,

Ripristino da un attacco Ransomware su Pure Storage FlashArray

Un attacco Ransomware è un test gravoso della resilienza IT. FlashArray fornisce strumenti integrati che possono aiutarti a ridurre al minimo le interruzioni e tornare al business in modo rapido e sicuro.

Ransomware Pure Storage FlashArray

Sintesi

Pure Storage FlashArray offre immutabilità dei dati e ripristino rapido per ripristinare il funzionamento. Con SafeMode Snapshots, le pratiche di ripristino intelligente e il team di supporto di Pure, puoi essere certo che i tuoi dati non solo vengono sottoposti a backup, ma sono effettivamente ripristinabili quando sono importanti. 

image_pdfimage_print

Ransomware sono scoraggianti, ma Pure Storage® FlashArray fornisce strumenti integrati che offrono un percorso affidabile per il ripristino. Questo blog descrive un piano d’azione di alto livello per aiutarti a eseguire il ripristino utilizzando le funzionalità FlashArray, guidandoti attraverso il contenimento immediato, l’analisi forense, il ripristino dei dati e la convalida post-recupero. Sfruttando le snapshot, la gestione delle snapshot e i controlli di replica di FlashArray SafeMode™ (come la sospensione della replica), puoi garantire l’immutabilità dei dati e un ripristino affidabile. Durante il processo, ricorda che non sei solo: Collaborare a stretto contatto con il team di risposta agli incidenti (IR) e Pure Support è fondamentale per un ripristino agevole.

Azioni immediate dopo un attacco Ransomware

Quando viene rilevato un attacco Ransomware, è fondamentale agire rapidamente per contenere i danni e preservare i dati recuperabili. Le funzionalità FlashArray possono aiutarti a farlo in modo efficace. Ecco i passi immediati da intraprendere:

  • Isola i sistemi interessati: Disconnettere o arrestare host e reti compromessi per evitare ulteriori diffondersi. Arresta qualsiasi I/O attivo per i volumi FlashArray che sono stati attaccati. Questo contenimento protegge sia il sistema FlashArray che altre infrastrutture da ulteriori danni alla crittografia.
  • Metti in pausa la replica nei siti DR: Se il sistema FlashArray replica i dati in un sito secondario o in un cloud, sospendi o interrompi immediatamente la replica. In questo modo i dati crittografati o danneggiati non si propagano per eliminare le copie di backup. Interrompendo la replica, si conservano le ultime snapshot note prima che il Ransomware possa colpirle.
  • Sfrutta le snapshot SafeMode: Le snapshot FlashArray SafeMode sono punti di ripristino immutabili, che non possono essere eliminati o modificati da alcun utente, nemmeno da un amministratore o da un utente malintenzionato. Verifica che SafeMode sia abilitato (se non lo era già, contatta il supporto Pure per abilitarlo per la protezione futura). Identifica la snapshot pulita più recente prima dell’esecuzione del Ransomware. SafeMode assicura che tali snapshot siano ancora intatte e fornisce un Recovery Point garantito dopo un attacco. Se SafeMode non è abilitato e si dispone ancora di snapshot, eseguire rapidamente una snapshot manuale dei volumi critici (e abilitare SafeMode in futuro).
  • Interagisci agli incidenti e supporta Pure: Informa immediatamente il team di risposta agli incidenti della tua organizzazione. Segui il playbook interno sulla risposta al Ransomware in collaborazione con loro. Contemporaneamente, contatta il supporto Pure e apri un caso di supporto critico. Pure Support ha esperienza con gli scenari di Ransomware e può guidarti nel ripristino delle snapshot SafeMode, convalidare i passaggi e persino fornire assistenza con eventuali regolazioni (ad esempio, estendere la conservazione delle snapshot o abilitare funzionalità di ripristino speciali). Il coinvolgimento precoce del supporto Pure garantisce inoltre che tutte le operazioni SafeMode (come la possibilità di eliminazioni dopo il ripristino) vengano eseguite con l’autorizzazione appropriata. Pensa a SafeMode come a un sistema “a due chiavi”: anche con le credenziali di amministratore, le modifiche distruttive richiedono la collaborazione del supporto Pure con i tuoi contatti autorizzati. Questa collaborazione aggiunge un ulteriore livello di sicurezza e affidabilità.

L’adozione di queste azioni immediate stabilizzerà la situazione. Il tuo obiettivo principale in questa fase è quello di fermare il problema: contenere la minaccia, proteggere le copie sicure (snapshot/replica) e coinvolgere i team di esperti.

