給FlashSystem裝上“耳朵”

存儲，總是憨憨地、默默地為業(yè)務系統(tǒng)服務，保護用戶的數據。最近，IBM給FlashSystem裝上了一個小“耳朵”，這是怎么回事呢？

后疫情時代，隨著數字化轉型的加速，勒索軟件和敲詐勒索軟件攻擊已經成為企業(yè)業(yè)務連續(xù)性的主要網絡威脅，而且這些攻擊的復雜性在不斷增加。勒索軟件攻擊是一場持久的全球危機。盡管在網絡安全方面投入了大量資金，各組織仍在努力保護自己免受攻擊。當一個組織的數據被惡意加密時，它只有兩個選擇：支付贖金或恢復數據。這兩種選擇都不理想。波尼蒙研究所（Ponemon Institute）最近將單個網絡攻擊的估計成本從440萬美元提高到520萬美元。支付贖金的替代方案是從備份和歸檔中重建數據。不幸的是，重建數據的傳統(tǒng)備份/恢復方案需要數周才能完成；如今，運營數據的平均恢復時間為23天。想象一下，一次為期三周的停機對收入的影響和聲譽的損害可能會更大。顯然，需要采取一些措施來改進組織如何預測勒索軟件攻擊并從中恢復。

IBM的Cyber Vault方案應運而生，它大大縮短了恢復時間，如下所示，生產恢復時間從原先的數周/數月（圖中暗灰色大三角形）縮短到小時，甚至分鐘級（圖中藍色小三角形），最大限度降低網絡攻擊造成的影響，把Data Resilience的能力發(fā)揮到極致。

IBM的Cyber Vault解決方案建立在Safeguarded Copy功能的基礎上，該功能可在主存儲陣列上提供不可變的數據副本，通過空氣隔離可以防止勒索軟件傳播導致備份數據被污染，并且可以超快速地恢復。通過創(chuàng)建一個專用且隔離的Cyber Vault環(huán)境（可以是VMware的VM虛擬機或邏輯分區(qū)LPAR），在此環(huán)境中可以進行自動化的恢復測試、驗證和分析，因此不會對生產系統(tǒng)產生影響。當發(fā)生攻擊時，在需要時獲得授權人員的批準，以確保恢復既簡單方便又安全可靠。

IBM Cyber Vault方案如何運作呢？這里有4大法寶：不可變副本，主動監(jiān)測，數據拷貝測試與驗證，快速恢復。四個字總結：隔！先！穩(wěn)！快！

法寶一「隔」

不可變副本

不可變副本，即與生產數據隔離。IBM存儲的Safeguarded Copy創(chuàng)建不可更改的，基于時間點的拷貝或快照，這些受保護的快照在獨立于生產環(huán)境的隔離存儲池中被創(chuàng)建，并且只能由Cyber Vault恢復系統(tǒng)訪問。Cyber Vault將應用涉及的所有卷之間創(chuàng)建一致性組（CG），以保證應用數據恢復時的可用性。

法寶二「先」

主動監(jiān)測

主動檢測可能的風險，并自動采取行動。主動威脅檢測和響應模塊（能力由IBM QRadar提供）先進的日志分析，深度檢測和威脅實時監(jiān)控功能已經集成到Cyber Vault中，結合IBM存儲管理訪問日志，應用程序日志、網絡或服務器日志等，為企業(yè)數據提供全方位保護。當法寶二監(jiān)測到可能的威脅后，Cyber Vault可以主動觸發(fā)法寶一的Safeguarded Copy，以便在第一次出現威脅時，創(chuàng)建受保護的生產卷快照，以保護生產數據。此外，一旦發(fā)生攻擊，Cyber Vault可以使用的最佳時間點的快照副本，并可以自動執(zhí)行將數據還原到生產。由于快照恢復的即時性特點，幾乎可以立即完成恢復。

法寶三「穩(wěn)」

拷貝測試與驗證

為了保證日常數據的拷貝可以平穩(wěn)恢復，Cyber Vault將定期對受保護的快照進行驗證，主動檢測數據是否損壞，在恢復之前確?？煺帐菦]被污染的。這里運維人員可以利用幾種不同的實用程序和工具來進行主動數據驗證，如：Oracle的DBVerify，DB2的Inspect，MongoDB的Validate以及其他數據掃描工具。此外，Cyber Vault還可以結合Ansible自動化腳本，檢索受保護的快照，恢復受保護的快照并通過執(zhí)行數據驗證工具，獲得干凈的快照，然后將干凈的快照恢復到生產環(huán)境。

法寶四「快」

快速恢復

前面三個法寶的目的，都是為了祭出“快速恢復”，畢竟時間就是金錢。下面我們就來看看Cyber Vault是如何實現快速恢復的吧。

Cyber Vault首先在一天中的不同時間點在主存儲陣列上獲取不可變的數據副本，目的是使其恢復點盡可能短，以最大程度地減少數據丟失。該方案中用于主動監(jiān)控的威脅檢測與響應模塊通過對存儲系統(tǒng)日志進行關聯性分析，發(fā)現存儲系統(tǒng)出現的異常活動，如：登錄異常、系統(tǒng)操作異常，或者是文件正在被加密，典型的勒索軟件行為。也可與企業(yè)中現有的安全平臺安全工具對接，接收其發(fā)送的安全事件。假定此時是17:00，威脅檢測與響應模塊模塊發(fā)現系統(tǒng)出現異常，首先會自動創(chuàng)建備份副本，目的是，即使某個系統(tǒng)受到攻擊，數據被污染或破壞，但其它系統(tǒng)的數據還是完整的，安全。當存儲管理員意識到問題時，很顯然18:00的數據是被破壞或污染了，無需嘗試進行恢復?？梢詮?7:00的快照開始回滾，將數據交給Cyber Vault環(huán)境，并使用工具對數據進行校驗，如果發(fā)現數據一致性有問題，再回滾到之前的時間點，如：15:00,12:00，直到恢復到9:00時，發(fā)現這個時間點的數據是可用的，將其恢復到生產環(huán)境中。威脅檢測與響應模塊為存儲環(huán)境注入了智能化安全威脅分析的能力，第一時間主動發(fā)現問題，并可以自動化采取響應動作，可助力實現更優(yōu)的RTO和RPO目標。

實施Cyber Vault的關鍵價值在于，通過主動監(jiān)控、測試、記錄的步驟來響應此類攻擊，以及快速測試和恢復數據的能力，客戶現在可以在數小時內恢復生產數據，而不是數周。應對網絡安全危機只是時間問題，沒有如果。因此，當Flash System裝上了小“耳朵”，就可以更好地保護您的數據了。