Các cuộc tấn công ransomware đang gia tăng, trở nên gây rối và có khả năng gây tốn kém rất nhiều cho các doanh nghiệp. Bất kể một tổ chức tuân thủ các phương pháp hay nhất để bảo vệ dữ liệu có giá trị tỉ mỉ đến mức nào, những kẻ tấn công dường như vẫn luôn đi trước một bước. Chúng mã hóa dữ liệu chính một cách ác ý, chiếm quyền kiểm soát ứng dụng sao lưu và xóa dữ liệu đã sao lưu.
Bảo vệ khỏi ransomware là mối quan tâm hàng đầu của các tổ chức ngày nay. ExaGrid cung cấp một cách tiếp cận độc đáo để đảm bảo rằng những kẻ tấn công không thể xâm phạm dữ liệu sao lưu, cho phép các tổ chức tự tin rằng họ có thể khôi phục bộ nhớ chính bị ảnh hưởng và tránh phải trả những khoản tiền chuộc xấu xí.
Thách thức là làm thế nào để bảo vệ dữ liệu sao lưu không bị xóa trong khi đồng thời cho phép xóa lưu trữ sao lưu khi các điểm lưu giữ bị ảnh hưởng. Nếu bạn khóa tất cả dữ liệu, thì bạn không thể xóa các điểm lưu giữ và chi phí lưu trữ trở nên không thể thanh toán được. Nếu bạn cho phép xóa các điểm lưu giữ để tiết kiệm dung lượng, bạn để hệ thống mở để tin tặc xóa toàn bộ dữ liệu. Cách tiếp cận độc đáo của ExaGrid được gọi là Khóa thời gian duy trì. Nó ngăn không cho tin tặc xóa các bản sao lưu và cho phép xóa các điểm lưu giữ. Kết quả là một giải pháp bảo vệ và khôi phục dữ liệu mạnh mẽ với chi phí lưu trữ ExaGrid bổ sung rất thấp.
ExaGrid là Bộ lưu trữ sao lưu theo tầng với Vùng đích bộ đệm đĩa mặt trước và Tầng lưu trữ riêng biệt chứa tất cả dữ liệu lưu giữ. Các bản sao lưu được ghi trực tiếp vào Vùng đích bộ đệm đĩa ExaGrid “hướng về phía mạng” (khe hở không khí theo tầng) để có hiệu suất sao lưu nhanh. Các bản sao lưu gần đây nhất được lưu giữ ở dạng đầy đủ không trùng lặp để khôi phục nhanh.
Sau khi dữ liệu được cam kết với Landing Zone, nó được xếp vào một kho lưu trữ dài hạn “không đối mặt với mạng” (khe hở không khí theo tầng), nơi dữ liệu được loại bỏ trùng lặp một cách thích ứng và được lưu trữ dưới dạng đối tượng dữ liệu loại bỏ trùng lặp để giảm chi phí lưu trữ của dữ liệu lưu giữ lâu dài. Vì dữ liệu được xếp theo Bậc của Kho lưu trữ, dữ liệu sẽ được loại bỏ trùng lặp và được lưu trữ trong một loạt đối tượng và siêu dữ liệu. Cũng như các hệ thống lưu trữ đối tượng khác, các đối tượng và siêu dữ liệu của hệ thống ExaGrid không bao giờ bị thay đổi hoặc sửa đổi, điều này khiến chúng trở nên bất biến, chỉ cho phép tạo các đối tượng mới hoặc xóa các đối tượng cũ khi đạt đến mức lưu giữ. Các bản sao lưu trong Tầng lưu trữ có thể là bất kỳ số ngày, tuần, tháng hoặc năm nào được yêu cầu. Không có giới hạn về số lượng phiên bản hoặc thời gian sao lưu có thể được lưu giữ. Nhiều tổ chức lưu giữ 12 tuần, 36 tháng và 7 năm, hoặc thậm chí đôi khi là lưu giữ “mãi mãi”.
ExaGrid’s Retention Time-Lock cho Ransomware Recovery ngoài khả năng lưu giữ lâu dài dữ liệu sao lưu và sử dụng 3 chức năng riêng biệt:
- Đối tượng trùng lặp dữ liệu bất biến
- Tầng không đối diện với mạng (khe hở không khí theo tầng)
- Yêu cầu xóa bị trì hoãn
Cách tiếp cận của ExaGrid đối với phần mềm tống tiền cho phép các tổ chức thiết lập khoảng thời gian khóa để trì hoãn việc xử lý bất kỳ yêu cầu xóa nào trong Tầng lưu trữ vì tầng đó không đối mặt với mạng và tin tặc không thể truy cập được. Sự kết hợp của một tầng không đối mặt với mạng, việc xóa bị trì hoãn trong một khoảng thời gian và các đối tượng bất biến không thể thay đổi hoặc sửa đổi là các yếu tố của giải pháp Khóa thời gian lưu giữ ExaGrid. Ví dụ: nếu khoảng thời gian khóa cho Cấp kho lưu trữ được đặt thành 10 ngày, thì khi yêu cầu xóa được gửi tới ExaGrid từ ứng dụng sao lưu đã bị xâm phạm hoặc từ CIFS bị tấn công hoặc các giao thức truyền thông khác, toàn bộ dữ liệu lưu giữ dài hạn (tuần/tháng/năm) đều nguyên vẹn. Điều này cung cấp cho các tổ chức ngày và tuần để xác định rằng họ gặp sự cố và khôi phục.