Analisi forense e pianificazione del ripristino

Con la minaccia immediata contenuta, la fase successiva è capire cosa è successo e pianificare un ripristino pulito. Il rilevamento delle anomalie in Pure1® allinea la tempistica delle anomalie al catalogo delle snapshot e alle snapshot consigliate dalle superfici più vicine all’insorgenza di comportamenti sospetti (ad esempio, collasso DRR dovuto alla crittografia). In questo modo puoi eseguire il ripristino subito prima dell’inizio dell’attacco, riducendo al minimo la perdita di dati. Le funzionalità di snapshot e registrazione di FlashArray sono preziose per le indagini forensi:

  • Conserva le prove: Non eliminare immediatamente i volumi crittografati o le snapshot create dall’autore dell’attacco. Se i volumi sono stati “distrutti” dall’autore dell’attacco, rimarranno comunque nel cestino (coda di eliminazione) del sistema FlashArray. Grazie a SafeMode, questi volumi e snapshot non possono essere eliminati dall’autore dell’attacco e rimangono disponibili. Per il momento, conservali nel loro stato attuale: il tuo team di IR potrebbe averne bisogno per analizzarli (ad esempio, per determinare lo stress del Ransomware o per verificare se i dati sono stati esfiltrati). Anche i log di audit FlashArray (accessibili tramite Pure1 o l’array) possono fornire una sequenza temporale delle azioni amministrative, che può aiutare a capire quando e come l’autore dell’attacco ha colpito.
  • Identifica l’ultima snapshot pulita: Collabora con i tuoi team di storage e sicurezza per trovare la snapshot più recente prima dell‘inizio della crittografia. Le snapshot FlashArray sono spesso pianificate a intervalli regolari; determina quali snapshot corrispondono a un punto temporale subito prima dell’incidente. Poiché le snapshot FlashArray sono immutabili e con thin provisioning, puoi utilizzarle in sicurezza per le indagini senza rischiare i dati. Ad esempio, è possibile creare un clone di una snapshot in un nuovo volume e presentarlo a un server forense isolato. In questo modo, gli addetti agli incidenti possono ispezionare i dati (e persino eseguire scansioni di malware) per verificare che l’istantanea sia pulita e priva di Ransomware, il tutto senza toccare i dati originali o interrompere la produzione. Grazie alla natura efficiente in termini di spazio, questi cloni consumano una capacità extra minima, pertanto è possibile creare più copie se necessario per l’analisi.
  • Analizza e pianifica con il tuo team IR: In collaborazione con il tuo team IR, analizza in che modo il Ransomware si è infiltrato e quali sistemi sono stati interessati. Determinare se sono presenti backdoor o minacce continue che devono essere neutralizzate prima del ripristino. Ciò può comportare la scansione dei dati delle snapshot clonate alla ricerca di firme malware o indicatori di compromissione. È fondamentale assicurarsi di eseguire il restore da una snapshot realmente pulita. Il team IR potrebbe anche consigliare quando eseguire il restore, ad esempio dopo l’applicazione di determinate patch di sicurezza o aggiornamenti ai server, per evitare la reinfezione. Usa questa fase per decidere l’ambito del ripristino: quali volumi o applicazioni verranno ripristinati e in quale ordine.

Durante questa fase forense, ricorda che i tuoi dati su FlashArray (nelle snapshot) sono sicuri e immutabili. Sapere di avere le snapshot SafeMode immutabili in riserva ti offre la massima tranquillità mentre tu e gli esperti mappate il piano di ripristino. È buona prassi documentare i risultati (quali snapshot sono pulite, quali volumi sono stati interessati, ecc.) mentre si pianificano i passi successivi.

Ripristino dei dati dalle snapshot SafeMode

Una volta definito un piano di ripristino chiaro e identificati i punti di snapshot puliti, è il momento di eseguire il restore dei dati e ripristinare i sistemi critici online. L’architettura all-flash FlashArray e la tecnologia snapshot rendono il ripristino veloce e affidabile:

Il componente aggiuntivo dello SLA per il Cyber Recovery e la Resilienza Evergreen//One (noto anche come garanzia di ripristino dal Ransomware) fornisce un servizio di ripristino completo per i clienti FlashArray, inviando array puliti e fornendo assistenza per il ripristino basato su snapshot dopo un incidente informatico o un disastro. Viene acquistato come componente aggiuntivo di un abbonamento Evergreen//One ed è progettato per tornare online rapidamente su una piattaforma pulita, preservando al contempo l’integrità forense dell’infrastruttura compromessa.

