Khả năng phục hồi sau ransomware so với tính bất biến là một yếu tố quan trọng mà các tổ chức cần cân nhắc để bảo vệ dữ liệu và đảm bảo hoạt động kinh doanh liên tục trước các mối đe dọa mạng. Tuy nhiên, sao lưu bất biến không phải là giải pháp duy nhất chống ransomware. Nó chỉ là kho lưu trữ – giá trị, cần thiết, nhưng vẫn chỉ là kho lưu trữ. Việc coi nó như một chiến lược phục hồi ransomware giống như nói rằng một két sắt ngăn trộm: thực ra không. Nó chỉ bảo vệ những gì bên trong, và chỉ khi bạn đã đưa thứ gì đó có giá trị vào đó.

Gần đây, một số ý kiến trong ngành đã gợi ý rằng tính bất biến tự nó có thể vô hiệu hóa ransomware. Điều này rất dễ gây hiểu lầm. Kho lưu trữ bất biến chỉ chiếm một phần ba của phương trình phục hồi. Nó không phải là chiến lược phục hồi, và chắc chắn không phải là khả năng chống chịu.

Khả năng phục hồi thực sự sau ransomware phụ thuộc vào ba yếu tố kết hợp:

• Sao lưu thường xuyên

• Kho lưu trữ bất biến

• Phục hồi nhanh trên toàn bộ trung tâm dữ liệu

Bỏ qua bất kỳ yếu tố nào, bạn sẽ để lại một khoảng trống đủ lớn để kẻ tấn công khai thác, và ngay cả khi phục hồi cuối cùng thành công, quá trình sẽ chậm, tốn kém và gây gián đoạn vận hành.

FREQUENT, IMMUTABLE PROTECTION – VÌ RANSOMWARE KHÔNG CHỜ THEO LỊCH TRÌNH

Ransomware không “lịch sự” chờ trong cửa sổ bảo trì. Nó tấn công khi bạn chưa chuẩn bị. Sự khác biệt giữa mất vài phút dữ liệu và mất cả một ngày kinh doanh được đo bằng tần suất sao lưu.

Hầu hết các phòng IT vẫn thực hiện sao lưu hàng ngày hoặc hai lần mỗi ngày – thói quen còn sót lại từ hệ thống băng từ không làm được tốt hơn. Lịch trình này tạo ra cửa sổ phơi bày từ 12 đến 24 giờ, trong đó ransomware hoạt động tự do và không bị phát hiện.

Một công ty dịch vụ tài chính đã trải nghiệm trực tiếp sự khác biệt giữa phục hồi ransomware và tính bất biến. Họ lập lịch sao lưu bất biến vào nửa đêm và trưa. Cuộc tấn công bắt đầu lúc 14 giờ, mã hóa 6 giờ dữ liệu giao dịch trước khi bị phát hiện. Mặc dù họ khôi phục hoàn hảo từ sao lưu bất biến về điểm trưa, nhưng vẫn mất 6 giờ giao dịch đã xác thực. Thêm vào đó, họ phải mất một ngày downtime để hoàn tất việc phục hồi đầy đủ và tái tạo thủ công các cấu hình mạng và lưu trữ chưa được bảo vệ.

Hạ tầng hiện đại loại bỏ sự đánh đổi này. VergeOS cung cấp bảo vệ ở cấp hạ tầng, tạo snapshot bất biến mỗi giờ mà không ảnh hưởng hiệu năng. Tần suất này cải thiện đáng kể RPO.

NHỮNG HẠN CHẾ CỦA BẢO VỆ BẤT BIẾN

Sao lưu bất biến là cần thiết, nhưng không phải không có thách thức. Cùng cơ chế ngăn xóa cũng ngăn việc dọn dẹp. Nếu kho lưu trữ đầy, bạn không thể xóa các bản sao lưu bất biến cũ cho đến khi chính sách lưu trữ hết hạn.

Giữ một bản sao lưu bất biến lâu dài là hợp lý cho tuân thủ, nhưng với vận hành liên tục, tổ chức cần sự kết hợp giữa các snapshot bất biến ngắn hạn và snapshot chỉ đọc có thể xoay vòng thường xuyên.

Hai vấn đề xuất hiện:

1. Hầu hết hệ thống lưu trữ bất biến không thể duy trì sao lưu thường xuyên – chúng dựa vào sao lưu truyền thống rồi mới chuyển sang bất biến, làm tăng thời gian, độ phức tạp và trùng lặp.