Dữ liệu bị khóa thời gian trong một số ngày được đặt chính sách chống lại bất kỳ thao tác xóa nào. Điều này là riêng biệt và khác biệt với kho lưu trữ dài hạn có thể được lưu giữ trong nhiều năm. Dữ liệu trong Vùng đích sẽ bị xóa hoặc mã hóa, tuy nhiên, dữ liệu Cấp kho lưu trữ không bị xóa theo yêu cầu bên ngoài trong khoảng thời gian đã định cấu hình – dữ liệu này bị khóa thời gian trong một số ngày được đặt chính sách đối với bất kỳ hành động xóa nào. Khi một cuộc tấn công ransomware được xác định, chỉ cần đặt hệ thống ExaGrid vào chế độ khôi phục mới, sau đó khôi phục bất kỳ và tất cả dữ liệu sao lưu vào bộ lưu trữ chính.
Giải pháp cung cấp một khóa lưu giữ, nhưng chỉ trong một khoảng thời gian có thể điều chỉnh được vì nó sẽ trì hoãn việc xóa. ExaGrid đã chọn không triển khai Khóa thời gian lưu giữ mãi mãi vì chi phí lưu trữ sẽ không thể quản lý được. Với cách tiếp cận ExaGrid, tất cả những gì cần thiết là có thêm tối đa 10% dung lượng lưu trữ để giữ độ trễ cho việc xóa. ExaGrid cho phép thiết lập độ trễ của việc xóa thông qua một chính sách.
Quy trình khôi phục – 5 bước đơn giản
- Gọi chế độ khôi phục.
- Đồng hồ Khóa thời gian lưu giữ được dừng với tất cả các thao tác xóa được giữ vô thời hạn cho đến khi hoạt động khôi phục dữ liệu hoàn tất.
- Quản trị viên sao lưu có thể thực hiện khôi phục bằng ExaGrid GUI, nhưng vì đây không phải là thao tác phổ biến, chúng tôi khuyên bạn nên liên hệ với bộ phận hỗ trợ khách hàng của ExaGrid.
- Xác định thời gian diễn ra sự kiện để bạn có thể lập kế hoạch khôi phục.
- Xác định bản sao lưu nào trên ExaGrid đã hoàn thành loại bỏ trùng lặp trước sự kiện.
- Thực hiện khôi phục từ bản sao lưu đó bằng ứng dụng sao lưu.
- Khả năng lưu giữ lâu dài không bị ảnh hưởng và việc khóa thời gian lưu giữ ngoài chính sách lưu giữ
- Không thể sửa đổi, thay đổi hoặc xóa các đối tượng trùng lặp bất biến (nằm ngoài chính sách lưu giữ)
- Quản lý một hệ thống duy nhất thay vì nhiều hệ thống cho cả lưu trữ sao lưu và khôi phục ransomware
- Cấp Kho lưu trữ thứ hai duy nhất chỉ hiển thị với phần mềm ExaGrid, không hiển thị với mạng – (khoảng cách không khí theo cấp)
- Dữ liệu không bị xóa vì yêu cầu xóa bị trì hoãn và do đó sẵn sàng khôi phục sau cuộc tấn công ransomware
- Các đợt thanh lọc hàng ngày, hàng tuần, hàng tháng, hàng năm và các hoạt động thanh lọc khác vẫn diễn ra, nhưng chỉ đơn giản là bị trì hoãn, để giữ cho chi phí lưu trữ phù hợp với thời gian lưu giữ
- Để sử dụng các thao tác xóa bị trì hoãn, chính sách mặc định chỉ chiếm thêm 10% dung lượng lưu trữ
- Dung lượng lưu trữ không phát triển mãi mãi và nằm trong khoảng thời gian lưu giữ bản sao lưu đã đặt để giảm chi phí lưu trữ
- Tất cả dữ liệu lưu giữ được giữ nguyên và không bị xóa
Các tình huống ví dụ
Dữ liệu bị xóa trong Vùng đích bộ đệm đĩa ExaGrid thông qua ứng dụng sao lưu hoặc bằng cách hack giao thức truyền thông. Do dữ liệu Bậc kho lưu trữ có thời gian khóa xóa bị trì hoãn nên các đối tượng vẫn còn nguyên vẹn và sẵn sàng để khôi phục. Khi sự kiện ransomware được phát hiện, chỉ cần đặt ExaGrid ở chế độ khôi phục mới và khôi phục. Bạn có nhiều thời gian để phát hiện cuộc tấn công ransomware vì thời gian khóa đã được đặt trên ExaGrid. Nếu bạn đã đặt khóa thời gian trong 10 ngày, thì bạn có 10 ngày để phát hiện cuộc tấn công của mã độc tống tiền (trong thời gian đó, tất cả việc lưu giữ bản sao lưu đều được bảo vệ) để đặt hệ thống ExaGrid ở chế độ khôi phục mới nhằm khôi phục dữ liệu.
