Các cuộc tấn công Ransomware vẫn luôn là vấn đề được quan tâm trên toàn cầu! Số lượng các cuộc tấn công đã tăng lên gấp nhiều lần trong những năm gần đây và gây thiệt hại hàng ngàn tỷ đô la.

Hiện tại đã có những công nghệ có khả năng để chống lại các cuộc tấn công như phần mềm chống virus, quản lý bản vá, bảo mật điểm cuối, giám sát mạng và xác thực đa yếu tố,… Nhưng ngay cả với tất cả các công cụ này, kẻ tấn công vẫn tìm cách truy cập vào dữ liệu của bạn.

Sao lưu dữ liệu là giải pháp phòng thủ cuối cùng cho doanh nghiệp, nhưng những kẻ tấn công cũng đã nhận ra điều này và bây giờ chúng đã đưa các bản sao lưu dữ liệu của doanh nghiệp vào kế hoạch tấn công của chúng. Điều này có nghĩa là doanh nghiệp cần một giải pháp sao lưu dữ liệu và khôi phục dữ liệu vững chắc, một giải pháp không chỉ bảo vệ dữ liệu sao lưu mà còn bảo vệ cho chính giải pháp ấy.

Dưới đây là 05 tính năng quan trọng được trang bị trong một giải pháp sao lưu và khôi phục dữ liệu để bảo vệ khỏi Ransomware. Hãy cùng Mi2 JSC cùng tìm hiểu chi tiết hơn trong bài chia sẻ dưới đây.

05 tính năng quan trọng của sao lưu phục hồi và bảo vệ dữ liệu

Ransomware: Một Mối Đe Dọa Rõ Ràng và Hiện Hữu

Kỳ vọng về các tính năng mà một giải pháp sao lưu dành cho các doanh nghiệp vừa và nhỏ “phải” cung cấp thường xuất phát từ sự tiến bộ trong công nghệ. Các thiết bị sao lưu, sao lưu dưới dạng dịch vụ (BaaS), kết nối đám mây, chống trùng lặp và các thiết bị hyper-converged đại diện cho những cải tiến gần đây mà nhiều giải pháp sao lưu dành cho doanh nghiệp nhỏ và vừa sở hữu. 

Tuy nhiên, ransomware đã thay đổi điều này. Nó đại diện cho một lực lượng bên ngoài thúc đẩy nhiều đổi mới xảy ra trong giải pháp sao lưu SME. 

Ransomware đặt ra một mối đe dọa rõ ràng và hiện hữu mà tất cả các SME phải phòng vệ. Các dạng ransomware mới nhất ngày càng nhắm mục tiêu vào SME với hy vọng kiếm được số tiền chuộc khổng lồ. Yêu cầu chuộc tiền thường ở mức 1 triệu đô la Mỹ phải được thanh toán trong thời gian ngắn. 

Mặc dù phần mềm bảo mật an ninh mạng là phương tiện tốt nhất để phát hiện và ngăn chặn ransomware, nhưng không phải lúc nào phần mềm này cũng có thể ngăn chặn được. Đây là lúc giải pháp sao lưu SME xuất hiện. Khi sử dụng các giải pháp này, SME có thể tạo ra một hàng rào phòng thủ phụ. Các tính năng đa dạng mà các giải pháp này cung cấp có thể giúp phát hiện, bảo vệ và khôi phục hệ thống sau các cuộc tấn công ransomware.

Các tính năng đặc trưng của các giải pháp sao lưu dành cho SME

DCIG đã xác định hơn 50 giải pháp trên thị trường cung cấp khả năng sao lưu cho tổ chức và doanh nghiệp. Trong số 50 giải pháp này, DCIG đã xác định và phân loại 13 giải pháp về giải pháp sao lưu chống ransomware dành cho SME theo định nghĩa của DCIG . Những thuộc tính phân biệt giữa các giải pháp sao lưu SME và các giải pháp dành cho doanh nghiệp lớn bao gồm hỗ trợ cho các yêu cầu sau:

Bảo vệ các hypervisors và hệ điều hành phổ biến nhất: Các giải pháp sao lưu SME hỗ trợ các hypervisors và hệ điều hành phổ biến nhất. Chúng hỗ trợ hypervisors Microsoft Hyper-V và VMware vSphere cùng các hệ điều hành Linux và Windows. 

Bảo vệ chủ yếu cho các ứng dụng Microsoft: Những giải pháp này đều bảo vệ các ứng dụng Microsoft thông dụng. Chúng hỗ trợ Active Directory (AD), Exchange, SharePoint và SQL Server.

Lưu trữ và quản lý dữ liệu trên ổ đĩa: Những giải pháp này đều lưu trữ và quản lý dữ liệu sao lưu trên lưu trữ đĩa gắn kết trực tiếp và đính kèm mạng. Trong 10 năm qua, nhu cầu sao lưu dữ liệu lên phương tiện có thể tháo rời (băng từ hoặc sản phẩm khác) đã giảm đi.