  • Eseguire un ripristino controllato: Seleziona la snapshot SafeMode appropriata che rappresenta l’ultimo stato di validità dei dati. Sono disponibili un paio di opzioni di restore: È possibile clonare la snapshot in nuovi volumi o ripristinare (rollback) i volumi originali dalla snapshot. Inizialmente, la clonazione di nuovi volumi è spesso più sicura: consente di portare le applicazioni su nuovi volumi con i dati puliti, mentre i volumi originali (con i dati crittografati) rimangono immutati per il momento. In questo modo, se qualcosa va storto, hai ancora l’originale e la snapshot così com’è. In entrambi i casi, il sistema FlashArray reindirizzerà semplicemente i metadati di storage ai blocchi di dati delle snapshot, rendendo il ripristino virtualmente istantaneo. A differenza dei backup tradizionali, non sono necessarie lunghe copie dei dati: i volumi possono essere ripristinati allo stato pre-attacco in pochi secondi.
  • Verifica e porta i sistemi online: Dopo il ripristino, ma prima di riconnettere gli utenti finali o i workload di produzione, esegui una convalida. Montare i volumi ripristinati su alcuni host di applicazioni in modo controllato (idealmente in una rete in quarantena o con sistemi accuratamente puliti). Verificare che i dati siano intatti e che il Ransomware non sia più presente. Ciò può comportare l’esecuzione di controlli di integrità sui database, l’apertura di un campione di file per assicurarsi che non siano crittografati e l’utilizzo di scanner antivirus/antimalware aggiornati sui dati ripristinati. L’obiettivo è confermare di avere un ambiente realmente pulito. Grazie ai passaggi forensi precedenti, in questa fase dovrebbe esserci molta fiducia.
  • Sfrutta il supporto Pure durante il ripristino: Pure Support fornisce un servizio white-glove (se ti sei abbonato a Evergreen//One Cyber Recovery and Resilience) per aiutarti a effettuare il ripristino rapido e sicuro dal Ransomware su FlashArray. Anche se in genere non è necessario che Pure Support aiuti a eseguire un restore delle snapshot (è un’operazione di amministrazione che è possibile eseguire tramite GUI o CLI), mantenerle in loop, soprattutto se SafeMode è abilitato, ti aiuterà a garantire un ripristino corretto. Ad esempio, se la policy di conservazione SafeMode deve essere modificata (potrebbe essere necessario estendere temporaneamente il periodo di conservazione delle snapshot durante la crisi), Pure Support può apportare tali modifiche con l’autorizzazione appropriata da parte dell’utente. In caso di problemi (ad es. domande su quale snapshot utilizzare o su come gestire un elevato numero di volumi), Pure Support ti guiderà. Ricorda, il nostro obiettivo è garantire che i tuoi dati tornino online in modo rapido e sicuro e abbiamo un interesse acquisito per il tuo ripristino.

Grazie alla progettazione di FlashArray, il ripristino dei dati è estremamente veloce ed efficiente, e viene eseguito alla “velocità flash”. Ciò significa che il downtime è ridotto al minimo e puoi iniziare a riportare le applicazioni molto prima rispetto a quando ti affidi a un backup off-site lento. In molti casi, le aziende che utilizzano FlashArray SafeMode Snapshots possono eseguire il ripristino in poche ore anziché giorni o settimane, evitando perdite enormi.

Convalida post-recupero e ripristino delle operazioni

Il ripristino non termina quando i dati vengono ripristinati. È essenziale convalidare l’ambiente e adottare le misure necessarie per evitare incidenti futuri durante il ripristino delle normali operazioni:

  • Convalida approfondita dei sistemi: Con il ripristino dei dati da snapshot pulite, esegui una convalida completa di tutte le applicazioni e i set di dati chiave. Chiedi ai proprietari e agli utenti delle applicazioni di eseguire controlli per garantire che tutto funzioni correttamente. Monitora attentamente i registri di sistema e il comportamento per rilevare eventuali anomalie. Si tratta essenzialmente di una fase di test post-recupero, che conferma la coerenza dei database, l’apertura corretta dei file e l’assenza di malware persistente. Se si riscontrano problemi, è possibile tornare alle snapshot (ad esempio, se si scopre che una snapshot scelta non era così pulita come si pensava, è possibile sceglierne una più vecchia). Tuttavia, questi casi sono rari se l’analisi forense è stata eseguita diligentemente.
  • Scansione e patch del malware: Man mano che i sistemi vengono messi online, assicurati che dispongano delle patch di sicurezza più recenti e che tutte le definizioni antivirus siano aggiornate. Esegui scansioni approfondite del malware su tutti i sistemi ripristinati (server, macchine virtuali, ecc.) prima di rilasciarli completamente agli utenti. Questo passaggio, in collaborazione con il team di IR o sicurezza, assicura che l’ambiente live sia privo di Ransomware o di qualsiasi altro exploit. L’ultima cosa che vuoi è una reinfezione subito dopo il ripristino.
  • Riprendi replica e backup: Se hai messo in pausa la replica in precedenza, riprendila solo dopo aver verificato che l’ambiente sia pulito. Puoi prima risincronizzare i dati dal FlashArray primario al secondario o, se necessario, prendere in considerazione la possibilità di eseguire una nuova semina (nel caso in cui il delta durante l’attacco fosse elevato). La chiave è evitare di sincronizzare i dati danneggiati; una volta convalidati, riabilita i workflow di replica in modo che il sito DR sia di nuovo al passo. Allo stesso modo, riabilita tutti i processi di backup che sono stati interrotti e prendi in considerazione di eseguire un nuovo backup completo o una nuova snapshot dello stato “noto-buono” appena ripristinato come nuova base.
  • Lavora con Pure Support per la pulizia: Dopo il ripristino, potresti avere alcune attività di pulizia sul sistema FlashArray. Ad esempio, i volumi crittografati isolati o lasciati nel cestino possono ora essere eliminati in modo sicuro una volta certi che non siano più necessari (e che tutti i dati siano stati ripristinati altrove). Poiché SafeMode era attivo, tali volumi/snapshot verranno eliminati in modo permanente solo alla scadenza del timer SafeMode o se richiesto esplicitamente. Coordinati con il supporto Pure e utilizza i contatti SafeMode autorizzati per cancellare i residui dannosi al momento opportuno. Pure Support può anche aiutarti a riportare le pianificazioni delle snapshot e la conservazione alla normalità (ad esempio, se hai esteso la conservazione durante la crisi, puoi richiamarla per risparmiare spazio una volta che le cose si sono risolte). Durante questo processo, il team di supporto di Pure rimane un partner utile: le informazioni approfondite di altri casi di Ransomware possono essere preziose per la gestione post-incidente.
  • Rivedi e rafforza le difese: Infine, cogli l’occasione per imparare dall’incidente. Collabora con il tuo team IR per analizzare il vettore di attacco e colmare eventuali lacune di sicurezza che sono state sfruttate (potrebbe essere più importante nel settore IT/della sicurezza, ma vale la pena notare). Dal punto di vista di FlashArray, assicurati che SafeMode rimanga abilitato in futuro (se non lo era prima, dovrebbe esserlo ora, è offerto gratuitamente e offre enormi vantaggi). È inoltre necessario rivedere le policy sulle snapshot: Scattate snapshot con una frequenza sufficiente per il vostro profilo di rischio? Sono replicati fuori sede? FlashArray semplifica la personalizzazione delle pianificazioni e della conservazione delle snapshot per soddisfare le esigenze aziendali. Le snapshot recenti e immutabili sono ciò che ti ha fatto risparmiare questa volta; il raddoppio di questa strategia ti renderà ancora più resiliente in futuro. Il backup tradizionale potrebbe non essere sempre all’altezza dei moderni ransomware Ransomware, ma le snapshot immutabili di Pure Storage impediscono che i dati critici vengano modificati o distrutti, garantendo un luogo in cui eseguire il ripristino.
  • Convalida con gli utenti e ripristino incrementale dei servizi: Come best practice, riporta i sistemi agli utenti in fasi. Ad esempio, è possibile eseguire il restore dei database critici e verificarli, quindi consentire ai server delle applicazioni di riconnettersi e infine consentire agli utenti finali di accedere ai servizi. Questo approccio a fasi garantisce che, in caso di problemi, sia più facile individuare e risolvere il problema senza interrompere tutto. Comunica con i tuoi stakeholder quali servizi sono disponibili ed eventuali effetti residui. Molti clienti Pure Storage notano che, dopo questi rapidi ripristini basati su snapshot, possono raggiungere o superare i loro obiettivi di tempo di ripristino, dimostrando il valore dell’approccio FlashArray.

Durante la fase di post-recupero, mantieni uno stretto contatto con Pure Support. Possono eseguire controlli sullo stato del sistema FlashArray per confermare che funzioni bene dopo il restore e che non vi siano problemi hardware che coincidano con l’evento. La guida proattiva del supporto Pure può anche aiutare a convalidare che le funzionalità di data protection (come SafeMode, replica, crittografia a REST, ecc.) siano tutte in una configurazione ottimale in futuro.

Conclusione

Il ripristino da un attacco Ransomware è un evento stressante per qualsiasi organizzazione. Tuttavia, con Pure Storage FlashArray hai potenti protezioni integrate che ti permettono di controllare il destino dei tuoi dati. Isolando rapidamente la minaccia, utilizzando snapshot immutabili SafeMode e pianificando attentamente il restore con l’aiuto del supporto Pure e dei soccorritori degli incidenti, puoi tornare rapidamente alle normali operazioni senza dover pagare riscatti o subire downtime prolungati. La tecnologia di snapshot immutabile FlashArray garantisce che, anche se gli autori degli attacchi compromettono le credenziali di amministrazione, non possano eliminare, modificare o crittografare le snapshot protette, ma i tuoi punti di ripristino rimangono al sicuro. Inoltre, poiché il ripristino avviene alla velocità flash, riduci al minimo le interruzioni e dimostri la solidità del tuo piano di business continuity.