Cách bảo vệ bản sao lưu khỏi phần mềm tống tiền bằng tính năng quét phần mềm độc hại của NAKIVO

Các bản sao lưu đã trở thành mục tiêu chính của phần mềm tống tiền. Các hacker muốn đảm bảo các công ty phải trả tiền chuộc bằng cách ngăn cản họ tự khôi phục dữ liệu. Với NAKIVO Backup & Replication, bạn sẽ có được một số tính năng (ví dụ: các mục tiêu sao lưu không thể thay đổi) để đảm bảo rằng một khi đã được tạo ra, bản sao lưu sẽ không thể bị nhiễm hoặc hỏng do một đợt tấn công phần mềm tống tiền mới. Tuy nhiên, làm thế nào để ngăn chặn một cuộc tấn công malware hiện có đang ẩn náu trong môi trường sản xuất của bạn lây lan sang các bản sao lưu?

Phần mềm tống tiền có thể rất tinh vi, và sau khi lây nhiễm vào một máy tính, nó có thể ở trạng thái không hoạt động trước khi được kích hoạt để phá hủy dữ liệu. Khi một máy ảo hoặc máy vật lý bị nhiễm phần mềm tống tiền có tính năng mã hóa trì hoãn được sao lưu, malware có thể vẫn ở trạng thái ẩn náu bên trong bản sao lưu. Nếu bản sao lưu bị nhiễm sau đó được khôi phục, ransomware có thể hoạt động trở lại, bắt đầu quá trình mã hóa theo thời gian. Kịch bản này có thể dẫn đến việc hệ thống bị nhiễm lại và dữ liệu mới được khôi phục bị mã hóa, gây ra rủi ro đáng kể cho tính toàn vẹn của cơ sở hạ tầng của bạn.

Trong bài viết này, chúng tôi giải thích hai cách sử dụng tính năng Quét phần mềm độc hại trong bản sao lưu (Backup Malware Scan) trong NAKIVO Backup & Replication để đảm bảo rằng các bản sao lưu bạn tạo ra luôn sạch sẽ và sẵn sàng cho việc khôi phục thành công mọi lúc.

Xem giải pháp được áp dụng trong thực tế

Hãy trải nghiệm bản demo được tùy chỉnh cho bất kỳ tính năng nào để bắt đầu sử dụng ngay lập tức. Đội ngũ kỹ sư của chúng tôi luôn sẵn sàng hỗ trợ và giải đáp mọi thắc mắc của bạn.

Đăng ký trải nghiệm miễn phí

Các phương pháp hay nhất của NAKIVO để khôi phục sau tấn công ransomware

NAKIVO Backup & Replication giúp bạn đảm bảo có đủ bản sao dữ liệu quan trọng tại các vị trí khác nhau để khôi phục thành công sau bất kỳ sự cố nào.

Một số phương pháp hay nhất để khôi phục sau tấn công ransomware bao gồm:

• Applying the {2}. Tạo bản sao lưu định kỳ để đảm bảo bạn có ít nhất ba bản sao dữ liệu. Ít nhất hai bản sao phải được lưu trữ trên hai phương tiện lưu trữ khác nhau, và ít nhất một bản sao phải được lưu trữ ngoài cơ sở. Một chính sách lưu trữ phù hợp, ví dụ như sử dụng phương án lưu trữ ông nội – cha – con trai , sẽ đảm bảo bạn có đủ điểm khôi phục để chọn một bản sao sạch nếu hạ tầng của bạn bị tấn công bởi ransomware.
• Immutability. Lưu trữ một trong các bản sao lưu trên bộ nhớ không thể thay đổi hoặc thiết bị lưu trữ cách ly vật lý. Thiết bị lưu trữ có tính bất biến cho phép bạn tạo bản sao lưu một lần nhưng không thể chỉnh sửa hoặc xóa dữ liệu sau đó bởi ransomware. Lưu trữ cách ly vật lý là phương tiện lưu trữ được ngắt kết nối vật lý sau khi ghi bản sao lưu, không cho phép ransomware truy cập vật lý vào dữ liệu này. NAKIVO Backup & Replication hỗ trợ một số mục tiêu không thể thay đổi.
• Backup and antivirus software integration. Bạn nên sử dụng phần mềm chống virus để phát hiện mối đe dọa cho cả máy vật lý và ảo. Phần mềm chống virus có thể phát hiện và xóa hầu hết các loại virus. Bạn cũng nên tích hợp phần mềm chống virus với giải pháp sao lưu để đảm bảo có các bản sao lưu sạch cho quá trình khôi phục sạch. Bạn có thể sử dụng Backup Malware Scan trong NAKIVO Backup & Replication để tích hợp phần mềm diệt virus và quét bản sao lưu để phát hiện phần mềm độc hại.
• Replication and DR. Sử dụng sao chép (replication), dù là định kỳ hay sao chép theo thời gian thực, cho việc chuyển đổi dự phòng (failover) và sao chép đầy đủ phục hồi trang web trong trường hợp ransomware làm sập hạ tầng của bạn và bạn cần khởi động các máy tại một vị trí khác.

