Herstellen van een Ransomware-aanval op Pure Storage FlashArray

Ransomware-aanvallen zijn ontmoedigend, maar Pure Storage^® FlashArray^™ biedt ingebouwde tools die u een betrouwbaar pad naar herstel bieden. Deze blog schetst een actieplan op hoog niveau om u te helpen herstellen met behulp van FlashArray-functies, waarbij u wordt begeleid door onmiddellijke insluiting, forensische analyse, dataherstel en validatie na herstel. Door gebruik te maken van FlashArray SafeMode™ Snapshots, snapshotmanagement en replicatiecontroles (zoals het pauzeren van replicatie), kunt u zorgen voor onveranderlijkheid van data en een betrouwbaar herstel. Vergeet niet dat u niet de enige bent tijdens het proces: Nauw samenwerken met uw incident response (IR)-team en Pure Support is cruciaal voor een soepel herstel.

Onmiddellijke acties na een Ransomware-aanval

Wanneer een Ransomware-aanval wordt ontdekt, is het van het grootste belang om snel te handelen om schade te beperken en herstelbare data te behouden. FlashArray-mogelijkheden kunnen u helpen dit effectief te doen. Dit zijn de onmiddellijke stappen die u moet nemen:

• Isoleer getroffen systemen: Verbreek of sluit gecompromitteerde hosts en netwerken af om verdere verspreiding te voorkomen. Stop elke actieve I/O naar de FlashArray-volumes die zijn aangevallen. Deze insluiting beschermt zowel het FlashArray-systeem als andere infrastructuur tegen extra encryptieschade.
• Pauzeer replicatie naar DR-locaties: Als uw FlashArray-systeem data repliceert naar een secundaire locatie of cloud, pauzeer of onderbreek die replicatie dan onmiddellijk. Dit voorkomt dat versleutelde of corrupte data zich verspreiden om anderszins back-upkopieën op te schonen. Door replicatie te stoppen, behoudt u de laatst bekende goede snapshots op het doel voordat Ransomware ze kan beïnvloeden.
• Maak gebruik van SafeMode-snapshots: FlashArray SafeMode Snapshots zijn onveranderlijke herstelpunten – ze kunnen door geen enkele gebruiker worden verwijderd of gewijzigd, zelfs niet door een beheerder of aanvaller. Controleer of SafeMode is ingeschakeld (als dit nog niet het geval was, schakel dan Pure Support in om het in te schakelen voor toekomstige bescherming). Identificeer de meest recente schone snapshot van voordat de Ransomware werd uitgevoerd. SafeMode zorgt ervoor dat dergelijke snapshots nog intact zijn en biedt een gegarandeerd Recovery Point na een aanval. Als SafeMode niet is ingeschakeld en u nog steeds snapshots hebt, neem dan snel een handmatige snapshot van kritieke volumes (en schakel SafeMode voortaan in).
• Maak gebruik van incident response en Pure Support: Breng het incidentresponsteam van uw organisatie onmiddellijk op de hoogte. Volg uw interne Ransomware response playbook in samenwerking met hen. Neem tegelijkertijd contact op met Pure Support en open een kritieke supportcase. Pure Support heeft ervaring met Ransomware-scenario’s en kan u begeleiden bij SafeMode snapshot recovery, stappen valideren en zelfs helpen bij eventuele aanpassingen (bijvoorbeeld het verlengen van snapshotretentie of het inschakelen van speciale herstelfuncties). Het vroegtijdig inschakelen van Pure Support zorgt er ook voor dat alle SafeMode-operaties (zoals het toestaan van verwijderingen na herstel) worden uitgevoerd met de juiste autorisatie. Zie SafeMode als een “tweesleutelig” systeem – zelfs met beheerdersgegevens vereisen destructieve wijzigingen dat Pure Support instemt met uw geautoriseerde contactpersonen. Deze samenwerking voegt een extra laag veiligheid en vertrouwen toe.

