從 Pure Storage FlashArray 的Ransomware攻擊中復原

Ransomware的攻擊令人生畏，但 Pure Storage^® FlashArray 提供內建工具，為您提供可靠的復原途徑。本部落格概述高階行動計畫，協助您使用 FlashArray 功能進行復原，引導您進行立即遏制、鑑識分析、資料復原，以及復原後驗證。利用 FlashArray SafeMode 快照、快照管理和複寫控制（如暫停複寫），您可以確保資料不可變性，並實現值得信賴的復原。在整個過程中，請記住您並不孤單：與事件回應 （IR） 團隊和 Pure Support 密切合作，對於順利復原至關重要。

Ransomware攻擊後的立即行動

發現Ransomware攻擊時，迅速遏制損害並保存可復原的資料至關重要。FlashArray 功能可協助您有效達成此目標。以下是立即採取的步驟：

• 隔離受影響的系統：中斷或關閉遭入侵的主機和網路，以防止進一步擴散。停止所有攻擊的 FlashArray 磁碟區中的有效 I/O。此遏制功能可保護 FlashArray 系統與其他基礎架構，避免額外的加密損壞。
• 暫停 DR 站台的複寫：如果您的 FlashArray 系統正在將資料複寫至次要網站或雲端，請立即暫停或中斷複寫。這樣可以防止加密或毀損的資料散播至清理備份副本。透過停止複寫，您可以在Ransomware影響目標之前，保留目標上最後已知的良好快照。
• 利用 SafeMode 快照：FlashArray SafeMode 快照是無法改變的復原點，任何使用者，即使是管理員或攻擊者，都無法刪除或修改。確認 SafeMode 已啟用（如果尚未啟用，請聘請 Pure Support 支援，以便日後保護）。找出Ransomware執行前的最新乾淨快照。SafeMode 能確保這些快照仍完好無損，並在攻擊後提供保證的Recovery Point。如果未啟用 SafeMode，且您仍有快照，請快速手動擷取關鍵磁碟區快照（之後再啟用 SafeMode）。
• 參與事件回應與 Pure Support：立即通知您組織的事件回應團隊。配合內部Ransomware回應手冊。同時，請聯絡 Pure Support 並開啟關鍵支援案例。Pure Support 具備Ransomware情境的經驗，能引導您進行 SafeMode 快照復原、驗證步驟，甚至協助任何調整（例如延長快照保留或啟用特殊復原功能）。及早讓 Pure Support 參與，也能確保任何 SafeMode 操作（如復原後允許刪除）皆經過適當授權。將 SafeMode 視為兩鍵式系統，即便有管理員認證，破壞性變更仍需要 Pure Support 與您的授權聯絡人達成共識。這項合作增加了一層額外的安全性和信心。

立即採取行動將使情況穩定。您在這一階段的主要目標是阻止流血：遏制威脅、保護您的安全副本（快照/複製），並讓專家團隊加入。

鑑識分析與復原規劃

隨著立即的威脅被遏制，下一個階段是了解發生了什麼事，並規劃一個乾淨的復原。Pure1® 的異常偵測功能可將異常時間與快照目錄和表面建議的快照一致，最接近可疑行為的發生（例如，加密造成的 DRR 崩潰）。這樣一來，您就能在攻擊開始之前就恢復到這個階段，將資料遺失降到最低。FlashArray 快照和日誌功能對於鑑識調查來說是無價的：

• 保存證據：請勿立即刪除攻擊者建立的加密磁碟區或快照。如果攻擊者將資料量“破壞”，他們仍會存放在 FlashArray 系統的垃圾中（清除佇列）。得益於 SafeMode，攻擊者無法清除這些磁碟區和快照，並保持可用狀態。保持這些狀態的現況，您的 IR 團隊可能需要它們進行分析（例如，確定Ransomware的毒株或檢查資料是否被竊取）。FlashArray 稽核記錄（可透過 Pure1 或陣列存取）也提供管理行動的時間表，這可能有助於找出攻擊者攻擊的時間和方式。
• 找出上次清理的快照：與您的儲存和安全團隊合作，在加密開始前找到最新的快照。FlashArray 快照通常定期排程；確定哪些快照與事件發生前的某個時間點相對應。因為 FlashArray 快照是固定且精簡配置的，所以您可以安全地使用它們進行調查，而不必冒著資料風險。例如，您可以建立一個快照副本至新的磁碟區，並將其呈現給隔離的鑑識伺服器。如此一來，您的事件回應人員就能檢查資料 （甚至執行惡意軟體掃描），以驗證快照是否乾淨、無Ransomware，而且完全不會接觸原始資料或中斷生產。快照具空間效益的特性代表這些複製能消耗最少的額外容量，因此若需要分析時，您可以拆分多份副本。
• 與您的 IR 團隊分析並規劃：與您的 IR 團隊協調，分析Ransomware如何滲透，以及哪些系統受到影響。判斷是否有後門或持續性的威脅需要在修復前中和。這可能涉及掃描複製的快照資料是否有惡意軟體簽名或入侵指標。確保您即將從真正乾淨的快照中還原，這一點至關重要。IR 團隊也可能建議何時進行還原，例如，在某些安全修補程式或更新應用於伺服器後，以避免再次感染。使用此階段來決定復原範圍：要還原哪些磁碟區或應用程式，以及要按什麼順序。