Cung cấp một hoặc nhiều phương tiện thực hiện giảm dữ liệu: Vì tất cả các giải pháp này đều sao lưu lên đĩa, chúng đều cung cấp một hoặc nhiều công nghệ giảm dữ liệu. Tối thiểu, chúng cung cấp tính năng nén và một hình thức chống trùng lặp các phương pháp cập nhập mà mỗi giải pháp cung cấp và số lượng phương pháp có thể thay đổi theo từng giải pháp.

05 tính năng quan trọng nên có trong một giải pháp sao lưu và khôi phục dữ liệu 

Lưu trữ sao lưu dữ liệu trừu tượng (Abstracted backup storage)

Đây là cách mà dữ liệu sao lưu được lưu trữ một cách trừu tượng, tức là nó được đặt trong một tầng hoặc rào cản để ngăn chặn sự xâm nhập. Điều này có nghĩa là dữ liệu sao lưu không nằm trực tiếp trên các thiết bị mạng hoặc máy tính chính, mà được đặt trong một môi trường riêng biệt với các biện pháp bảo mật cao hơn.

Để bảo vệ dữ liệu sao lưu, việc sử dụng các giao thức không công bố (có thể hiểu là các giao thức không phổ biến và ít được biết đến) có thể làm cho việc xâm nhập trở nên khó khăn hơn đối với những kẻ tấn công. Ngoài ra, việc sử dụng xác thực kết nối riêng biệt đồng nghĩa với việc cung cấp các thông tin đăng nhập hoặc mã xác thực riêng biệt cho việc truy cập vào lưu trữ sao lưu, làm tăng tính bảo mật và khả năng kiểm soát truy cập.

Hệ điều hành thay thế sao lưu dữ liệu

 Điều này đưa ra việc sử dụng các hệ điều hành khác nhau trên máy chủ sao lưu và hệ thống lưu trữ so với các hệ thống sản xuất chính. Điều này có nghĩa là các máy chủ và hệ thống lưu trữ dành riêng cho việc sao lưu sẽ chạy trên các hệ điều hành khác với hệ thống chính để đảm bảo tính đa dạng và khả năng chống lại các cuộc tấn công.

Bằng cách sử dụng các hệ điều hành thay thế, bạn tạo ra một lớp bảo vệ bổ sung giữa dữ liệu sao lưu và các kẻ tấn công. Khi kẻ tấn công muốn xâm nhập vào hệ thống sao lưu, họ sẽ phải thay đổi cách tiếp cận và tìm hiểu về các hệ điều hành không quen thuộc, điều này làm chậm tiến trình tấn công. Trong thời gian này, bạn có thêm thời gian để phát hiện sự xâm nhập và phản ứng kịp thời.

Dữ liệu sao lưu không thể thay đổi

 Dữ liệu sao lưu mà sau khi tạo ra, không thể bị thay đổi, chỉnh sửa hoặc xóa đi một cách dễ dàng. Điều này đảm bảo tính toàn vẹn của dữ liệu sao lưu và ngăn chặn bất kỳ sự can thiệp nào có thể làm mất dữ liệu quan trọng.

Trước đây, để làm cho dữ liệu sao lưu không thể thay đổi, người ta phải gán thuộc tính “write protect” trên các băng đĩa. Khi thuộc tính này được kích hoạt, dữ liệu trên băng đĩa không thể bị ghi đè bằng dữ liệu mới.

Với sự tăng trưởng dữ liệu mạnh mẽ, hệ thống sao lưu dựa trên ổ đĩa nhanh hơn đã trở thành tiêu chuẩn cho sao lưu. Chúng mang đến khả năng “luôn sẵn sàng”, điều này có nghĩa là chúng bị tiếp xúc nhiều hơn với nguy cơ. Đảm bảo rằng dữ liệu sao lưu trên ổ đĩa có thể được lưu trữ một cách không thể thay đổi giúp chống lại kẻ tấn công ransomware và đảm bảo bạn có thể khôi phục lại dữ liệu và ứng dụng của mình.

Recycle Bin

Recycle Bin là một khái niệm chúng ta thường gặp trong máy tính. Khi bạn xóa một tập tin hoặc thư mục trên máy tính của mình, thay vì bị xóa hoàn toàn, chúng thường được di chuyển vào Recycle Bin (Thùng rác). Mục đích của việc này là để bạn có thể khôi phục lại chúng trong trường hợp bạn cần chúng hoặc bạn đã làm sai lầm trong việc xóa. Điều này giúp tránh việc mất dữ liệu quan trọng vô tình.