Bảo vệ bản sao lưu với Backup Malware Scan của NAKIVO

Tính năng Tính năng quét phần mềm độc hại khi sao lưu trong NAKIVO Backup & Replication cho phép bạn tích hợp phần mềm diệt virus và quét bản sao lưu để phát hiện phần mềm độc hại.

Cách hoạt động của tính năng Quét phần mềm độc hại trong bản sao lưu của NAKIVO

Các đĩa của máy ảo hoặc máy vật lý được hiển thị trực tiếp từ bản sao lưu dưới dạng đĩa ảo. Sau đó, chúng được khởi động trên máy chủ hypervisor đã chọn, chẳng hạn như máy chủ ESXi, Hyper-V, Nutanix, máy Linux/Windows và VMware Cloud Director.

Trong trường hợp máy chủ ESXi, các đĩa ảo được kết nối dưới dạng mục tiêu iSCSI với một máy ảo tạm thời trên máy chủ ESXi. Các đĩa ảo của các máy ảo cũng được kết nối với máy chủ quét dưới dạng các mục tiêu iSCSI. Do đó, phần mềm diệt virus chạy trên máy chủ quét có thể quét các đĩa/khối lượng được gắn dưới dạng mục tiêu iSCSI, tương tự như cách phần mềm diệt virus quét các đĩa cục bộ.

Dưới đây là một số yêu cầu cần đáp ứng để tính năng này hoạt động:

• Dịch vụ khởi tạo iSCSI phải chạy trên máy chủ quét.
• Một đại lý được cài đặt trên máy chủ quét để kết nối nó với các thành phần NAKIVO Backup & Replication cần thiết.

Lưu ý: Phương tiện vận chuyển được cài đặt trên máy có kho lưu trữ dự phòng có thể được sử dụng mặc định làm máy chủ quét để quét các bản sao lưu trong kho lưu trữ sao lưu này. Bạn có thể sử dụng tùy chọn mặc định này nếu phần mềm chống vi-rút được cài đặt trên máy có kho lưu trữ sao lưu.

Bạn có thể xem danh sách đầy đủ phần mềm tại Yêu cầu hệ thống và phần mềm diệt virus được hỗ trợ .

Môi trường được sử dụng trong hướng dẫn tại

Tính năng này có thể được sử dụng ngay sau khi tạo bản sao lưu để tiết kiệm thời gian sau này khi bạn cần khôi phục một đối tượng hoặc máy tính nhanh chóng, hoặc ngay trước khi khôi phục nếu bạn muốn đảm bảo điểm khôi phục không bị nhiễm virus.