在此鑑識階段，請記住您在 FlashArray （快照） 上的資料是安全且不可變更的。知道您擁有無可取代的 SafeMode 快照，讓您和專家都能放心規劃復原遊戲計畫。在您規劃後續步驟時，最好記錄調查結果（哪些快照是乾淨的，哪些資料量受到影響等）。

從 SafeMode 快照還原資料

一旦制定了明確的復原計劃，並且您發現了乾淨的快照點，就可以恢復您的資料並恢復關鍵系統。FlashArray 全快閃基礎架構與快照技術，讓復原變得快速又可靠：

Evergreen//One^@@ Cyber Recovery and Resilience SLA 附加元件（亦稱為Ransomware復原保證）為 FlashArray 客戶提供一套白手套復原服務，它能運送乾淨的陣列，並協助在網路事件或災害後進行快照式復原。購買後可做為 Evergreen//One 訂閱方案的附加元件，其設計可讓您在乾淨的平台上快速恢復線上狀態，同時保有受入侵基礎架構的鑑識完整性。

• 執行受控還原：選擇適當的 SafeMode 快照，代表資料的最後良好狀態。您有幾個選項可以還原：您可以將快照複製到新磁區，或從快照中還原（回滾）原始磁區。複製到新磁碟區一開始通常比較安全，它可讓您使用乾淨的資料來啟動新磁碟區的應用程式，而原始磁碟區 （使用加密資料） 目前仍未處理。如此一來，如果發生問題，您仍然擁有原件和快照。無論是哪種情況，FlashArray 系統都只需將儲存中繼資料重新定位回快照資料區塊，即可立即復原。與傳統備份不同，不需要冗長的資料複製，您的磁碟區可以在數秒內恢復到攻擊前的狀態。
• 驗證並使系統上線：還原後，但在重新連接終端使用者或生產工作負載之前，請執行驗證。以受控的方式將還原的磁碟區安裝在幾個應用程式主機上（最好是在隔離的網路中，或是與徹底清潔過的系統一起）。確認資料完好無損，且Ransomware已不存在。這可能涉及對資料庫執行完整性檢查、開啟檔案樣本以確保檔案未加密，以及在還原的資料上使用更新的防毒/防惡意軟體掃描器。目標是要確認您確實擁有清潔的環境。有鑑於稍早的鑑識步驟，這個階段應該要有高度的信心。
• 在復原期間運用 Pure Support：Pure Support 提供白手套服務（如果您已訂閱 Evergreen//One 網路復原與復原），協助您在 FlashArray 上快速安全地從Ransomware中復原。雖然您通常不需要 Pure Support 協助即可執行快照還原（這是可透過 GUI 或 CLI 進行的管理員操作），但將快照還原保持在迴圈中，尤其是在啟用 SafeMode 的情況下，將有助於您確保成功還原。舉例來說，如果 SafeMode 保留政策需要調整（也許您希望在危機期間暫時延長快照保留的時間），Pure Support 可以提供您適當的授權進行這些變更。如果有任何問題（例如，有關使用哪個快照或處理大量資料的問題），Pure Support 將引導您。請記住，我們的目標是確保您的資料能快速安全地恢復到線上，而且我們對於您成功復原擁有既得利益。

得益於 FlashArray 的設計，資料還原速度非常快、效率極高，以“快閃速度”完成。這意味著停機時間已減至最低，而且您可以比依賴緩慢的異地備份來得早開始將應用程式帶回。在許多情況下，使用 FlashArray SafeMode 快照的企業可以在數小時內復原，而不必花費數天或數週的時間，並避免大幅損失。

