Enterprise Strategy Group đã xác minh giải pháp ExaGrid Retention Time-Lock (RTL) for Ransomware Recovery đối với việc bảo vệ dữ liệu khỏi tấn công ransomware. RTL cung cấp khả năng bảo vệ dữ liệu không thể thay đổi (immutability) và cho phép phục hồi dữ liệu từ thời điểm trước khi bị tấn công. Giải pháp này sử dụng hai lớp lưu trữ với khu vực lưu trữ tạm thời (disk-cache Landing Zone) và khu vực lưu trữ lâu dài (Repository Tier) để duy trì dữ liệu sao lưu và khôi phục sau tấn công ransomware.

Đảm bảo an toàn cho dữ liệu là rất quan trọng, và có hai biện pháp quan trọng để đạt được điều này là air-gapping và immutability. Tùy thuộc vào nhu cầu của tổ chức, các giải pháp sao lưu/phục hồi immutability có thể triển khai trên nền tảng on-premises, trên cloud, hoặc cả hai. Các kiến trúc on-premises cung cấp một lớp phòng thủ đầu tiên và có khả năng khôi phục nhanh hơn vì chúng tận dụng cơ sở hạ tầng lưu trữ và mạng cục bộ. Ngoài ra, các yêu cầu về tuân thủ liên quan đến khu vực sở tại có thể ảnh hưởng đến xu hướng này. Có vẻ như tổ chức ngày càng ưa thích một lớp phòng thủ đầu tiên cho môi trường on-premises.

Sau khi đăng nhập vào giải pháp, màn hình này cho thấy cách dung lượng của ExaGrid được sử dụng, bao gồm dung lượng còn lại cho việc sao lưu, lưu giữ và dung lượng tổng thể của trang web. Ngoài ra, người dùng có thể xem dung lượng lưu trữ sao lưu theo tầng của họ, bao gồm Landing zone và Repository. Khu vực Landing zone cho phép sao lưu và khôi phục nhanh chóng, trong khi Repository cung cấp lưu trữ lâu dài với chi phí thấp. Giao diện này cũng cho thấy rằng “Thời gian khóa” được đặt là 10 ngày (thiết lập mặc định). “Thời gian khóa” đề cập đến khoảng thời gian mà một tổ chức có để phát hiện cuộc tấn công ransomware và sau đó khôi phục và khôi phục điểm.

Giao diện ExaGrid

ExaGrid đang tạm ngừng tất cả các chia sẻ tại thời điểm xảy ra cuộc tấn công ransomware. Dựa trên kịch bản trong đó tất cả các bản sao lưu VMware đã bị xóa. Nói cách khác, không có bản sao lưu nào mà người dùng có thể khôi phục. Trong tình huống này, bước đầu tiên sẽ là “Tạm ngừng tất cả các chia sẻ” để khôi phục từ cuộc tấn công ransomware.

Suspend All Shares

Giao diện ExaGrid Shares và Replicas. Giao diện này hiện thị rằng tất cả các chia sẻ đã được tạm ngưng thành công, có nghĩa là chúng đã được đưa offline, để người dùng có thời gian đánh giá, lập kế hoạch và sau đó bắt đầu phục hồi.

Shares and Replicas

Hiển thị cửa sổ Khôi phục điểm thời gian(Point in Time Recover) của ExaGrid. Bây giờ, sau khi xác định được thời điểm mà cuộc tấn công ransomware đã xảy ra, bạn có thể khởi chạy Point in Time Recover bằng cách chỉ định ngày và giờ thích hợp. Lưu ý rằng người dùng nên thực hiện điều này chỉ sau khi đảm bảo rằng cuộc tấn công ransomware đã được giảm thiểu. Trong kịch bản này, chúng tôi đã tìm thấy một bản sao lưu không thể thay đổi trong lớp Repository mà chúng tôi có thể khôi phục từ đó.

Point In Time Recover

5. Tại sao điều này quan trọng

Hiện nay, 40% tổ chức đang bảo vệ tất cả các bản sao dự phòng của họ, trong khi 77% tổ chức sử dụng thêm phần mềm quét lỗ hổng cho bản sao dự phòng. Ngoài ra, 58% đã triển khai giải pháp air-gapping, và 30% còn đang lên kế hoạch hoặc quan tâm đến công nghệ này. Khi xem xét về công nghệ và tính năng cần thiết để phòng chống ransomware, rõ ràng các giải pháp triển khai phải có khả năng đa dạng. Ngoài ra, các cuộc tấn công ransomware đang gia tăng, gây ra sự gián đoạn lớn và tốn kém cho doanh nghiệp. Thường xuyên, các cuộc tấn công này mã hóa dữ liệu chính, kiểm soát ứng dụng sao lưu và xóa dữ liệu sao lưu.