Sự khác biệt quan trọng ở đây đề cập đến việc làm cho “Recycle Bin” này trở nên không thể thay đổi (immutable). Điều này có nghĩa là sau khi sao lưu dự phòng và lưu trữ các phiên bản trước đó của tập tin, bạn không thể chỉnh sửa, xóa hoặc ghi đè lên chúng. Người dùng chỉ có khả năng khôi phục dữ liệu từ những phiên bản này. Cách này tạo ra một lớp an ninh bổ sung cho dữ liệu của bạn.

Khôi phục dữ liệu nhanh chóng

Điều này rất quan trọng để giảm thiểu thời gian gián đoạn và tái tạo lại dịch vụ sau mất dữ liệu hoặc sự cố. Để đảm bảo phục hồi nhanh chóng, dữ liệu sao lưu phải được giữ trong định dạng gốc, tức là không được mã hóa hoặc giảm kích thước thông qua việc loại bỏ dữ liệu trùng lặp.

Đọc thêm: Những mối đe dọa nội bộ ảnh hưởng đến an ninh thiết bị đầu cuối

Tính năng sao lưu dữ liệu truyền thống

Theo mặc định, tất cả các giải pháp sao lưu dành cho SME đều cung cấp một số phương tiện bảo vệ chống lại ransomware. Chúng cùng nhau tạo các bản sao của dữ liệu sản xuất và lưu trữ ở một nơi khác-đám mây, ổ đĩa mạng hoặc thiết bị lưu trữ gắn trực tiếp. Các bản sao dữ liệu sản xuất này đảm bảo mức độ bảo vệ chống lại ransomware và thường cung cấp cách để khôi phục. 

Nhiều giải pháp này hỗ trợ phương tiện lưu trữ có thể tháo rời, như đĩa và băng từ. Việc tháo rời phương tiện này tạo ra một khoảng cách không khí mà ransomware không thể vượt qua, giúp bảo vệ dữ liệu khỏi cuộc tấn công.

Việc tích hợp với Microsoft Active Directory (AD) để xác thực thông tin người dùng cũng giúp ngăn chặn các cuộc tấn công ransomware. Tích hợp AD giúp tạo ra các rào cản đăng nhập mạnh mẽ hơn mà ransomware thường không thể vượt qua.

Những tính năng chống ransomware thế hệ mới

Trong khi các tính năng truyền thống giúp SME ứng phó với mối đe dọa của ransomware nhưng vẫn còn nhiều giới hạn.Với các công nghệ mới đã được trang bị tốt hơn để giúp các tổ chức phát hiện, ngăn chặn và khôi phục sau các cuộc tấn công ransomware. Các tính năng thế hệ mới bổ sung, thay vì thay thế các phương pháp truyền thống để đánh bại ransomware. Một vài tính năng thế hệ tiếp theo bao gồm:

Sao lưu dữ liệu trong các kho lưu trữ không thể thay đổi

Kho lưu trữ không thể thay đổi có thể được đặt ở nhiều vị trí khác nhau, bao gồm tại nơi làm việc (on-premises), trong các đám mây có mục đích chung, các đám mây được tạo ra có mục đích cụ thể hoặc bất kỳ sự kết hợp nào. Bằng cách sử dụng kho lưu trữ không thể thay đổi, sau khi dữ liệu được lưu vào, dữ liệu gốc không thể bị xóa hoặc bị mã hóa bởi ransomware.

Tích hợp với phần mềm bảo mật an ninh mạng

Một giải pháp sao lưu có thể tích hợp với phần mềm bảo mật mạng theo ít nhất hai cách. Một số hợp tác với các nhà cung cấp phần mềm bảo mật mạng để giúp SME bảo mật tốt hơn các thiết bị đầu cuối khỏi các cuộc tấn công ransomware. Cách khác tích hợp phần mềm bảo mật mạng vào giải pháp của họ để quét dữ liệu sao lưu để phát hiện ransomware và cảnh báo về sự hiện diện của nó.

Thuật toán trí tuệ nhân tạo (AI) và học máy (ML)

Sử dụng AI hoặc ML, mỗi thuật toán quét dữ liệu sản xuất, sao lưu và tìm kiếm tỷ lệ thay đổi bất thường hoặc những thay đổi không mong đợi đối với dữ liệu đó. Phát hiện những thay đổi này giúp cảnh báo SME về sự hiện diện có thể có của ransomware trong dữ liệu của họ.

Quest NetVault Plus – Giải pháp sao lưu dữ liệu chống ransomware dành cho SME

DCIG đã xếp hạng Quest NetVault Plus là một trong top 5 giải pháp chống ransomware dành cho SME sau khi hoàn thành việc xem xét nhiều giải pháp khả dụng. Quest NetVault Plus là sự kết hợp hai sản phẩm phần mềm của Quest là NetVault backup và QoreStor chống trùng lặp thành một giải pháp duy nhất.