Het nemen van deze onmiddellijke acties zal de situatie stabiliseren. Uw primaire doel in deze fase is om het bloeden te stoppen: de bedreiging indammen, uw veilige kopieën (snapshots/replica’s) beschermen en deskundige teams aan boord krijgen.

Forensische analyse en herstelplanning

Met de onmiddellijke bedreiging ingeperkt, is de volgende fase om te begrijpen wat er is gebeurd en een schoon herstel te plannen. Anomaliedetectie in Pure1^® lijnt de anomalietiming uit met uw snapshotcatalogus en brengt aanbevolen snapshots aan het licht die het dichtst bij het begin van verdacht gedrag liggen (bijv. instorten van DRR door encryptie). Hierdoor kunt u herstellen tot het punt vlak voordat de aanval begint, waardoor het dataverlies tot een minimum wordt beperkt. FlashArray snapshot- en loggingfuncties zijn van onschatbare waarde voor forensisch onderzoek:

• Behoud bewijs: Verwijder niet onmiddellijk de versleutelde volumes of snapshots die door de aanvaller zijn gemaakt. Als volumes door de aanvaller worden “vernietigd”, blijven ze in de prullenbak (verwijderingswachtrij) van het FlashArray-systeem. Dankzij SafeMode kunnen die volumes en snapshots niet door de aanvaller worden gewist en blijven ze beschikbaar. Bewaar deze voorlopig in hun huidige staat – uw IR-team heeft ze mogelijk nodig voor analyse (bijv. om de Ransomware stamte bepalen of om te controleren of de data is geëxfiltreerd). FlashArray-auditlogs (toegankelijk via Pure1 of de array) kunnen ook een tijdlijn bieden van admin-acties, die kunnen helpen bepalen wanneer en hoe de aanvaller is geraakt.
• Identificeer de laatste schone snapshot: Werk samen met uw opslag- en beveiligingsteams om de meest recente snapshot te vinden van voordat de encryptie begon. FlashArray-snapshots worden vaak met regelmatige tussenpozen gepland; bepaal welke snapshots overeenkomen met een tijdstip vlak voor het incident. Omdat FlashArray-snapshots onveranderlijk en thin-provisioned zijn, kunt u ze veilig gebruiken voor onderzoek zonder de data in gevaar te brengen. U kunt bijvoorbeeld een kloon van een snapshot maken op een nieuw volume en deze presenteren aan een geïsoleerde forensische server. Hierdoor kunnen uw incidentresponders de data inspecteren (en zelfs malwarescans uitvoeren) om te verifiëren dat de snapshot schoon en Ransomware-vrij is, zonder de oorspronkelijke data aan te raken of de productie te onderbreken. De ruimtebesparende aard van snapshots betekent dat deze klonen minimale extra capaciteit verbruiken, zodat u meerdere kopieën kunt maken als dat nodig is voor analyse.
• Analyseer en plan met uw IR-team: Analyseer in samenwerking met uw IR-team hoe de Ransomware is geïnfiltreerd en welke systemen zijn beïnvloed. Bepaal of er achterdeuren of voortdurende bedreigingen zijn die moeten worden geneutraliseerd voordat ze worden hersteld. Dit kan het scannen van de gekloonde snapshotdata op malwarehandtekeningen of indicatoren van compromittering inhouden. Het is van cruciaal belang om ervoor te zorgen dat u op het punt staat te herstellen vanaf een echt schone snapshot. Het IR-team kan ook adviseren over wanneer te herstellen, bijvoorbeeld nadat bepaalde beveiligingspatches of updates op servers zijn toegepast, om herinfectie te voorkomen. Gebruik deze fase om de omvang van het herstel te bepalen: welke volumes of applicaties worden hersteld en in welke volgorde.

Vergeet tijdens deze forensische fase niet dat uw data op FlashArray (in snapshots) veilig en onveranderlijk zijn. Weten dat u onveranderlijke SafeMode-snapshots in reserve hebt, biedt gemoedsrust terwijl u en de experts het recovery-gameplan in kaart brengen. Het is een goede praktijk om bevindingen te documenteren (welke snapshots schoon zijn, welke volumes zijn beïnvloed, enz.) terwijl u de volgende stappen plant.