復原後驗證與恢復作業

復原並不會在資料還原的那一刻就結束。在恢復正常營運時，必須驗證環境並採取措施，以防止未來發生事故：

• 徹底驗證系統：透過從乾淨的快照中還原的資料，對所有關鍵應用程式和資料集進行全面驗證。讓應用程式擁有者和使用者進行檢查，以確保一切正常運作。密切監控系統記錄和行為，以找出任何異常。這基本上是復原後測試階段—確認資料庫一致、檔案正確開啟，而且偵測不到殘留的惡意軟體。如果發現任何問題，您可以再次回到快照（例如，如果您發現所選快照不如想像般乾淨，您可以選擇較舊的快照）。然而，如果法醫鑑識分析是勤於進行的，則這種情況很少見。
• 惡意程式掃瞄與修補：當您將系統上線時，請確保系統有最新的安全修補程式，並且所有防毒定義都是最新的。在所有還原的系統 （伺服器、VM 等） 上執行深度惡意軟體掃描，然後再將它們完全釋出給使用者。這個步驟是與您的 IR 或安全團隊協調完成，確保即時環境沒有Ransomware或任何其他攻擊。您最想要的就是在修復後立即再次感染。
• 恢復複寫和備份：如果您之前已暫停複寫，請僅在您確信環境乾淨之後，才能繼續複寫。您可以先將資料從主要 FlashArray 重新同步到次要 FlashArray，或在必要時考慮進行新的植入（以防攻擊期間的差距很大）。關鍵是避免同步損壞的資料；經過驗證後，請重新啟用複寫工作流程，讓您的 DR 網站恢復運作。同樣地，重新啟用任何中斷的備份工作，並考慮將新恢復的“已知好”狀態的新鮮完整備份或快照作為新的基準。
• 與 Pure Support 合作進行清理：復原後，您可能在 FlashArray 系統上有一些清理工作。舉例來說，您隔離或遺留在垃圾中的加密磁碟區，現在可在您確定不再需要時安全消除（所有資料都已在其他地方還原）。由於 SafeMode 已啟用，只有在 SafeMode 計時器過期或您明確要求時，才會永久刪除這些磁碟區/快照。與 Pure Support 協調，並運用您授權的 SafeMode 聯絡人，在適當時間清除惡意殘留物。Pure Support 也能夠協助您調整快照排程，並將保留時間恢復正常（例如，如果您在危機期間延長保留時間，您可以回撥，在事情穩定下來後節省空間）。在整個過程中，Pure 支援團隊仍然是一個有用的合作夥伴，他們從其他Ransomware案件中得到的深度資訊，在事故後管理方面可能非常寶貴。
• 審查並強化防禦：最後，把握機會從事件中學習。與您的 IR 團隊合作，分析攻擊媒介並消除任何被利用的安全漏洞（這可能在 IT/安全領域中更多，但值得注意）。從 FlashArray 的角度來看，確保 SafeMode 在未來仍能維持啟用狀態（如果之前沒有，應該現在使用，而且免費供應，而且能帶來極大效益）。您也應檢閱您的快照政策：您是否經常拍攝快照，以適應您的風險概況？ 是否在異地複製？ FlashArray 能讓您輕鬆自訂快照排程與保留，以滿足您的業務需求。近來的不可變快照是這次為您節省的；加倍的策略將讓您在未來更有彈性。傳統備份不一定能抵禦現代Ransomware，但 Pure Storage 的不可變快照能保護關鍵資料，避免資料遭到更改或破壞，保證復原。
• 與使用者驗證並逐步還原服務：最好的做法是將系統分階段送回給使用者。例如，還原關鍵資料庫並進行驗證，然後讓應用程式伺服器重新連線，最後讓終端使用者存取服務。這種分階段的方法確保了，如果出現任何問題，可以更輕鬆地定位和解決，而不必推翻所有問題。與您的利害關係人溝通，了解哪些服務會恢復，以及任何殘餘的影響。許多 Pure Storage 客戶注意到，經過快速快照式復原後，他們能夠達成或超越復原時間目標，展現 FlashArray 方法的價值。

在整個復原階段，與 Pure Support 保持密切聯繫。他們可以在 FlashArray 系統上執行健全狀況檢查，以確認還原後運作良好，而且沒有與事件同時發生的硬體問題。Pure Support 的主動指引也能協助驗證您的資料保護功能（如 SafeMode、複寫、REST加密等）是否皆達到日後的最佳配置。

結論

從Ransomware攻擊中復原對任何組織來說都是一個壓力大的事件。然而，Pure Storage FlashArray 具備強大的內建保護功能，讓您掌控資料的命運。透過迅速隔離威脅、運用 SafeMode 不可變快照，並仔細規劃 Pure Support 和事件回應者的協助，您可以快速恢復正常作業，而不必支付贖金或長時間停機。FlashArray 不可變的快照技術可確保即使攻擊者破解管理憑證，他們也無法清除、修改或加密受保護的快照，您的復原點仍然安全無虞。而且，由於復原作業以快如閃電的速度完成，因此您可以將中斷情況減至最低，並證明業務永續性計畫的穩健性。

Try FlashBlade

No hardware, no setup, no cost—no problem. Experience the self-service capabilities of FlashBlade.

Take a Test Drive