Enterprise Strategy Group đã xác minh rằng phương pháp không thể thay đổi dữ liệu trùng lặp (immutable data deduplication objects) của ExaGrid và tiếp cận RTL (Retention Time-Lock) ngăn chặn kẻ tấn công xóa bỏ dữ liệu sao lưu. Như đã thấy trong ví dụ này, ExaGrid cung cấp một giải pháp bảo vệ dữ liệu và khôi phục mạnh mẽ với chi phí lưu trữ rất thấp. Phương pháp của ExaGrid đối với ransomware cho phép tổ chức thiết lập một khoảng thời gian “Time-Lock” để kiểm soát việc xử lý bất kỳ yêu cầu xóa nào trong tầng Repository không kết nối mạng và không thể truy cập bởi kẻ tấn công. Sự kết hợp giữa tầng không kết nối mạng, việc tăng độ trễ cho xóa dữ liệu sao lưu và lưu trữ đối tượng không thể thay đổi là các khả năng chính của giải pháp RTL của ExaGrid.

6. Kết luận

Trong năm 2023, các cuộc tấn công ransomware đang đe dọa nghiêm trọng đối với các tổ chức, tuy nhiên hầu hết các tổ chức không chuẩn bị đầy đủ để đối phó với chúng. Nghiên cứu của Enterprise Strategy Group đã chỉ ra sự chênh lệch đáng kể giữa mức độ chuẩn bị của tổ chức trung bình và tổ chức có chuẩn bị tốt nhất. Một cái nhìn cận cảnh về sự sẵn sàng, phòng ngừa, phát hiện/phản ứng, khôi phục và kinh doanh liên tục cho thấy các tổ chức xuất sắc trong chiến lược phòng ngừa và phản ứng, nhưng vẫn kém trong chiến lược khôi phục. Ví dụ, ít tổ chức có thể khôi phục thành công tất cả dữ liệu của họ, và tiến triển tối thiểu đã được thực hiện trong 18 tháng qua về mặt này.

Khó khăn trong việc khôi phục dữ liệu chủ yếu do tác động rộng lớn của ransomware, vượt xa các vấn đề liên quan đến dữ liệu, chẳng hạn như tiết lộ dữ liệu và mất dữ liệu, để ảnh hưởng đến cơ cấu và hoạt động kinh doanh với hậu quả về tuân thủ quy định và khả năng mất tài chính và danh tiếng. Kẻ tấn công luôn thích nghi và nhắm vào dữ liệu quý giá hoặc được quy định, cũng như cơ sở hạ tầng, để tối ưu hóa cơ hội của họ trong việc tống tiền. Công việc này bao gồm việc nhắm vào các bản sao lưu.

Nhóm nghiên cứu của Enterprise Strategy Group đã xác minh rằng giải pháp Retention Time-Lock (RTL) for Ransomware Recovery của ExaGrid cung cấp cho các tổ chức gia tăng sự sẵn sàng cho các cuộc tấn công ransomware, bao gồm chính sách bảo vệ dữ liệu và khôi phục. Cụ thể, chúng tôi đã xác minh cách tổ chức có thể khôi phục lại dữ liệu sau một cuộc tấn công ransomware khi sử dụng ExaGrid RTL. Chúng tôi đã xác minh các bước khôi phục, áp dụng cho bất kỳ ứng dụng sao lưu nào được hỗ trợ bởi ExaGrid, bao gồm việc tạm ngừng tất cả các chia sẻ tại thời điểm xảy ra cuộc tấn công ransomware, xác định thời điểm cuộc tấn công ransomware xảy ra, khởi chạy Point in Time Recover bằng cách chỉ định ngày và giờ thích hợp của một bản sao lưu không thể thay đổi (immutability) trong tầng Repository mà chúng tôi có thể khôi phục từ đó, và sau đó kiểm tra rằng tất cả các bản sao lưu đã được khôi phục.

Tóm lại, Lưu trữ sao lưu theo tầng của ExaGrid, với Khu vực Landing zone phía trước và tầng Repository riêng biệt, chứa toàn bộ dữ liệu lưu giữ. Tất cả các bản sao lưu được viết trực tiếp vào Khu vực Landing zone, cung cấp hiệu suất sao lưu nhanh chóng, và các bản sao lưu gần đây nhất được lưu giữ dưới dạng không trùng lặp đầy đủ để khôi phục nhanh chóng. Ngoài ra, phương pháp không thể thay đổi dữ liệu và tiếp cận RTL của ExaGrid đảm bảo khả năng khôi phục sau một cuộc tấn công ransomware. Nếu tổ chức của bạn đang tìm cách tăng cường sự sẵn sàng, phòng ngừa, phát hiện/phản ứng và khôi phục liên quan đến ransomware, Enterprise Strategy Group khuyến nghị nghiên cứu kỹ giải pháp ExaGrid Retention Time-Lock for Ransomware Recovery.

Thông tin về hãng cung cấp giải pháp