Data herstellen vanuit SafeMode-snapshots

Zodra er een duidelijk herstelplan is opgesteld en u schone snapshotpunten hebt geïdentificeerd, is het tijd om uw data te herstellen en kritieke systemen weer online te krijgen. FlashArray all-flash architectuur en snapshottechnologie maken de restauratie zowel snel als betrouwbaar:

De Evergreen//One^™ Cyber Recovery and Resilience SLA add-on (ook bekend als de Ransomware recovery-garantie) biedt een white-glove recovery-service voor FlashArray-klanten door schone arrays te verzenden en te helpen bij snapshot-based herstel na een cyberincident of -ramp. Het wordt aangeschaft als aanvulling op een Evergreen//One-abonnement en is ontworpen om u snel weer online te krijgen op een schoon platform, met behoud van de forensische integriteit van de gecompromitteerde infrastructuur.

• Voer een gecontroleerde restauratie uit: Selecteer de juiste SafeMode-snapshot die de laatste goede staat van uw data vertegenwoordigt. U hebt een paar opties om te herstellen: U kunt de snapshot klonen naar nieuwe volumes of de oorspronkelijke volumes herstellen (terugdraaien) vanaf de snapshot. Klonen op nieuwe volumes is in eerste instantie vaak veiliger – het stelt u in staat om applicaties op nieuwe volumes te brengen met de schone data, terwijl de oorspronkelijke volumes (met versleutelde data) voorlopig onaangetast blijven. Op deze manier, als er iets misgaat, hebt u nog steeds het origineel en snapshot zoals het is. In beide gevallen zal het FlashArray-systeem de opslagMetadata gewoon terugwijzen naar de snapshot-datablokken, waardoor het herstel vrijwel direct plaatsvindt. Er is geen langdurige datakopie nodig, in tegenstelling tot traditionele back-ups – uw volumes kunnen binnen enkele seconden worden teruggezet naar hun toestand vóór de aanval.
• Controleer en breng systemen online: Na herstel, maar voordat u eindgebruikers of productieworkloads opnieuw aansluit, voert u een validatie uit. Bevestig de herstelde volumes op een paar applicatiehosts op een gecontroleerde manier (idealiter in een quarantainenetwerk of met systemen die grondig zijn gereinigd). Controleer of de data intact zijn en of de Ransomware niet langer aanwezig is. Dit kan het uitvoeren van integriteitscontroles op databases inhouden, het openen van een voorbeeld van bestanden om ervoor te zorgen dat ze niet worden versleuteld en het gebruik van bijgewerkte antivirus-/antimalwarescanners op de herstelde data. Het doel is om te bevestigen dat u echt een schone omgeving hebt. Dankzij de forensische stappen eerder zou er in dit stadium veel vertrouwen moeten zijn.
• Maak gebruik van Pure Support tijdens recovery: Pure Support biedt white-glove service (als u zich hebt geabonneerd op Evergreen//One Cyber Recovery and Resilience) om u te helpen snel en veilig te herstellen van Ransomware op FlashArray. Hoewel u doorgaans geen Pure Support-hulp nodig hebt om een snapshot restore uit te voeren (het is een beheerbewerking die u kunt uitvoeren via GUI of CLI), zou het op de hoogte houden ervan, vooral als SafeMode is ingeschakeld, u helpen een succesvol herstel te garanderen. Als het SafeMode-retentiebeleid bijvoorbeeld moet worden aangepast (misschien wilt u tijdelijk verlengen hoe lang snapshots tijdens de crisis worden bewaard), kan Pure Support die wijzigingen doorvoeren met de juiste toestemming van uw kant. Als zich problemen voordoen (bijv. vragen over welke snapshot u moet gebruiken of hoe u een groot aantal volumes moet verwerken), zal Pure Support u begeleiden. Vergeet niet dat ons doel is om ervoor te zorgen dat uw data snel en veilig weer online komen, en we hebben een gevestigd belang bij uw succesvolle herstel.

