給FlashSystem裝上“耳朵”

存儲(chǔ)，總是憨憨地、默默地為業(yè)務(wù)系統(tǒng)服務(wù)，保護(hù)用戶的數(shù)據(jù)。最近，IBM給FlashSystem裝上了一個(gè)小“耳朵”，這是怎么回事呢？

后疫情時(shí)代，隨著數(shù)字化轉(zhuǎn)型的加速，勒索軟件和敲詐勒索軟件攻擊已經(jīng)成為企業(yè)業(yè)務(wù)連續(xù)性的主要網(wǎng)絡(luò)威脅，而且這些攻擊的復(fù)雜性在不斷增加。勒索軟件攻擊是一場(chǎng)持久的全球危機(jī)。盡管在網(wǎng)絡(luò)安全方面投入了大量資金，各組織仍在努力保護(hù)自己免受攻擊。當(dāng)一個(gè)組織的數(shù)據(jù)被惡意加密時(shí)，它只有兩個(gè)選擇：支付贖金或恢復(fù)數(shù)據(jù)。這兩種選擇都不理想。波尼蒙研究所（Ponemon Institute）最近將單個(gè)網(wǎng)絡(luò)攻擊的估計(jì)成本從440萬美元提高到520萬美元。支付贖金的替代方案是從備份和歸檔中重建數(shù)據(jù)。不幸的是，重建數(shù)據(jù)的傳統(tǒng)備份/恢復(fù)方案需要數(shù)周才能完成；如今，運(yùn)營(yíng)數(shù)據(jù)的平均恢復(fù)時(shí)間為23天。想象一下，一次為期三周的停機(jī)對(duì)收入的影響和聲譽(yù)的損害可能會(huì)更大。顯然，需要采取一些措施來改進(jìn)組織如何預(yù)測(cè)勒索軟件攻擊并從中恢復(fù)。

IBM的Cyber Vault方案應(yīng)運(yùn)而生，它大大縮短了恢復(fù)時(shí)間，如下所示，生產(chǎn)恢復(fù)時(shí)間從原先的數(shù)周/數(shù)月（圖中暗灰色大三角形）縮短到小時(shí)，甚至分鐘級(jí)（圖中藍(lán)色小三角形），最大限度降低網(wǎng)絡(luò)攻擊造成的影響，把Data Resilience的能力發(fā)揮到極致。

IBM的Cyber Vault解決方案建立在Safeguarded Copy功能的基礎(chǔ)上，該功能可在主存儲(chǔ)陣列上提供不可變的數(shù)據(jù)副本，通過空氣隔離可以防止勒索軟件傳播導(dǎo)致備份數(shù)據(jù)被污染，并且可以超快速地恢復(fù)。通過創(chuàng)建一個(gè)專用且隔離的Cyber Vault環(huán)境（可以是VMware的VM虛擬機(jī)或邏輯分區(qū)LPAR），在此環(huán)境中可以進(jìn)行自動(dòng)化的恢復(fù)測(cè)試、驗(yàn)證和分析，因此不會(huì)對(duì)生產(chǎn)系統(tǒng)產(chǎn)生影響。當(dāng)發(fā)生攻擊時(shí)，在需要時(shí)獲得授權(quán)人員的批準(zhǔn)，以確?；謴?fù)既簡(jiǎn)單方便又安全可靠。

IBM Cyber Vault方案如何運(yùn)作呢？這里有4大法寶：不可變副本，主動(dòng)監(jiān)測(cè)，數(shù)據(jù)拷貝測(cè)試與驗(yàn)證，快速恢復(fù)。四個(gè)字總結(jié)：隔！先！穩(wěn)！快！

法寶一「隔」

不可變副本

不可變副本，即與生產(chǎn)數(shù)據(jù)隔離。IBM存儲(chǔ)的Safeguarded Copy創(chuàng)建不可更改的，基于時(shí)間點(diǎn)的拷貝或快照，這些受保護(hù)的快照在獨(dú)立于生產(chǎn)環(huán)境的隔離存儲(chǔ)池中被創(chuàng)建，并且只能由Cyber Vault恢復(fù)系統(tǒng)訪問。Cyber Vault將應(yīng)用涉及的所有卷之間創(chuàng)建一致性組（CG），以保證應(yīng)用數(shù)據(jù)恢復(fù)時(shí)的可用性。

法寶二「先」

主動(dòng)監(jiān)測(cè)

主動(dòng)檢測(cè)可能的風(fēng)險(xiǎn)，并自動(dòng)采取行動(dòng)。主動(dòng)威脅檢測(cè)和響應(yīng)模塊（能力由IBM QRadar提供）先進(jìn)的日志分析，深度檢測(cè)和威脅實(shí)時(shí)監(jiān)控功能已經(jīng)集成到Cyber Vault中，結(jié)合IBM存儲(chǔ)管理訪問日志，應(yīng)用程序日志、網(wǎng)絡(luò)或服務(wù)器日志等，為企業(yè)數(shù)據(jù)提供全方位保護(hù)。當(dāng)法寶二監(jiān)測(cè)到可能的威脅后，Cyber Vault可以主動(dòng)觸發(fā)法寶一的Safeguarded Copy，以便在第一次出現(xiàn)威脅時(shí)，創(chuàng)建受保護(hù)的生產(chǎn)卷快照，以保護(hù)生產(chǎn)數(shù)據(jù)。此外，一旦發(fā)生攻擊，Cyber Vault可以使用的最佳時(shí)間點(diǎn)的快照副本，并可以自動(dòng)執(zhí)行將數(shù)據(jù)還原到生產(chǎn)。由于快照恢復(fù)的即時(shí)性特點(diǎn)，幾乎可以立即完成恢復(fù)。