Giải pháp này trang bị cho SMEs phần mềm sao lưu cùng với tính linh hoạt để chuyển đổi bất kỳ lưu trữ nào thành mục tiêu chống trùng lặp. Giải pháp NetVault Plus khác biệt với các giải pháp cạnh tranh hàng đầu theo ba cách sau:

Lựa chọn sử dụng đăng nhập và mật khẩu cụ thể cho NetVault

Nhiều giải pháp phần mềm sao lưu tích hợp với Microsoft AD. Họ cung cấp tích hợp này để đơn giản hóa quản lý người dùng và mật khẩu và đảm bảo đăng nhập an toàn vào ứng dụng của họ. Tuy nhiên, một số dạng ransomware, chẳng hạn như Samas, nhắm vào Active Directory và cố gắng chiếm đoạt danh tính của nhóm và người dùng trong AD.

NetVault cho phép SMEs tạo ra đăng nhập và mật khẩu cụ thể cho NetVault để giảm thiểu những cuộc tấn công này. Trong NetVault, SMEs có thể tạo chính sách để bắt buộc việc tạo đăng nhập phức tạp, mật khẩu phức tạp hoặc cả hai. Sau đó, NetVault quản lý những đăng nhập và mật khẩu này riêng biệt với AD. Điều này có nghĩa là, nếu ransomware nào đó tấn công AD của một SME, nó không thể truy cập NetVault thông qua AD.

Cung cấp giao thức độc quyền để giao tiếp an toàn với QoreStor

Nhiều giải pháp phần mềm sao lưu sử dụng các giao thức lưu trữ mạng tiêu chuẩn của ngành để giao tiếp về mục tiêu lưu trữ. NetVault cũng hỗ trợ các giao thức này.

Tuy nhiên, NetVault khác biệt ở một điểm quan trọng: nó cung cấp giao thức Rapid Data Access (RDA) độc quyền để giao tiếp với QoreStor. Ban đầu, Quest thiết kế RDA như một phương thức thay thế cho các giao thức lưu trữ mạng tiêu chuẩn của ngành để cung cấp hiệu suất tốt hơn trong quá trình sao lưu. 

Những lợi ích hiệu suất này vẫn tồn tại. Tuy nhiên, khi ransomware trở nên phổ biến hơn, tính độc quyền của RDA cung cấp một lớp phòng thủ bổ sung chống lại các cuộc tấn công ransomware. SME có thể cấu hình NetVault và QoreStor chỉ sử dụng RDA để truyền thông với nhau. Điều này khiến việc sao lưu được lưu trữ trên QoreStor trở nên thực sự không thể thấy vì không có phiên bản ransomware nào được biết đến hỗ trợ giao thức RDA.

Xác thực riêng biệt cho NetVault đối với QoreStor

Là một phần của việc sử dụng giao thức RDA, NetVault sử dụng đăng nhập và mật khẩu riêng biệt để truy cập QoreStor. Điều này giải quyết tình huống nếu ransomware tình cờ có quyền truy cập vào NetVault. Trong trường hợp này xảy ra, ransomware vẫn cần đăng nhập và mật khẩu để truy cập QoreStor bằng giao thức RDA.

Phía trên là một số tính năng đặc trưng của giải pháp sao lưu chống ransomware dành cho SME – Quest NetVault Plus.

Giới thiệu về DCIG:

DCIG cung cấp cho ngành công nghiệp Công nghệ thông tin (IT) các phân tích hành động giúp cá nhân trong tổ chức tiến hành đánh giá công nghệ. DCIG cung cấp phân tích và nhận xét độc lập, thông tin và nhận định sâu sắc về công nghệ IT. DCIG phát triển nội dung tùy chỉnh và được cấp phép dưới dạng bài viết trong blog, bài báo trắng của các nhà quản lý cấp cao, podcast, báo cáo tình hình đối thủ cạnh tranh, hội thảo trực tuyến, whitepaper và video. Thông tin chi tiết có sẵn tại www.dcig.com.

Và để được tư vấn thêm thông tin về các sản phẩm, hãy liên hệ ngay với nhà phân phối Mi2 theo thông tin liên hệ:

Công ty Cổ phần Tin học Mi Mi (Mi2 JSC) 

🌎 Website: www.mi2.com.vn 

📩 Email: [email protected]

Văn Phòng Hà Nội

Add: 7th Floor, Sannam Building, 78 Duy Tan Str., Dich Vong Hau Ward, Cau Giay Dist., Hanoi, Vietnam.

Tel: +84-24-3938 0390 |  Fax: +84-24-3775 9550

Văn phòng Hồ Chí Minh

Add: 5th &6th Floor, Nam Viet Building, 307D Nguyen Van Troi Str., Ward 1, Tan Binh Dist., Ho Chi Minh City, Vietnam.

Tel: +84-28-3845 1542  |  Fax: +84-28-3844 6448