Chúng tôi cung cấp các quy trình làm việc cho cả hai tình huống dưới đây bằng cách sử dụng các thành phần sau trong môi trường của chúng tôi:

• Thiết bị ảo NAKIVO Backup & Replication v.10.11: 192.168.101.211
• Máy chủ quét có phần mềm diệt virus: Windows 10 x64 (192.168.101.225)
• ESET NOD 32 Antivirus phiên bản 16 được cài đặt trên máy chủ quét
• ESXi 7.0: 192.168.101.201
• ESXi 7.0: 192.168.101.202 (cả hai máy chủ ESXi đều được thêm vào danh sách tài sản)
• Một máy ảo Windows trên ESXi 7.0
• Bản sao lưu máy ảo Windows trong kho lưu trữ sao lưu của NAKIVO Backup & Replication

Công việc sao lưu được lên lịch chạy hàng ngày.

Chúng tôi đã cài đặt phần mềm diệt virus với các thiết lập mặc định ở chế độ dùng thử.

Lưu ý: NAKIVO không cung cấp giấy phép cho phần mềm diệt virus. Bạn nên sử dụng khóa dùng thử hoặc mua giấy phép phần mềm diệt virus thủ công.

Thêm máy chủ quét

NAKIVO Backup & Replication hỗ trợ quét sao lưu bằng phần mềm diệt virus được cài đặt trên máy chủ quét có sẵn qua mạng:

• Máy chủ quét có thể là máy vật lý hoặc ảo chạy Windows/Linux trên đó phần mềm chống vi-rút đang hoạt động. Các phiên bản máy khách và máy chủ của hệ điều hành Linux và Windows đều được hỗ trợ cho máy chủ quét.
• Máy chủ quét phải có thể thiết lập kết nối mạng với NAKIVO Backup & Replication.

Lưu ý: Bạn nên sử dụng máy chủ quét chạy trên Linux để quét các bản sao lưu Linux và máy chủ quét chạy trên Windows để quét các bản sao lưu Windows. Trong các trường hợp thông thường, máy chủ quét Linux có thể quét các bản sao lưu Windows. Tuy nhiên, điều quan trọng là hệ điều hành của máy chủ quét phải có khả năng nhận diện hệ thống tệp của máy được sao lưu.

Hãy bắt đầu bằng cách thêm một máy chủ quét vào danh sách tài sản trong giao diện web của giải pháp NAKIVO.

1. Truy cập Settings > Inventory, nhấp vào biểu tượng … và nhấp vào Scan Servers.

   

2. Nhập các thông số của máy chủ quét mới mà bạn đang thêm:
   • Tên hiển thị: ScanServer01
   • Nền tảng: Windows hoặc Linux – đây là hệ điều hành của máy tính mà phần mềm diệt virus được cài đặt
   • Tên máy chủ hoặc địa chỉ IP: Nhập tên máy chủ hoặc địa chỉ IP của máy chủ quét
   • Loại thông tin đăng nhập: Mật khẩu (hoặc khóa riêng)
   • Tên người dùng: Một tài khoản người dùng có đủ quyền, ví dụ: quản trị viên
   • Mật khẩu: Mật khẩu của tài khoản người dùng này

   Đặt tải tối đa, tức là số lượng tác vụ đồng thời tối đa.

   Sau khi nhập tất cả các thông số cần thiết cho máy chủ quét, nhấp vào Test connection.

   Nếu dịch vụ iSCSI initiator chưa được khởi động trên máy chủ quét, một thông báo sẽ hiển thị để thông báo cho bạn về điều này như hình dưới đây.

   

3. Để khởi động dịch vụ iSCSI initiator trên máy tính Windows:
   • Mở Quản lý Máy tính bằng cách nhấn Win+R, sau đó trong hộp thoại Run, nhập compmgmt.mscvà nhấn Enter.
   • Truy cập Services and Applications > Services, và điều hướng đến Microsoft iSCSI initiator service. Bạn có thể khởi động dịch vụ một lần hoặc cấu hình dịch vụ để khởi động tự động sau khi Windows khởi động.
4. Nhấp chuột phải vào Microsoft iSCSI initiator service và chọn Properties.

   

5. Trong cửa sổ thuộc tính dịch vụ, đặt loại khởi động thành Automatic và nhấp vào Start. Sau đó nhấp vào OK để lưu cài đặt.

   

6. Quay lại giao diện web của NAKIVO Backup & Replication và nhấp vào Test Connection một lần nữa. Kiểm tra kết nối giờ đây sẽ thành công. Nhấp vào Add để hoàn tất việc thêm máy chủ quét mới.