Dữ liệu được mã hóa trong ExaGrid Disk-cache Landing Zone hoặc được mã hóa trên bộ nhớ chính và được sao lưu vào ExaGrid để ExaGrid có dữ liệu được mã hóa trong Landing Zone và sao chép nó vào Tầng kho lưu trữ. Dữ liệu trong Vùng hạ cánh được mã hóa. Tuy nhiên, tất cả các đối tượng dữ liệu đã được khử trùng lặp trước đây không bao giờ thay đổi (không thay đổi), vì vậy chúng không bao giờ bị ảnh hưởng bởi dữ liệu được mã hóa mới đến. ExaGrid có tất cả các bản sao lưu trước đó trước cuộc tấn công của ransomware có thể được khôi phục ngay lập tức. Ngoài khả năng khôi phục từ bản sao lưu đã khử trùng lặp gần đây nhất, hệ thống vẫn giữ lại tất cả dữ liệu sao lưu theo các yêu cầu lưu giữ.
- Các đối tượng trùng lặp bất biến không thể thay đổi hoặc sửa đổi hoặc xóa (nằm ngoài chính sách lưu giữ)
- Mọi yêu cầu xóa đều bị trì hoãn theo số ngày trong chính sách bảo vệ.
- Dữ liệu được mã hóa ghi vào ExaGrid không xóa hoặc thay đổi các bản sao lưu trước đó trong kho lưu trữ.
- Dữ liệu Vùng Đích được mã hóa không xóa hoặc thay đổi các bản sao lưu trước đó trong kho lưu trữ.
- Đặt việc xóa bị trì hoãn theo khoảng tăng 1 ngày (điều này bổ sung cho chính sách lưu giữ lâu dài cho bản sao lưu).
- Bảo vệ khỏi việc mất bất kỳ và tất cả các bản sao lưu được giữ lại bao gồm cả tháng và năm.
- Xác thực hai yếu tố (2FA) bảo vệ các thay đổi đối với cài đặt Khóa thời gian.
- Chỉ vai trò Quản trị viên mới được phép thay đổi cài đặt Khóa thời gian, sau khi được Nhân viên An ninh chấp thuận
- 2FA với Quản trị viên Đăng nhập / Mật khẩu và hệ thống tạo mã QR để xác thực yếu tố thứ hai.
- Mật khẩu riêng biệt cho trang chính so với trang thứ hai ExaGrid.
- Mật khẩu của Nhân viên An ninh hoặc Phó Chủ tịch Cơ sở hạ tầng / Hoạt động riêng biệt để thay đổi hoặc tắt Khóa thời gian lưu giữ.
- Tính năng đặc biệt: Báo động khi Xóa
- Báo động được đưa ra 24 giờ sau một lần xóa lớn.
- Báo động khi xóa nhiều: Quản trị viên sao lưu có thể đặt một giá trị làm ngưỡng (mặc định là 50%) và nếu xóa nhiều hơn ngưỡng, hệ thống sẽ báo động, chỉ có vai trò Quản trị viên mới có thể xóa cảnh báo này.
- Một ngưỡng có thể được định cấu hình, theo chia sẻ riêng lẻ, dựa trên mẫu dự phòng. (Giá trị mặc định là 50% cho mỗi lượt chia sẻ). Khi có yêu cầu xóa đến hệ thống, hệ thống ExaGrid sẽ thực hiện yêu cầu đó và xóa dữ liệu. Nếu RTL được bật, dữ liệu sẽ được giữ lại cho chính sách RTL (đối với số ngày do một tổ chức đặt). Khi RTL được bật, các tổ chức sẽ có thể khôi phục dữ liệu bằng PITR (Point-In-Time-Recovery).
- Nếu một tổ chức thường xuyên nhận được cảnh báo dương tính giả, vai trò Quản trị viên có thể điều chỉnh giá trị ngưỡng từ 1-99% để tránh nhiều cảnh báo sai hơn.
- Báo động về thay đổi tỷ lệ sao chép dữ liệu
- Nếu bộ nhớ chính được mã hóa và gửi đến ExaGrid từ ứng dụng sao lưu hoặc nếu tác nhân đe dọa mã hóa dữ liệu trên Vùng đích ExaGrid, thì ExaGrid sẽ thấy tỷ lệ chống trùng lặp giảm đáng kể và sẽ gửi cảnh báo. Dữ liệu trong Repository Tier vẫn được bảo vệ.
Vina Aspire là Công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Website: www.vina-aspire.com
Tel: +84 944 004 666 | Fax: +84 28 3535 0668
Vina Aspire – Vững bảo mật, trọn niềm tin