HOTLINE: +84-283920 8030
Trang chủ
Giới thiệu
Dịch vụ
Đánh Giá và Tư Vấn Hồ Sơ Cấp Độ
Giám Sát An Toàn Thông Tin
Kiểm Thử Xâm Nhập
Red Teaming
Điều Tra Và Ứng Cứu Sự Cố
Thông Tin Mối Đe Dọa ANM
Săn Tìm Mối Đe Dọa
Kiểm Tra Cấu Hình Bảo Mật
Giải pháp
Sản phẩm
A10
AIONtech
Akamai
Arista
BlueCat
BMC
Claroty
Commvault
CrowdStrike
Delinea
Entrust
ExtraHop
Fortinet
Fortra
Gigamon
Google Cloud
Google Mandiant
OPSWAT
Pure Storage
Search Inform
Skyhigh Security
Splunk
Trellix
Tufin
Tin tức
Blog
Video
Tuyển dụng
Tài liệu
Sự kiện
Liên hệ

Phục hồi tức thì sau tấn công ransomware với SafeMode™ Snapshots 

08/12/2025
Ransomware không còn là sự cố CNTT thông thường mà là thách thức sống còn với năng lực phục hồi của doanh nghiệp. Khi tấn công xảy ra, từng phút đều mang tính quyết định. Trong bối cảnh đó, một bản sao dữ liệu an toàn, không thể bị thay đổi chính là chiếc phao cứu sinh. Với Pure Storage® FlashArray™, SafeMode™ Snapshots đóng vai trò lá chắn cuối cùng, giúp cô lập sự cố nhanh chóng và phục hồi hệ thống an toàn trong thời gian ngắn.

Hành động tức thì ngay khi phát hiện

Khi dấu hiệu ransomware xuất hiện, tốc độ phản ứng là yếu tố sống còn để ngăn chặn thiệt hại lan rộng trong hạ tầng.

Bước đầu tiên là ngay lập tức cô lập các hệ thống bị ảnh hưởng. Doanh nghiệp cần ngắt kết nối các máy chủ và phân đoạn mạng bị xâm nhập để ngăn quá trình mã hóa lan sang các vùng dữ liệu khác. Đồng thời, mọi luồng I/O đang ghi vào các volume dữ liệu bị tấn công trên FlashArray cũng phải được dừng lại ngay.

Tiếp theo, việc tạm dừng nhân bản là yếu tố then chốt. Quá trình nhân bản dữ liệu tới các trung tâm phục hồi sau thảm họa (DR site) nếu không được kiểm soát có thể vô tình sao chép cả dữ liệu đã bị mã hóa sang hệ thống dự phòng, khiến thiệt hại lan rộng. Dừng nhân bản giúp bảo vệ các bản sao sạch tại điểm đích. 

Lúc này, SafeMode™ Snapshots trở thành điểm tựa an toàn cho toàn bộ quá trình phục hồi. Đây là các điểm khôi phục dữ liệu bất biến – không thể bị xóa hoặc chỉnh sửa, ngay cả khi tài khoản quản trị bị kiểm soát. Quản trị viên chỉ cần xác định bản chụp dữ liệu sạch gần nhất trước thời điểm bị tấn công.

Song song đó, doanh nghiệp cần kích hoạt quy trình ứng phó sự cố chuyên nghiệp bằng cách liên hệ ngay đội Ứng phó sự cố (IR) nội bộ và mở case khẩn cấp với Pure Support. Đội ngũ Pure sẽ hỗ trợ quy trình mở khóa snapshot SafeMode theo đúng cơ chế ủy quyền bảo mật, đồng thời điều chỉnh chính sách lưu trữ nếu cần thiết.

SafeMode™ Snapshots

Phân tích pháp y và lập kế hoạch phục hồi

Sau khi cô lập thành công mối đe dọa, doanh nghiệp không nên vội vã khôi phục dữ liệu ngay lập tức. Giai đoạn tiếp theo là phân tích pháp y và đánh giá chính xác phạm vi ảnh hưởng.

Các volume và ảnh chụp dữ liệu đã bị mã hóa cần được giữ nguyên làm bằng chứng để đội IR tiến hành phân tích:

  • Xác định chủng ransomware
  • Cơ chế lây lan
  • Kiểm tra nguy cơ rò rỉ dữ liệu.

