存儲，總是憨憨地、默默地為業(yè)務(wù)系統(tǒng)服務(wù)，保護(hù)用戶的數(shù)據(jù)。最近，IBM 給 FlashSystem 裝上了一個(gè)小“耳朵”，這是怎么回事呢?

后疫情時(shí)代，隨著數(shù)字化轉(zhuǎn)型的加速，勒索軟件和敲詐勒索軟件攻擊已經(jīng)成為企業(yè)業(yè)務(wù)連續(xù)性的主要網(wǎng)絡(luò)威脅，而且這些攻擊的復(fù)雜性在不斷增加。勒索軟件攻擊是一場持久的全球危機(jī)。盡管在網(wǎng)絡(luò)安全方面投入了大量資金，各組織仍在努力保護(hù)自己免受攻擊。當(dāng)一個(gè)組織的數(shù)據(jù)被惡意加密時(shí)，它只有兩個(gè)選擇：支付贖金或恢復(fù)數(shù)據(jù)。這兩種選擇都不理想。波尼蒙研究所(Ponemon Institute)最近將單個(gè)網(wǎng)絡(luò)攻擊的估計(jì)成本從 440 萬美元提高到 520 萬美元。支付贖金的替代方案是從備份和歸檔中重建數(shù)據(jù)。不幸的是，重建數(shù)據(jù)的傳統(tǒng)備份/恢復(fù)方案需要數(shù)周才能完成;如今，運(yùn)營數(shù)據(jù)的平均恢復(fù)時(shí)間為 23 天。想象一下，一次為期三周的停機(jī)對收入的影響和聲譽(yù)的損害可能會更大。顯然，需要采取一些措施來改進(jìn)組織如何預(yù)測勒索軟件攻擊并從中恢復(fù)。

IBM 的 Cyber Vault 方案應(yīng)運(yùn)而生，它大大縮短了恢復(fù)時(shí)間，如下所示，生產(chǎn)恢復(fù)時(shí)間從原先的數(shù)周/數(shù)月(圖中暗灰色大三角形)縮短到小時(shí)，甚至分鐘級(圖中藍(lán)色小三角形)，最大限度降低網(wǎng)絡(luò)攻擊造成的影響，把 Data Resilience 的能力發(fā)揮到極致。

IBM 的 Cyber Vault 解決方案建立在Safeguarded Copy 功能的基礎(chǔ)上，該功能可在主存儲陣列上提供不可變的數(shù)據(jù)副本，通過空氣隔離可以防止勒索軟件傳播導(dǎo)致備份數(shù)據(jù)被污染，并且可以超快速地恢復(fù)。通過創(chuàng)建一個(gè)專用且隔離的 Cyber Vault 環(huán)境(可以是 VMware的VM虛擬機(jī)或邏輯分區(qū)LPAR)，在此環(huán)境中可以進(jìn)行自動化的恢復(fù)測試、驗(yàn)證和分析，因此不會對生產(chǎn)系統(tǒng)產(chǎn)生影響。當(dāng)發(fā)生攻擊時(shí)，在需要時(shí)獲得授權(quán)人員的批準(zhǔn)，以確?；謴?fù)既簡單方便又安全可靠。

IBM Cyber Vault 方案如何運(yùn)作呢?這里有4大法寶：不可變副本，主動監(jiān)測，數(shù)據(jù)拷貝測試與驗(yàn)證，快速恢復(fù)。四個(gè)字總結(jié)：隔!先!穩(wěn)!快!

法寶一「隔」

不可變副本

不可變副本，即與生產(chǎn)數(shù)據(jù)隔離。IBM存儲的Safeguarded Copy創(chuàng)建不可更改的，基于時(shí)間點(diǎn)的拷貝或快照，這些受保護(hù)的快照在獨(dú)立于生產(chǎn)環(huán)境的隔離存儲池中被創(chuàng)建，并且只能由Cyber Vault恢復(fù)系統(tǒng)訪問。Cyber Vault將應(yīng)用涉及的所有卷之間創(chuàng)建一致性組(CG)，以保證應(yīng)用數(shù)據(jù)恢復(fù)時(shí)的可用性。

法寶二「先」

主動監(jiān)測

主動檢測可能的風(fēng)險(xiǎn)，并自動采取行動。主動威脅檢測和響應(yīng)模塊(能力由IBM QRadar提供)先進(jìn)的日志分析，深度檢測和威脅實(shí)時(shí)監(jiān)控功能已經(jīng)集成到Cyber Vault中，結(jié)合IBM存儲管理訪問日志，應(yīng)用程序日志、網(wǎng)絡(luò)或服務(wù)器日志等，為企業(yè)數(shù)據(jù)提供全方位保護(hù)。當(dāng)法寶二監(jiān)測到可能的威脅后，Cyber Vault可以主動觸發(fā)法寶一的Safeguarded Copy，以便在第一次出現(xiàn)威脅時(shí)，創(chuàng)建受保護(hù)的生產(chǎn)卷快照，以保護(hù)生產(chǎn)數(shù)據(jù)。此外，一旦發(fā)生攻擊，Cyber Vault可以使用的最佳時(shí)間點(diǎn)的快照副本，并可以自動執(zhí)行將數(shù)據(jù)還原到生產(chǎn)。由于快照恢復(fù)的即時(shí)性特點(diǎn)，幾乎可以立即完成恢復(fù)。

