在遭受网络攻击或其他重大中断故障时,人们常会感到沮丧、担忧、焦虑、困惑和怀疑。但是,攻击者最关注的是恐惧,不是普通的恐惧,而是一种完全失去信任的恐惧,它会进一步放大其他感受,远远超出了以往任何体验。那么问题来了,您应该如何重新建立信任,并拥有应对和从网络攻击中恢复的信心呢?Cohesity 的 Clean Room 设计就是为了回答这个问题而创建的。Cohesity 遵循行业最佳实践并咨询专家,整合了一组产品功能和工作流程,帮助企业在这个充满破坏性勒索软件和擦除器攻击的时代实现网络安全弹性。
Cohesity 的 Clean Room 设计具有什么功能?
Cohesity 的 Clean Room 设计可以分为三个阶段:启动、调查和缓解,让企业了解攻击的范围,并将干净的数据恢复到生产环境中。
恢复环境中的信任的第一阶段是创建最低可行响应能力(Minimum Viable Response Capability, MVRC),使您能够上线关键系统并开始调查。如果不定义 MVRC,团队就可能无法使用电子邮件或电话等通信方式,这会进一步阻碍了响应。
Cohesity 的 Clean Room 设计的第二个阶段是对攻击进行调查,创建一个包含文件、注册表项和用户帐户等 IoC 的清单,这些信息将在恢复过程中用于清除威胁并修补导致攻击成功的漏洞。不幸的是,有些人误以为只需进行粗略的威胁扫描就足以清除威胁,但这将不可避免地导致恶意软件重新进入环境,并延长中断时间。
一旦清楚了攻击的细节,就可以进入下一阶段的缓解措施,清除威胁并恢复干净的数据。在此阶段,了解需要修补和删除哪些帐户。还将定义需要改进的安全工具,以确保类似的攻击不会再次发生。
以下是深入解读每个阶段。
最低可行响应能力
Cohesity 的 Clean Room 设计能让企业通过 Cohesity SmartFiles 或 Cohesity FortKnox 使用已知良好的软件创建 MVRC 所需的工具“数字应急包”。要定义您的“数字应急包”,需要进行一些规划,并需要提出一些棘手的问题。
如果所有内部网络访问都受到影响,您还能启动事件响应(IR)计划吗?
如果身份验证受到损害,是否有补救和重建的决策流程与计划?
在上述场景中,如何提供库存详细信息?
进行初步分类需要哪些核心系统和工具?是否有计划确定在何处进行以及如何启动?
a. 当身份验证(AD、SSO 等)和 DNS 不可用时,工具会受到怎样的影响?
现行计划的规模限制是多少?
就像任何人都不想自己无法进入建筑物、电话系统因使用 IP 语音而崩溃、或者电子邮件系统瘫痪而没有恢复计划。
Clean Room 调查
Cohesity 有多种工具可协助调查威胁。由于这些工具使用备份数据,攻击者无法发现它们,而且它们被禁用的可能性也较小。此外,这些工具是带外的,攻击者几乎不可能知道他们已被发现。
这些工具包括:
能够使用超过 117,000 个指标的精选信息来寻找 IoC 。
快照可用于捕获受影响系统的状态,以便进行调查和证据收集。
通过 Cohesity DataProtect,取证调查人员现在可以自由地穿越整个事件时间线,在几秒钟内加载文件系统状态的图像。
在调查过程中,可以提取二进制文件以在沙箱中引爆,从而产生更多 IoC,这些 IoC 可以输入到 DataHawk 的威胁搜寻功能中。
Cohesity 通过数据安全联盟 (DSA) 与领先的安全供应商建立关系,引领以数据为中心的网络响应和恢复领域的创新。
缓解措施、恢复准备
现代威胁并非“一刀切”的体验。在缓解过程中,需要决定是恢复和“清理”现有系统,还是重建与恢复数据。通过拥有一个隔离的暂存区,用户可以确定前进的方向。
无论哪种方式,系统都会得到修补和测试,以确保没有恶意软件重新进入,并且系统将按预期运行。在此过程中,可以创建最终快照,以便在出现问题时,不必从头开始进行处理。
下一步是什么?
Clean Room 设计旨在帮助您重建对日常使用系统的信任。Cohesity 的目标之一是保护全球数据,使您能够自信地应对网络攻击。Clean Room 设计提供了值得信赖的基础,加速安全运营团队的事件恢复和调查,同时最大限度地减少二次攻击的风险。Cohesity 的模块化设计可以在几分钟内创建一个隔离的环境,支持响应和恢复过程,使团队能够更快地减轻威胁。Cyberworld 科明大同是 Cohesity 的中国区总代理商,欢迎咨询 Cohesity 企业数据备份和恢复解决方案,我们期待您的联络!