   Lưu ý: Nếu kiểm tra thất bại, hãy đảm bảo rằng tường lửa không chặn kết nối mạng và bạn đáp ứng tất cả các yêu cầu.

   

7. Máy chủ quét mới hiện được hiển thị trong danh sách các máy chủ quét. Bạn có thể đóng cửa sổ này trong giao diện web.

   

Sau khi máy chủ quét được thêm vào, bạn có thể cấu hình các lần quét dự phòng cho phần mềm độc hại.

Quét phần mềm độc hại trên bản sao lưu trước khi khôi phục

Bạn có thể thực hiện quét phần mềm độc hại trong NAKIVO Backup & Replication trước khi tiến hành khôi phục các loại tác vụ sao lưu sau:

• Máy ảo VMware vSphere
• Máy ảo Microsoft Hyper-V
• Máy ảo Nutanix AHV
• VMware Cloud Director
• Máy vật lý
• Khởi động từ ổ Flash
• Đối tượng chung

Trong ví dụ này, chúng tôi sử dụng tác vụ Khởi động máy ảo từ ổ Flash để quét phần mềm độc hại trước khi khôi phục:

1. Truy cập Jobs và chọn tác vụ sao lưu chứa các bản sao lưu của các máy bạn muốn kiểm tra virus và phần mềm độc hại. Trong trường hợp của chúng tôi, đây là tác vụ sao lưu VMware Windows VM .
2. Sau khi chọn tác vụ sao lưu, nhấp vào Recover, và trong menu khôi phục, nhấp vào Flash boot for VMware.

   

Trình hướng dẫn tạo tác vụ khởi động Flash mới cho VMware sẽ mở ra:

1. Backups. Chọn các bản sao lưu từ tác vụ sao lưu cần thiết mà bạn muốn quét virus. Bạn có thể chọn nhiều bản sao lưu. Chúng tôi chọn Windows-VM , đây là máy ảo duy nhất được sao lưu trong các bản sao lưu của chúng tôi. Nhấp vào Next tại mỗi bước của trình hướng dẫn để tiếp tục.

   

2. Destination. Chọn vị trí để chạy máy ảo tạm thời với các đĩa ảo được kết nối từ bản sao lưu. Các tùy chọn đích bao gồm máy chủ ESXi, kho dữ liệu ESXi, mạng ảo và thư mục máy ảo (tùy chọn). Máy chủ ESXi đã được chọn đã được thêm vào danh sách tài sản của NAKIVO.

   

3. Schedule. Cấu hình lịch trình hoặc chọn chạy tác vụ Flash VM Boot theo yêu cầu. Vì chúng ta muốn quét bản sao lưu để tìm virus trước khi khôi phục, chúng ta chọn chạy tác vụ này theo yêu cầu.

   

4. Options. Cấu hình các tùy chọn của tác vụ Flash VM Boot.
   • Nhập tên tác vụ.
   • Đối với tùy chọn ” Malware detection “, nhấp vào ” Enabled“.

   Chọn cài đặt phát hiện phần mềm độc hại trong cửa sổ bật lên xuất hiện:

   • Máy chủ quét : Chọn máy chủ quét đã được thêm vào danh sách tài nguyên trước đó.
   • Loại quét : Deep scan hoặc quick scan. Quét nhanh được sử dụng để quét các vị trí tiêu chuẩn trên đĩa hệ điều hành (phân vùng) thường được virus sử dụng. Quét sâu quét tất cả các tệp.
   • Chọn hành động nếu phát hiện phần mềm độc hại : Hủy công việc khôi phục hoặc Tiếp tục và khôi phục vào mạng cách ly .
   • Đặt thời gian chờ quét . Nếu thời gian đã đặt bị vượt quá, tác vụ sẽ bị hủy với trạng thái thất bại.

   Sau khi cấu hình xong, nhấp vào Apply để lưu cài đặt phát hiện phần mềm độc hại cho tác vụ này.

