勒索病毒連下兩城，NAS還能用嗎？

DeadBolt，近期肆虐於NAS的勒索病毒。截至撰文時間，已經確定QNAP與華碩的子品牌ASUSTOR (華芸科技)的NAS中招。

DeadBolt的做案流程與先前的勒索病毒大同小異，都是利用未公開的漏洞，以加密用戶檔案作為勒索贖金的手段。依較早發生攻擊事件的QNAP的經驗，攻擊者會向設備製造商勒索5~50比特幣的贖金，至於用戶能不能個別給付贖金解密則不一定。講簡單一點，攻擊者拿用戶的資料當人質，逼迫設備製造商在鉅額贖金跟商譽之間二擇一。QNAP目前選擇修復漏洞 (不確定是否有給付5比特幣獲取漏洞資訊)，但無法解密用戶資料，ASUSTOR目前似乎也傾向採取相同作法。

在〈遠距事務所 part3 - 雲端硬碟〉一文中有提及，我認為事務所採用NAS作為儲存方案，是中短期內最佳的解決方案。但隨著NAS大廠一一淪陷，NAS是否還適合沒有IT人員的事務所採用？

這是風險衡量的課題，沒有標準答案，但我認為可以從以下幾個因素去判斷：

在〈遠距事務所 part3 - 雲端硬碟〉一文提到，有些事務所的資料較敏感，事務所必須擁有資料的掌控權，以NAS儲存可以最大程度的控制資料。如果你的資料也有相同的需求，那現在轉移到公有雲顯然就是狗急跳牆。

幾年前的WannaCry勒索病毒主要針對知名企業進行勒索，因此攻擊者知道即使企業不願意支付贖金，他仍然能夠將機密資料出售，因為攻擊者在加密前已經將所有檔案都複製了一份。但NAS大多數的用戶並非知名企業，受攻擊的目標數量也很多，攻擊者應該不會花時間複製用戶的資料。也就是說，即使中了DeadBolt，資料也僅僅是被加密起來，而不會有被外流的風險。

因此，如果必須掌控資料，現階段用NAS還是比公有雲為佳。

如果想要轉換儲存方式，另一個現實的考量就是預算。

如果你還沒購買NAS，要考慮的就是公有雲的訂閱費用；如果你已經買了NAS，購置NAS的錢已經是沉沒成本，此時不應該考量再用多久能回本，而是應該更慎重的考量資料的保密程度，以及如果要轉換公有雲的話，費用是否能夠負擔。

NAS的儲存硬體仍然是硬碟，如果需要移轉到其他硬碟或進行異地備份，技術上相對容易。也因此從NAS轉移到公有雲應該沒有太大困難。

但相反來說，如果之後要從公有雲移轉到NAS或進行異地備份，技術上就困難許多。雖然多數公有雲都有提供資料打包的功能 (如Google Takeout)，但大多只能透過瀏覽器下載壓縮檔，容易斷線又必須長時間開著瀏覽器，非常不便。

因此，如果你只是想「暫時」移轉到公有雲，就必須考量後續移轉的問題。

以我自己的狀況而言，我目前是使用Synology的NAS，尚未有感染DeadBolt的案例；此外，我的資料量大，移轉到公有雲之後很難再移動。因此我目前還是會繼續使用NAS，並且做好相關的預防措施：定期快照、異地備份、設置連線白名單，這部分可以參考〈如何提升NAS的安全性〉一文。

目前市面上多數的NAS系統都不是開源的，增加功能、提升便利性的同時，必定伴隨著漏洞的產生，這是閉源軟體必然會有的問題。但開源的NAS對技術的要求非常高，兩相權衡之下，繼續使用便利性高的閉源NAS系統，搭配異地備份，應該是繼續使用NAS的最佳解決方案。