Dankzij het ontwerp van FlashArray is dataherstel extreem snel en efficiënt – het wordt gedaan met “flash speed”. Dit betekent dat downtime wordt geminimaliseerd en dat u applicaties veel sneller terug kunt brengen dan wanneer u zou vertrouwen op een trage back-up buiten de locatie. In veel gevallen kunnen bedrijven die gebruik maken van FlashArray SafeMode Snapshots binnen enkele uren herstellen in plaats van binnen enkele dagen of weken, waardoor enorme verliezen worden vermeden.

Validatie na herstel en hervatting van activiteiten

Het herstel stopt niet op het moment dat de data worden hersteld. Het is essentieel om de omgeving te valideren en stappen te ondernemen om toekomstige incidenten te voorkomen wanneer u de normale bedrijfsvoering hervat:

• Valideer systemen grondig: Met data hersteld van schone snapshots, voert u een volledige validatie uit van alle belangrijke applicaties en datasets. Laat applicatie-eigenaren en gebruikers controles uitvoeren om ervoor te zorgen dat alles correct werkt. Monitor systeemlogs en -gedrag nauwlettend op eventuele afwijkingen. Dit is in wezen een testfase na herstel, waarbij wordt bevestigd dat databases consistent zijn, bestanden correct worden geopend en er geen aanhoudende malware wordt gedetecteerd. Als er problemen worden gevonden, kunt u terugvallen op de snapshots (als u bijvoorbeeld ontdekt dat een gekozen snapshot niet zo schoon was als gedacht, kunt u een oudere kiezen). Dergelijke gevallen zijn echter zeldzaam als de forensische analyse zorgvuldig is uitgevoerd.
• Scannen en patchen van malware: Als u systemen online brengt, zorg er dan voor dat ze de nieuwste beveiligingspatches hebben en dat alle antivirusdefinities up-to-date zijn. Voer diepe malwarescans uit op alle gerestaureerde systemen (servers, VM’s, enz.) voordat u ze volledig vrijgeeft aan gebruikers. Deze stap, uitgevoerd in samenwerking met uw IR- of beveiligingsteam, zorgt ervoor dat de live-omgeving vrij is van Ransomware of enige andere exploit. Het laatste wat u wilt is een herinfectie direct na de restauratie.
• Hervat replicatie en back-ups: Als u replicatie eerder hebt gepauzeerd, hervat deze dan pas nadat u er zeker van bent dat de omgeving schoon is. U kunt eerst data opnieuw synchroniseren van de primaire FlashArray naar de secundaire, of zelfs overwegen om vers te gaan als dat nodig is (in het geval dat de delta tijdens de aanval groot was). De sleutel is om te voorkomen dat beschadigde data worden gesynchroniseerd; na validatie kunt u uw replicatieworkflows opnieuw inschakelen, zodat uw DR-locatie weer in actie is. Schakel ook alle back-uptaken die zijn gestopt opnieuw in en overweeg om een nieuwe volledige back-up of snapshot van de nieuw herstelde “bekende” toestand als een nieuwe baseline te nemen.
• Werk samen met Pure Support voor opschoning: Na herstel heeft u misschien een aantal opschoontaken op het FlashArray-systeem. Zo kunnen de versleutelde volumes die u hebt geïsoleerd of in de prullenbak hebt achtergelaten nu veilig worden uitgeroeid zodra u zeker weet dat ze niet langer nodig zijn (en alle data elders zijn hersteld). Omdat SafeMode actief was, worden die volumes/snapshots alleen permanent verwijderd wanneer de SafeMode-timer afloopt of als u er expliciet om vraagt. Coördineer met Pure Support en gebruik uw geautoriseerde SafeMode-contactpersonen om de kwaadaardige resten op het juiste moment te wissen. Pure Support kan u ook helpen bij het aanpassen van uw snapshotschema’s en het weer normaal bewaren (als u bijvoorbeeld de retentie tijdens de crisis hebt verlengd, kunt u deze terugbellen om ruimte te besparen zodra de zaken zijn opgelost). Gedurende dit hele proces blijft het Pure Support-team een behulpzame partner – hun inzichten uit andere Ransomware-cases kunnen van onschatbare waarde zijn voor het beheer na incidenten.
• Bekijk en versterk de verdediging: Maak ten slotte van de gelegenheid gebruik om van het incident te leren. Werk samen met uw IR-team om de aanvalsvector te analyseren en eventuele beveiligingshiaten die zijn geëxploiteerd te dichten (dit kan meer zijn op het gebied van IT/beveiliging, maar het is de moeite waard om op te merken). Vanuit het FlashArray-perspectief moet u ervoor zorgen dat SafeMode in de toekomst ingeschakeld blijft (als het nog niet eerder was, zou het nu moeten zijn – het wordt gratis aangeboden en biedt enorme voordelen). U moet ook uw snapshotbeleid bekijken: Neemt u vaak genoeg snapshots voor uw risicoprofiel? Worden ze buiten de locatie gerepliceerd? FlashArray maakt het eenvoudig om snapshotschema’s en retentie aan te passen aan uw bedrijfsbehoeften. Het hebben van recente, onveranderlijke snapshots is wat u deze keer heeft bespaard; het verdubbelen van die strategie zal u in de toekomst nog veerkrachtiger maken. Traditionele back-ups zijn misschien niet altijd bestand tegen moderne Ransomware, maar onveranderlijke snapshots van Pure Storage zorgen ervoor dat kritieke data niet worden gewijzigd of vernietigd, waardoor een plek wordt gegarandeerd om naar te herstellen.
• Valideer met gebruikers en herstel diensten stapsgewijs: Als beste praktijk kunt u systemen gefaseerd terugbrengen naar gebruikers. Herstel bijvoorbeeld kritieke databases en verifieer ze, laat vervolgens applicatieservers opnieuw verbinding maken en laat eindgebruikers uiteindelijk toegang krijgen tot de diensten. Deze gefaseerde aanpak zorgt ervoor dat als er zich een probleem voordoet, het gemakkelijker te lokaliseren en aan te pakken is zonder alles terug te draaien. Communiceer met uw belanghebbenden over welke diensten terug zijn en eventuele resteffecten. Veel Pure Storage-klanten merken op dat ze na dergelijke snelle snapshot-gebaseerde hersteloperaties hun hersteltijddoelstellingen kunnen halen of overtreffen, waarbij de waarde van de FlashArray-aanpak wordt getoond.