2. Sự bất biến trì hoãn làm giảm tốc độ phục hồi và kéo dài cửa sổ rủi ro, tách biệt bảo vệ khỏi sản xuất.

VergeOS giải quyết cả hai vấn đề. Nó hỗ trợ snapshot bất biến và chỉ đọc cùng lúc, cho phép bảo vệ gần như liên tục mà không gây tắc nghẽn.

BẢO VỆ BẤT BIẾN LÀ CẦN THIẾT

Kẻ tấn công không chỉ mã hóa dữ liệu. Họ còn đánh cắp thông tin đăng nhập và có thể xóa sao lưu trước khi bắt đầu mã hóa.

Do đó, kho lưu trữ bất biến là cần thiết – nhưng chỉ khi triển khai đúng cách. Hệ thống sao lưu truyền thống phụ thuộc vào tính toàn vẹn của thông tin đăng nhập, có nghĩa là quản trị viên có thể xóa hoặc thay đổi sao lưu, và kẻ tấn công có quyền admin cũng làm được.

VergeOS loại bỏ sự phụ thuộc này. Một snapshot bất biến không thể xóa hoặc chỉnh sửa cho đến khi chính sách lưu trữ hết hạn, không bởi quản trị viên, không bởi domain admin, và ngay cả khi thông tin đăng nhập bị xâm phạm cũng không ảnh hưởng.

SO SÁNH TRỰC TIẾP VỀ BẢO VỆ BẤT BIẾN

Khả năng phục hồi ransomware so với sao lưu bất biến phải tính đến tổng thời gian phục hồi, không chỉ dữ liệu được lưu trữ trong trạng thái bất biến. Phục hồi từ kho lưu trữ bên ngoài cần:

• Nguồn dữ liệu đọc và giải nén các khối dữ liệu đã khử trùng lặp (chunk deduplicate)

• Mạng truyền toàn bộ dữ liệu logic

• Đích flash phải ingest và chạy deduplication inline
  

Giai đoạn chậm nhất quyết định thời gian tổng. Với VergeOS, bất biến được tích hợp trực tiếp vào hạ tầng, không cần di chuyển dữ liệu hay rehydrate, cho phép phục hồi ngay lập tức, kể cả với môi trường 100 TB hoặc 100 PB.

PHỤC HỒI TOÀN TRUNG TÂM DỮ LIỆU – VÌ RANSOMWARE TẤN CÔNG MÔI TRƯỜNG, KHÔNG CHỈ VM

Ransomware hiếm khi dừng lại ở một hệ thống. Nó di chuyển ngang, mã hóa server ứng dụng, database, file share và lớp xác thực. Phục hồi từng VM một không phải là phục hồi thực sự – đó là cấp cứu.

Hầu hết công cụ sao lưu vẫn coi VM là đơn vị riêng lẻ: chọn VM, chọn thời điểm, restore, cấu hình lại, hy vọng kết nối. Cách này chỉ phù hợp khi hỏng đĩa, không phải khi trung tâm dữ liệu bị tấn công.

VergeOS giải quyết bằng Virtual Data Centers (VDCs) – môi trường tự chứa, bao gồm compute, storage, networking và policy bảo mật. Một VDC phục hồi toàn bộ môi trường trong một lần, đồng bộ tất cả VM và chính sách.

KẾT LUẬN VỀ “RANSOMWARE’S KRYPTONITE”

Gọi sao lưu bất biến là “kryptonite” của ransomware giống như gọi két sắt là hệ thống bảo mật. Nó hữu ích, nhưng không có phát hiện, tần suất sao lưu và khả năng tái tạo dữ liệu đã mất, nó chỉ là một hộp dữ liệu lạnh. Tất cả sao lưu bất biến không đồng nghĩa với bảo vệ ransomware. Ransomware không bị đánh bại bởi bất biến – nó bị đánh bại bởi phục hồi. Kho lưu trữ bất biến mua cho bạn thời gian; VergeOS trả lại cho bạn doanh nghiệp của mình.

Unitas cam kết đồng hành cùng doanh nghiệp, cung cấp các giải pháp và phân tích an ninh mạng tiên tiến nhất. Để nhận được tư vấn chuyên sâu hoặc hỗ trợ nhanh chóng, vui lòng liên hệ với chúng tôi qua email: info@unitas.vn hoặc Hotline: (+84) 939 586 168.