VMware Ransomware Recovery là một dịch vụ mới từ VMware giúp bạn khôi phục từ tấn công ransomware. Nó giúp kiểm tra các điểm phục hồi trong một môi trường đám mây bị cô lập và xem xét xem chúng có bị nhiễm sau tấn công ransomware hay không. Thật không may, ransomware vẫn còn tồn tại và chúng ta sẽ phải đối mặt với nó, chiến đấu với nó. Nhưng để làm được điều này, chúng ta cần các công cụ, tài nguyên miễn phí hoặc phần cứng dự phòng (dư thừa).
Giải pháp VMware mà chúng tôi có thể gọi là Dịch vụ phục hồi phần mềm tống tiền có thể là một lựa chọn tuyệt vời cho một số khách hàng, bởi vì bạn sẽ sử dụng dịch vụ này khi cần. Kiến trúc trông như thế nào và có gì bên trong?
Nhiều cuộc tấn công sử dụng các phương pháp không có tệp mà các phương pháp quét tệp truyền thống không thể phát hiện được. VMware có thể sử dụng các phương pháp dựa trên phát hiện hành vi để quét các điểm khôi phục nhằm phát hiện phần mềm tống tiền hoặc xác định các điểm khôi phục sạch.
Quy trình hoạt động như sau:
Hệ thống sẽ bật nguồn các máy ảo, kiểm tra phần mềm độc hại trong bộ nhớ và quan sát lưu lượng truy cập mạng đáng ngờ, chẳng hạn như kết nối với các nguồn ransomware trên Internet.
Đây là màn hình tổng quan (từ video giới thiệu VMware mà bạn có thể xem tại đây).
4 bước:
- VMware tạo ra một môi trường khôi phục an toàn, nơi bạn có thể quay các điểm khôi phục của mình cho mục đích thử nghiệm. Đây là một triển khai greenfield đang chạy trong AWS. Đó là cấu trúc dựng sẵn mà bạn có thể tùy chỉnh với một số tùy chọn, chẳng hạn như NSX-T, v.v…
- Chọn một điểm khôi phục mà bạn muốn kiểm tra. Đối với điều này, hãy chuyển đến Gói khôi phục của bạn > Chọn gói > Chọn máy ảo của bạn > Chọn ảnh chụp nhanh rồi nhấp vào Bắt đầu máy ảo trong Recovery SDDC .
Bạn có thể thấy rằng việc lựa chọn ảnh chụp nhanh có thể được thực hiện với tốc độ thay đổi (ngay trước khi tăng đột biến!) để chọn ảnh chụp nhanh rõ ràng .
3. Khi bạn xác thực điểm khôi phục, bạn có thể xác thực và quét chúng trước khi khôi phục chúng trở lại hoạt động bình thường. Bạn có thể bắt đầu tùy chọn khác nhau để phát hiện phần mềm độc hại. Lưu ý rằng bạn cũng có thể bắt đầu khôi phục tệp khách trong giao diện người dùng để chỉ chọn các tệp bạn cần khôi phục.
4. Khôi phục production
Cách để duy trì sự kiên cường ngay cả khi cuộc tấn công vượt qua là khá quan trọng ngày nay. Nếu không có công cụ phù hợp, không có kế hoạch phù hợp, bạn sẽ bị bắt. Phục hồi VMware ransomware có ở đây và cung cấp giá trị cho các tổ chức không có trang web cách ly DR thích hợp của họ để khôi phục và thực hiện kiểm tra ảnh chụp nhanh trong môi trường bị cô lập.
Giải pháp Sao lưu và phục hồi của bạn cũng có thể ở đây để trợ giúp. Veeam Backup & Replication sử dụng máy chủ gắn kết làm máy chủ dàn để quét dữ liệu máy bằng phần mềm chống vi-rút. Nhưng chúng tôi sẽ báo cáo về điều này trong một bài viết khác.
Nguồn: VMware