   Sau đó, nhấp vào Finish & Run để hoàn tất trình hướng dẫn và chạy tác vụ Khởi động Máy ảo Flash kèm quét phần mềm độc hại.

   

5. Chọn phạm vi thực thi tác vụ và nhấp vào Run.

   

Mỗi đĩa ảo của máy ảo tạm thời được khởi động trên máy chủ ESXi sẽ được hiển thị dưới dạng mục tiêu iSCSI và được gắn vào máy chủ quét.

Chờ cho đến khi máy ảo tạm thời được tạo trên máy chủ ESXi, và các đĩa ảo được gắn vào và quét để phát hiện phần mềm độc hại và virus.

Trong ảnh chụp màn hình bên dưới, bạn thấy rằng tác vụ Flash Boot đang chạy, và đã phát hiện 2 vấn đề. Nhấp vào liên kết 2 issues để xem chi tiết về quá trình quét phần mềm độc hại.

Như chúng ta có thể thấy, 2 vấn đề này cần được chú ý. Nhấp vào View details để hiển thị thêm thông tin. Sau khi quét phần mềm độc hại trên bản sao lưu VM, phần mềm diệt virus đã phát hiện hai tệp có thể đáng ngờ và được coi là phần mềm độc hại bởi phần mềm diệt virus.

Lưu ý rằng tác vụ Flash VM Boot không tự động dừng lại. Bạn phải dừng tác vụ này thủ công sau khi hoàn tất quá trình quét phần mềm độc hại và kiểm tra báo cáo quét của phần mềm diệt virus.

Quét phần mềm độc hại ngay sau khi sao lưu

Để tự động hóa quá trình quét phần mềm độc hại sau tác vụ sao lưu, bạn nên sử dụng các tính năng Khôi phục trang web của giải pháp:

1. Truy cập Jobs trong giao diện web NAKIVO Backup & Replication, nhấp vào + để thêm tác vụ mới, sau đó nhấp vào Site recovery.

   

2. Trình hướng dẫn Tạo tác vụ Site Recovery mới sẽ mở ra. Tại bước Actions , nhấp vào Run Jobs để thêm hành động Chạy tác vụ vào chuỗi hành động cho tác vụ Site Recovery.

   

3. Chọn tác vụ cần chạy. Chọn tác vụ Quét phần mềm độc hại VMware bằng Flash boot đã được tạo theo hướng dẫn trong phần trước.

   Chọn các tùy chọn hành động:

   • Chạy hành động này trong: Run this action in both testing and production mode
   • Hành vi chờ: Start next action immediately

   Nhấn Save để lưu hành động công việc Site Recovery này và tiếp tục cấu hình các hành động công việc khác.

   

4. Thêm hành động Wait làm hành động công việc thứ hai sẽ được thực thi ngay sau khi bắt đầu công việc Flash VM Boot.

   

5. Cấu hình hành động Wait . Đặt thời gian chờ dựa trên kinh nghiệm của bạn trong môi trường về thời gian cần thiết để quét đĩa của máy được sao lưu hiện tại. Trong ví dụ của chúng tôi, 1 giờ là đủ. Bạn nên đảm bảo có đủ thời gian để quá trình quét hoàn tất trước khi dừng tác vụ khởi động nhanh VM kèm theo tác vụ quét phần mềm độc hại.

   Các hành động:

   • Thực thi hành động này tại: Run this action in both testing and production mode
   • Xử lý lỗi: Stop and fail the job if this action fails

   Nhấp vào Save và quay lại để thêm các hành động Site Recovery.

   

6. Nhấp vào Stop Jobs để thêm hành động thứ ba cho tác vụ Site Recovery.

   

7. Cấu hình hành động Dừng tác vụ . Chọn tác vụ Khởi động nhanh VM để quét phần mềm độc hại trên VMware VM (mà chúng ta đã sử dụng trước đó). Sau khi khoảng thời gian được định nghĩa để quét bản sao lưu VM tìm virus (bằng hành động Wait) hết hạn, công việc khởi động nhanh VM phải được dừng lại (công việc này chỉ có thể được dừng trực tiếp bởi người dùng hoặc hành động Dừng của Site Recovery).