Pure1® cung cấp khả năng phát hiện bất thường theo thời gian thực, cho phép đối chiếu thời điểm xảy ra biến động bất thường với lịch snapshot. Nhờ đó, hệ thống có thể gợi ý snapshot sạch gần nhất – giúp rút ngắn đáng kể thời gian xác định điểm phục hồi phù hợp.

Đọc thêm: Pure1 - Nền tảng quản lý lưu trữ thông minh đột phá hỗ trợ AI cho doanh nghiệp hiện đại

Doanh nghiệp cũng có thể nhân bản snapshot này sang một volume hoàn toàn mới và trình bày lên máy chủ pháp y được cô lập. Việc quét malware và xác minh tình trạng dữ liệu sạch sẽ được thực hiện an toàn, không ảnh hưởng đến hệ thống sản xuất và không can thiệp vào dữ liệu gốc.

Kiến trúc All-Flash của FlashArray

Khác với các giải pháp sao lưu truyền thống phải copy lại toàn bộ dữ liệu trong hàng giờ, thậm chí hàng ngày, FlashArray phục hồi dữ liệu bằng cách chuyển hướng siêu dữ liệu về trạng thái snapshot sạch. Quá trình này diễn ra gần như tức thì.

Chỉ trong vài giây, toàn bộ dữ liệu có thể trở về trạng thái trước khi bị tấn công. Đây chính là lợi thế vượt trội giúp giảm thiểu thời gian gián đoạn dịch vụ xuống mức thấp nhất.

Trong thực tế vận hành an toàn, doanh nghiệp nên phục hồi thông qua việc nhân bản snapshot sang volume mới, thay vì khôi phục trực tiếp dữ liệu trên ổ lưu trữ gốc. Cách làm này cho phép kiểm tra lại hệ thống trong môi trường cách ly trước lần kích hoạt cuối cùng hệ thống sản xuất.

Đối với các tổ chức sử dụng dịch vụ Evergreen//One™ Cyber Recovery & Resilience SLA, Pure Support còn cung cấp dịch vụ phục hồi toàn diện theo tiêu chuẩn cao cấp, bao gồm cả vận chuyển hệ thống lưu trữ sạch và hỗ trợ kỹ thuật phục hồi tận nơi khi cần thiết.

Đọc thêm: Evergreen//One cho ngành y tế: Nền tảng lưu trữ flash bền vững tối ưu chăm sóc bệnh nhân

Gia cố hệ thống phòng thủ

Khôi phục dữ liệu thành công không phải là điểm kết thúc. Sau khi hệ thống được đưa trở lại vận hành, doanh nghiệp cần:

  • Quét malware toàn diện toàn hệ thống
  • Vá lỗ hổng bảo mật
  • Siết chặt phân quyền truy cập
  • Tiếp tục duy trì SafeMode™ Snapshots như lớp phòng thủ mặc định

Việc duy trì SafeMode™ Snapshots như một tiêu chuẩn mặc định giúp đảm bảo rằng ngay cả khi thông tin xác thực quản trị bị xâm phạm, kẻ tấn công cũng không thể xóa, mã hóa hay phá hủy điểm phục hồi dữ liệu. Đây chính là lớp bảo vệ cuối cùng giúp doanh nghiệp tránh được kịch bản mất dữ liệu vĩnh viễn.

Phục hồi tức thì sau tấn công ransomware với SafeMode™ Snapshots

Kết luận

SafeMode™ Snapshots trên Pure Storage FlashArray không chỉ là một tính năng snapshot thông thường, mà là lớp bảo vệ bất biến được thiết kế để chống lại ransomware. Nhờ khả năng cô lập, xác minh và phục hồi gần như tức thì, FlashArray giúp doanh nghiệp rút ngắn thời gian downtime từ nhiều ngày xuống chỉ còn vài giờ, thậm chí vài phút.

Nguồn: Recovering from a Ransomware Attack on Pure Storage FlashArray

VietSunshine là nhà phân phối của Pure Storage tại Việt Nam, liên hệ với chúng tôi để được tư vấn và hỗ trợ tốt nhất. 
Pure Storage
Khuyến nghị phòng chống ransomware: Framework, Kiến Trúc, Giải Pháp và Dịch Vụ

Có thể bạn quan tâm