法寶三「穩(wěn)」

拷貝測(cè)試與驗(yàn)證

為了保證日常數(shù)據(jù)的拷貝可以平穩(wěn)恢復(fù)，Cyber Vault將定期對(duì)受保護(hù)的快照進(jìn)行驗(yàn)證，主動(dòng)檢測(cè)數(shù)據(jù)是否損壞，在恢復(fù)之前確?？煺帐菦]被污染的。這里運(yùn)維人員可以利用幾種不同的實(shí)用程序和工具來進(jìn)行主動(dòng)數(shù)據(jù)驗(yàn)證，如：Oracle的DBVerify，DB2的Inspect，MongoDB的Validate以及其他數(shù)據(jù)掃描工具。此外，Cyber Vault還可以結(jié)合Ansible自動(dòng)化腳本，檢索受保護(hù)的快照，恢復(fù)受保護(hù)的快照并通過執(zhí)行數(shù)據(jù)驗(yàn)證工具，獲得干凈的快照，然后將干凈的快照恢復(fù)到生產(chǎn)環(huán)境。

法寶四「快」

快速恢復(fù)

前面三個(gè)法寶的目的，都是為了祭出“快速恢復(fù)”，畢竟時(shí)間就是金錢。下面我們就來看看Cyber Vault是如何實(shí)現(xiàn)快速恢復(fù)的吧。

Cyber Vault首先在一天中的不同時(shí)間點(diǎn)在主存儲(chǔ)陣列上獲取不可變的數(shù)據(jù)副本，目的是使其恢復(fù)點(diǎn)盡可能短，以最大程度地減少數(shù)據(jù)丟失。該方案中用于主動(dòng)監(jiān)控的威脅檢測(cè)與響應(yīng)模塊通過對(duì)存儲(chǔ)系統(tǒng)日志進(jìn)行關(guān)聯(lián)性分析，發(fā)現(xiàn)存儲(chǔ)系統(tǒng)出現(xiàn)的異?；顒?dòng)，如：登錄異常、系統(tǒng)操作異常，或者是文件正在被加密，典型的勒索軟件行為。也可與企業(yè)中現(xiàn)有的安全平臺(tái)安全工具對(duì)接，接收其發(fā)送的安全事件。假定此時(shí)是17:00，威脅檢測(cè)與響應(yīng)模塊模塊發(fā)現(xiàn)系統(tǒng)出現(xiàn)異常，首先會(huì)自動(dòng)創(chuàng)建備份副本，目的是，即使某個(gè)系統(tǒng)受到攻擊，數(shù)據(jù)被污染或破壞，但其它系統(tǒng)的數(shù)據(jù)還是完整的，安全。當(dāng)存儲(chǔ)管理員意識(shí)到問題時(shí)，很顯然18:00的數(shù)據(jù)是被破壞或污染了，無需嘗試進(jìn)行恢復(fù)。可以從17:00的快照開始回滾，將數(shù)據(jù)交給Cyber Vault環(huán)境，并使用工具對(duì)數(shù)據(jù)進(jìn)行校驗(yàn)，如果發(fā)現(xiàn)數(shù)據(jù)一致性有問題，再回滾到之前的時(shí)間點(diǎn)，如：15:00,12:00，直到恢復(fù)到9:00時(shí)，發(fā)現(xiàn)這個(gè)時(shí)間點(diǎn)的數(shù)據(jù)是可用的，將其恢復(fù)到生產(chǎn)環(huán)境中。威脅檢測(cè)與響應(yīng)模塊為存儲(chǔ)環(huán)境注入了智能化安全威脅分析的能力，第一時(shí)間主動(dòng)發(fā)現(xiàn)問題，并可以自動(dòng)化采取響應(yīng)動(dòng)作，可助力實(shí)現(xiàn)更優(yōu)的RTO和RPO目標(biāo)。

實(shí)施Cyber Vault的關(guān)鍵價(jià)值在于，通過主動(dòng)監(jiān)控、測(cè)試、記錄的步驟來響應(yīng)此類攻擊，以及快速測(cè)試和恢復(fù)數(shù)據(jù)的能力，客戶現(xiàn)在可以在數(shù)小時(shí)內(nèi)恢復(fù)生產(chǎn)數(shù)據(jù)，而不是數(shù)周。應(yīng)對(duì)網(wǎng)絡(luò)安全危機(jī)只是時(shí)間問題，沒有如果。因此，當(dāng)Flash System裝上了小“耳朵”，就可以更好地保護(hù)您的數(shù)據(jù)了。