與 IAM 角色整合,消除手動設定的漏洞
雲端儲存環境中最常見的合規風險之一,便是未受監控的儲存空間。例如:從未與安全工具連線的儲存桶或儲存容器、在正常 IT 流程之外所配置的新儲存單元,以及透過第三方整合所自動生成的儲存容器。
Storage Security 透過跨多個雲端服務供應商的自動偵測功能Storage Security 此問題:
- Azure Blob Storage:連接儲存帳戶後,系統會自動偵測所有儲存容器並將其加入掃描政策;無需手動介入
- SharePoint Online:連線您的租戶,所有網站將在連線後自動偵測
- 阿里Cloud 搭配 RAM(資源存取管理)角色驗證,以及 AWS S3 搭配 IAM(身分與存取管理)角色,Storage Security 透過短效期、最小權限的憑證Storage Security 驗證,而非使用靜態存取金鑰,從而降低憑證外洩風險並簡化憑證輪替流程
對於遵循 PCI DSS 第 12.3.1 條要求(基於風險的安全控制頻率分析)或 ISO 27001 附錄 A 中針對雲端環境之控制措施的組織而言,自動偵測功能能直接降低覆蓋缺口所帶來的風險,否則這些缺口往往要等到審計或發生事件時才會被發現。
透過Storage Security 介面,可自動生成適用於 AWS EventBridge 的 Terraform 腳本,這意味著即使是事件驅動式處理的初始設定,也僅需最低限度的權限,且無需安全團隊編寫自訂腳本。
Storage Security:專為Cloud 防護而設計
Storage Security OPSWAT 專為偵測及防範跨本地、雲端及混合儲存環境中的檔案型威脅所設計的解決方案。該解決方案會對每個處理的檔案依序套用多項防禦技術:
- Metascan™多重掃描技術能同時運用數十種反惡意軟體引擎,在無需依賴單一供應商簽名檔的情況下,有效提升對已知與未知威脅的偵測率
- Deep CDR™ 技術 透過移除潛在惡意的動態內容,將檔案重建為安全且功能等同的版本——能有效對抗那些能規避基於簽名的偵測的威脅
- Proactive DLP™ 在儲存前檢查並遮蔽檔案中的敏感資料; 包括支付卡號、個人識別資訊 (PII) 及健康紀錄,同時支援資料安全與合規義務
- File-Based Vulnerability Assessment 在安裝程式和套件等檔案進入環境之前,識別其中的已知漏洞
- Adaptive Sandbox 針對需要深入檢查的可疑檔案,提供行為分析
所有這些功能皆透過一個廣泛的連接器函式庫運作,該函式庫涵蓋 Amazon S3、Azure Blob Storage、SharePoint Online、Microsoft Teams、OneDrive、GoogleCloud 、NetApp、Dell EMC Isilon、Box、Scality RING 等服務,且每項新版本都會新增更多整合功能。
對於注重合規性的團隊Storage Security 集中式掃描報告、按使用者身分歸因、帶時間戳記的稽核日誌,以及可自訂的修復措施(允許、封鎖、刪除、移動、清除); 上述所有功能均符合 PCI DSS v4.0.1、HIPAA、ISO 27001 及 SOC 2 的文件記錄要求。
該平台可採用本地部署模式,或以 MetaDefender Storage Security Cloud。後者新增了多租戶支援功能,適用於在單一部署環境中管理多個業務單位或客戶環境的組織。
從被動式掃描到主動式Cloud Storage Security
合規要求變得更加嚴格,因為稽核人員不再滿足於您僅提供執行過掃描的證明。他們希望看到持續的監控範圍、來源識別,以及一套明確的政策,說明新檔案一進入您的環境時應如何處理。
- 基於事件的掃描解決了節奏與時機的問題。
- 身分識別掃描能解決問責問題。
- 彈性的排程與隨需工作流程,能有效解決定期合規文件編製的問題;自動偵測功能則能確保涵蓋範圍無遺漏。
Storage Security 這些功能整合於一個專為企業雲端儲存環境的規模、複雜性及合規要求所設計的平台上。
無論您的首要目標是即時偵測威脅、滿足 60 天的稽核時限,還是證明受監管儲存區中的每個檔案均由特定使用者進行過掃描, 本平台皆能提供支援。
