適用產品:Neverfail Continuity Engine Client
Neverfail Continuity Engine具備排程快照功能,可在勒索加密、或有任何因素需要Rollback時執行。
本文說明當遇到勒索加密情境時,如何進行恢復之流程。
注意
- 快照範圍為資料夾&檔案已加入Neverfail保護內(強烈建議勿將OS槽整顆加入保護清單),如未列入Neverfail範圍,請使用備份軟體等方式保護。
詳見請參閱:041_Neverfail-新增受保護複寫的資料夾 - 已啟動定期快照即可縮短RPO損失資料。
詳見請參閱:035_Neverfail-配置自動Snapshots方式 - 定期快照採Windows之VSS快照執行,如資源效能低,強烈建議使用備份軟體保護。
詳見請參閱:034_Neverfail-如何調整VSS快照儲存區域大小 - Rollback方式為手動執行,本文以敘述SOP方式說明。
詳見請參閱:036_Neverfail-如何手動執行Snapshots - Neverfail解決方案為當服務、網路、效能、應用等異常時主動短時間執行異地備援。
相關防範仍建議:
”主動防護機制”請搭配防護軟體 ! !
”最後一道防禦”請搭配備份軟體 ! !
如需了解與討論,請與定承資訊聯繫。
操作流程
一、發現勒索加密攻擊
Step. 1
當出現攻擊情況時,請優先將重要Server與受到Neverfail保護的Server進行斷網隔離,而Primary與Secondary、Tertiary之間請勿隔離,避免影響切換、複寫保護。
此步驟避免持續透過漏洞或遠程攻擊,即使復原也仍被攻擊風險。
發生攻擊通常對持有Public IP之Server影響,Secondary與Tertiary無對外連線狀況下僅影響被加密的檔案持續複寫,故不須將其之間隔離。
Step. 2
執行排查、鑑識、修補、改善等資安修補,詳請請洽相關防護廠商。
同步Neverfail面,清查資料夾&檔案被加密的程度,如非加入至Neverfail保護清單內,請用備份軟體進行還原。
如在Neverfail保護範圍內,即可進行下一步。如下範例演示:
左圖為Secondary,右圖為Primary,為比較差異而暫停複寫。
二、透過Neverfail Rollback
Step. 1
確認Active Server是否因勒索加密攻擊而觸發切換條件(如服務無法運作),若無觸發切換,則點擊”設為主動”按鈕。
Step. 2 點擊”OK”按鈕。
Step. 3 確認”二級”位於左邊,並顯示”主動”(Active)。
Step. 4 至”影子”功能(Snapshots)。
Step. 5 下拉至”二級影子”區域(Secondary Snapshots),可確認定期快照功能確實有啟用中,並且Snapshots顯示”Automatic”的自動快照標示。
點擊” Rollback Shadow”按鈕。
Step. 6 建議勾選”在回復之前建立影子”, 若有問題時再Rollback Shadow回來。
建議”不”勾選回復後重新啟動應用程式和複寫,以手動方式確認可以資料都無誤而進行複寫。
確認無問題後點擊”回復”按鈕。
Step. 7 Rollback完成後顯示狀態,並產生上一步”在回復之前建立影子”的Snapshots。
Step. 8 此時Secondary的受保護資料已回復至攻擊前的狀態。
左圖為Secondary,右圖為Primary,尚未進行複寫狀態。
三、恢復Neverfail保護平常運作狀態
因二之Step.6”不”勾選回復後重新啟動應用程式和複寫,並未恢復持續複寫狀態,其用意避免”未確保可複寫狀態”下將錯誤資料複寫。
本流程說明如何完整恢復受勒索加密攻擊後的平常運作狀態
Step. 1 當確認”已可進行複寫”後(目前為未複寫),點擊”動作”按鈕。
Step. 2 點擊”▶開始複寫”按鈕。
Step. 3 .確認選擇”確保受保護的應用程式正在運行並運行所有啟動任務”,點擊”OK”按鈕。
Step. 4確認複寫狀態運作中。
Step. 5 此時Primary的受保護資料也已回復至攻擊前的狀態。
Step. 6 最後再次點擊”設為主動”或是”將一級伺服器設為主動”按鈕,即可將Primary改為Active運作狀態。