法寶三「穩(wěn)」

拷貝測試與驗(yàn)證

為了保證日常數(shù)據(jù)的拷貝可以平穩(wěn)恢復(fù)，Cyber Vault將定期對受保護(hù)的快照進(jìn)行驗(yàn)證，主動檢測數(shù)據(jù)是否損壞，在恢復(fù)之前確?？煺帐菦]被污染的。這里運(yùn)維人員可以利用幾種不同的實(shí)用程序和工具來進(jìn)行主動數(shù)據(jù)驗(yàn)證，如：Oracle的DBVerify，DB2的Inspect，MongoDB的Validate以及其他數(shù)據(jù)掃描工具。此外，Cyber Vault還可以結(jié)合Ansible自動化腳本，檢索受保護(hù)的快照，恢復(fù)受保護(hù)的快照并通過執(zhí)行數(shù)據(jù)驗(yàn)證工具，獲得干凈的快照，然后將干凈的快照恢復(fù)到生產(chǎn)環(huán)境。

法寶四「快」

快速恢復(fù)

前面三個(gè)法寶的目的，都是為了祭出“快速恢復(fù)”，畢竟時(shí)間就是金錢。下面我們就來看看 Cyber Vault 是如何實(shí)現(xiàn)快速恢復(fù)的吧。

Cyber Vault 首先在一天中的不同時(shí)間點(diǎn)在主存儲陣列上獲取不可變的數(shù)據(jù)副本，目的是使其恢復(fù)點(diǎn)盡可能短，以最大程度地減少數(shù)據(jù)丟失。該方案中用于主動監(jiān)控的威脅檢測與響應(yīng)模塊通過對存儲系統(tǒng)日志進(jìn)行關(guān)聯(lián)性分析，發(fā)現(xiàn)存儲系統(tǒng)出現(xiàn)的異常活動，如：登錄異常、系統(tǒng)操作異常，或者是文件正在被加密，典型的勒索軟件行為。也可與企業(yè)中現(xiàn)有的安全平臺安全工具對接，接收其發(fā)送的安全事件。假定此時(shí)是 17:00，威脅檢測與響應(yīng)模塊模塊發(fā)現(xiàn)系統(tǒng)出現(xiàn)異常，首先會自動創(chuàng)建備份副本，目的是，即使某個(gè)系統(tǒng)受到攻擊，數(shù)據(jù)被污染或破壞，但其它系統(tǒng)的數(shù)據(jù)還是完整的，安全。當(dāng)存儲管理員意識到問題時(shí)，很顯然 18:00 的數(shù)據(jù)是被破壞或污染了，無需嘗試進(jìn)行恢復(fù)?？梢詮?17:00 的快照開始回滾，將數(shù)據(jù)交給 Cyber Vault 環(huán)境，并使用工具對數(shù)據(jù)進(jìn)行校驗(yàn)，如果發(fā)現(xiàn)數(shù)據(jù)一致性有問題，再回滾到之前的時(shí)間點(diǎn)，如：15:00, 12:00，直到恢復(fù)到9:00時(shí)，發(fā)現(xiàn)這個(gè)時(shí)間點(diǎn)的數(shù)據(jù)是可用的，將其恢復(fù)到生產(chǎn)環(huán)境中。威脅檢測與響應(yīng)模塊為存儲環(huán)境注入了智能化安全威脅分析的能力，第一時(shí)間主動發(fā)現(xiàn)問題，并可以自動化采取響應(yīng)動作，可助力實(shí)現(xiàn)更優(yōu)的 RTO 和 RPO 目標(biāo)。

實(shí)施 Cyber Vault 的關(guān)鍵價(jià)值在于，通過主動監(jiān)控、測試、記錄的步驟來響應(yīng)此類攻擊，以及快速測試和恢復(fù)數(shù)據(jù)的能力，客戶現(xiàn)在可以在數(shù)小時(shí)內(nèi)恢復(fù)生產(chǎn)數(shù)據(jù)，而不是數(shù)周。應(yīng)對網(wǎng)絡(luò)安全危機(jī)只是時(shí)間問題，沒有如果。因此，當(dāng) Flash System 裝上了小“耳朵”，就可以更好地保護(hù)您的數(shù)據(jù)了。

原文標(biāo)題：給 FlashSystem 裝上“耳朵”

文章出處：【微信公眾號：IBM中國】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

審核編輯：湯梓紅