   Tùy chọn hành động:

   • Chạy hành động này trong: Run this action in both testing and production mode
   • Hành vi chờ: Wait for this action to complete
   • Xử lý lỗi: Stop and fail the job if this action fails

   Nhấn Save để lưu hành động công việc này.

   

8. Cả ba hành động công việc Site Recovery cần thiết đã được thêm vào. Nhấp vào Next trong trình hướng dẫn tác vụ Site Recovery để tiếp tục.

   

9. Vì không có tác vụ sao chép hoặc chuyển đổi dự phòng nào, bạn có thể bỏ qua bước ánh xạ mạng ( Mạng ). Tương tự, bạn có thể bỏ qua bước Re-IP .
10. Cấu hình lịch trình kiểm tra tại bước 4 của trình hướng dẫn. Sử dụng tùy chọn lịch trình liên kết công việc để chạy tác vụ Site Recovery này với tính năng quét phần mềm độc hại ngay sau khi tác vụ sao lưu hoàn tất. Điều này có nghĩa là ngay khi sao lưu VM của chúng ta hoàn tất, tác vụ Site Recovery mới được tạo sẽ tự động bắt đầu. Điều này kích hoạt tác vụ/hành động khởi động nhanh (Flash boot) với cài đặt quét phần mềm độc hại được bật. Kết quả là, quá trình quét phần mềm độc hại sẽ tự động bắt đầu.

    Chọn các tùy chọn sau cho Lịch trình #1:

    • Chạy sau một tác vụ khác: Sao lưu VM Windows VMware
    • Chạy tác vụ này: Immediately.
    • Chọn hộp kiểm After successful .

    

11. Tại bước Options , nhập tên tác vụ, ví dụ: SR Malware scan after VM backup .

    Đặt mục tiêu thời gian khôi phục (RTO). Giá trị RTO này không được nhỏ hơn thời gian của hành động Wait (hành động thứ hai trong danh sách các hành động của tác vụ Site Recovery). Vì thời gian chờ trong ví dụ này để quét phần mềm độc hại là 60 phút, chúng tôi đặt 65 phút làm RTO cho tác vụ Site Recovery này. Điều này là cần thiết để tránh tình trạng tác vụ bị lỗi do không đủ thời gian để hoàn tất tất cả các thao tác của tác vụ Site Recovery.

    Nhấp vào Finish để lưu cài đặt và đóng trình hướng dẫn.

    

Bây giờ, bạn có thể khởi chạy tác vụ sao lưu máy ảo Windows và xem cách thức tự động hóa tác vụ hoạt động:

1. Tác vụ sao lưu máy ảo Windows đã được khởi chạy.
2. Ngay sau khi tác vụ sao lưu máy ảo hoàn tất, tác vụ Site Recovery sẽ được khởi chạy. Tác vụ Site Recovery này bao gồm tác vụ Flash VM Boot.
3. Tác vụ Flash VM Boot kèm quét phần mềm độc hại được khởi chạy như một phần của tác vụ Site Recovery.
4. Khi hết thời gian đã đặt cho việc quét phần mềm độc hại, tất cả các tác vụ sẽ dừng lại. Bạn có thể kiểm tra các vấn đề và xem báo cáo chống virus.

   

Trong ví dụ này, chúng tôi đã giải thích cách cấu hình quét phần mềm độc hại với giải pháp NAKIVO để chạy tự động sau mỗi tác vụ sao lưu. Bạn cũng có thể thực hiện quét phần mềm độc hại trước khi khôi phục máy chủ vật lý và ảo từ bản sao lưu, như minh họa bên dưới.

Xem giải pháp được áp dụng trong thực tế

Hãy trải nghiệm bản demo được thiết kế riêng cho bất kỳ tính năng nào để bắt đầu sử dụng ngay lập tức. Đội ngũ kỹ sư của chúng tôi luôn sẵn sàng hỗ trợ và giải đáp mọi thắc mắc của bạn.

Đăng ký trải nghiệm miễn phí