Gedurende de post-recoveryfase moet u nauw contact houden met Pure Support. Ze kunnen gezondheidscontroles uitvoeren op het FlashArray-systeem om te bevestigen dat het goed presteert na het herstel en dat er geen hardwareproblemen samenvielen met de gebeurtenis. Proactieve begeleiding van Pure Support kan ook helpen valideren dat uw functies voor dataprotectie (zoals SafeMode, replicatie, encryptie in REST, enz.) allemaal in optimale configuratie zijn in de toekomst.

Conclusie

Herstellen van een Ransomware-aanval is een stressvolle gebeurtenis voor elke organisatie. Met Pure Storage FlashArray beschikt u echter over krachtige ingebouwde beschermingen die u de controle geven over het lot van uw data. Door de bedreiging snel te isoleren, SafeMode onveranderlijke snapshots te gebruiken en het herstel zorgvuldig te plannen met behulp van Pure Support en uw incidentresponders, kunt u snel terugkeren naar de normale bedrijfsvoering zonder losgeld te betalen of langdurige downtime te ondervinden. FlashArray onveranderlijke snapshottechnologie zorgt ervoor dat zelfs als aanvallers de beheerdersgegevens in gevaar brengen, ze uw beschermde snapshots niet kunnen uitroeien, wijzigen of versleutelen – uw herstelpunten blijven veilig. En omdat het herstel met flashsnelheid wordt uitgevoerd, minimaliseert u de verstoring en bewijst u de robuustheid van uw bedrijfscontinuïteitsplan.

Try FlashBlade

No hardware, no setup, no cost—no problem. Experience the self-service capabilities of FlashBlade.

Take a Test Drive