Дункан Эппинг опубликовал статью о VMware Ransomware Recovery, которая может оказаться полезной администраторам, встретившимся или готовящимся встретиться с проблемой программ-вымогателей. Об этом продукте мы также рассказывали вот тут. Приведем основные мысли этой статьи ниже.
VMware Ransomware Recovery является частью облачного решения VMware Cloud Disaster Recovery. Эту услугу можно начать использовать как службу облачного хранения, куда вы реплицируете свои рабочие нагрузки, когда вам не требуется запуска полноценного программно-определенного дата-центра. Это особенно полезно для организаций, которые могут позволить себе потратить примерно 3 часа на запуск SDDC, когда возникает необходимость восстановиться на резервную инфраструктуру (или протестировать этот процесс). Также вы можете постоянно иметь SDDC, всегда готовый к восстановлению, что значительно сократит целевое время восстановления.
VMware предоставляет возможность защиты различных сред и множества различных рабочих нагрузок, а также множества копий point-in-time (снапшотов). Но, что более важно, эта служба позволяет вам проверить вашу точку восстановления в полностью изолированной среде. Решение фактически не только изолирует рабочие нагрузки, но и предоставляет вам информацию на различных уровнях о вероятности заражения снимка. В первую очередь, в процессе восстановления показываются энтропия и скорость изменений, что дает представление о том, когда потенциально среда была заражена (или, например, был активирован вирус-вымогатель).
Кроме того, с помощью NSX и программного обеспечения Next Generation Anti-Virus от VMware можно безопасно проверить точку восстановления. Создается карантинная среда, где точка восстановления проверяется на уязвимости и угрозы, а также может быть проведен анализ рабочих нагрузок для восстановления, как показано на скриншоте ниже. Это значительно упрощает процесс восстановления и проверки, поскольку устраняет необходимость ручных операций, обычно включенных в этот процесс. Конечно, в рамках процесса восстановления используются продвинутые возможности сценариев VMware Cloud Disaster Recovery, позволяющие восстановить полный дата-центр или просто выбранную группу виртуальных машин, запустив план восстановления. В этот план восстановления включен порядок, в котором нужно включить и восстановить рабочие нагрузки, но в него также можно включить настройку IP, регистрацию DNS и многое другое.
В зависимости от результатов анализа, вы можете затем определить, что делать со снапшотом. В рамках анализа вы сможете ответить на следующие вопросы:
Данные не скомпрометированы?
Рабочие нагрузки не заражены?
Есть ли какие-либо известные уязвимости, которые мы должны сначала устранить?
Если данные скомпрометированы или среда заражена в любой форме, вы можете просто игнорировать снимок и очистить среду. Повторяйте процесс, пока не найдете точку восстановления, которая не скомпрометирована! Если есть известные уязвимости, а среда чиста, вы можете устранить их и завершить восстановление. В итоге это приведет к полному доступу к самому ценному активу вашей компании - данным.
Более подробно о решении VMware Ransomware Recovery можно почитать тут.
RSS
