2020年4月,隨著新冠肺炎疫情在美國(guó)蔓延,一家大型市立醫(yī)院的醫(yī)療人員正忙著為接診做準(zhǔn)備。然而,當(dāng)管理人員正準(zhǔn)備登錄醫(yī)院的IT系統(tǒng)時(shí),卻意外收到了一條信息:“This application is not available.”(此應(yīng)用程序無(wú)法使用)。當(dāng)醫(yī)生和護(hù)士試圖訪問(wèn)電子病歷或使用重要的應(yīng)用程序時(shí)也看到了相同的信息。
醫(yī)院的IT部門(mén)很快發(fā)現(xiàn),多個(gè)Windows操作系統(tǒng)和服務(wù)器上的數(shù)據(jù)已經(jīng)被莫名地加密了。沒(méi)過(guò)多久,IT人員就在文件系統(tǒng)中發(fā)現(xiàn)了一個(gè)小型文本文件,里面寫(xiě)著:“Your servers have been encrypted. If you want to decrypt them, email us and we'll tell you how.”(你的服務(wù)器已被加密,若想要解密,發(fā)郵件給我們,我們會(huì)告訴你怎么做。)同時(shí),醫(yī)院的Pure Storage® FlashArray™數(shù)據(jù)存儲(chǔ)系統(tǒng)(即醫(yī)院四年前安裝的Purity操作環(huán)境)容量突然暴增到113%。隨著病毒程序的不斷自我復(fù)制,陸續(xù)有更多系統(tǒng)受到影響。
在此次攻擊發(fā)生之前,該醫(yī)院的存儲(chǔ)陣列數(shù)據(jù)縮減比大約是5:1。當(dāng)醫(yī)院的數(shù)據(jù)受到加密和覆蓋的攻擊時(shí),存儲(chǔ)陣列的寫(xiě)入流量突然暴增50倍,直到存儲(chǔ)的實(shí)體空間耗盡后,數(shù)據(jù)的寫(xiě)入請(qǐng)求便開(kāi)始排入隊(duì)列等待。IT部門(mén)在意識(shí)到這是一起勒索病毒攻擊事件之后,并不打算與黑客談判,而是立即切斷了所有進(jìn)出數(shù)據(jù)中心的網(wǎng)絡(luò)連接,并將被加密的服務(wù)器隔離以便進(jìn)行取證調(diào)查。
在整個(gè)過(guò)程中,Pure Storage的存儲(chǔ)陣列依然維持在線(xiàn)運(yùn)作(盡管無(wú)法寫(xiě)入),讓IT人員可以一邊監(jiān)控觀察實(shí)時(shí)狀況,一邊擬定復(fù)原計(jì)劃。這相當(dāng)于IT團(tuán)隊(duì)可以親自監(jiān)控犯罪現(xiàn)場(chǎng),并觀察基礎(chǔ)設(shè)施所經(jīng)受的沖擊。
擬定計(jì)劃,從勒索病毒的攻擊中恢復(fù)
由于醫(yī)院的IT基礎(chǔ)設(shè)施老舊,整個(gè)數(shù)據(jù)中心只有一套存儲(chǔ)陣列,備份作業(yè)也通過(guò)同一個(gè)網(wǎng)絡(luò)進(jìn)行,管理人員并無(wú)備份的系統(tǒng)數(shù)據(jù)可用。這使得醫(yī)院的IT系統(tǒng)與應(yīng)用程序直接癱瘓。在解決問(wèn)題期間,醫(yī)療人員不得不因此啟動(dòng)緊急應(yīng)變預(yù)案,采用紙面與電話(huà)溝通。
醫(yī)院向來(lái)分秒必爭(zhēng),無(wú)法長(zhǎng)時(shí)間依靠紙面與電話(huà)溝通的緊急應(yīng)變預(yù)案運(yùn)行。因此,醫(yī)院的IT部門(mén)同時(shí)聯(lián)系了Pure Storage客戶(hù)支持團(tuán)隊(duì)。
Pure的支持團(tuán)隊(duì)立即響應(yīng)并指導(dǎo)醫(yī)院IT人員從Pure Storage快照中取得可用的應(yīng)用程序與數(shù)據(jù)備份。Pure Storage快照是FlashArray中免費(fèi)自帶的功能,它會(huì)在完整備份之后產(chǎn)生只讀(read-only)的數(shù)據(jù)備份快照以及相關(guān)的元數(shù)據(jù)(metadata)目錄。由于快照是一種無(wú)法被修改的數(shù)據(jù)副本,因此就算是勒索病毒也無(wú)法竄改。對(duì)醫(yī)院來(lái)說(shuō),這意味著網(wǎng)絡(luò)中的數(shù)據(jù)還可以得到挽救。FlashArray的這個(gè)功能使系統(tǒng)重建不需花費(fèi)幾星期,而可以在幾天甚至幾小時(shí)內(nèi)完成,讓醫(yī)院能夠更快地恢復(fù)運(yùn)營(yíng)。
醫(yī)院與Pure Storage迅速成立了一個(gè)聯(lián)合小組并擬定了一套計(jì)劃,在現(xiàn)有的存儲(chǔ)陣列中增加額外的容量,再運(yùn)用第二臺(tái)陣列來(lái)支持?jǐn)?shù)據(jù)復(fù)制與復(fù)原。Pure支持團(tuán)隊(duì)當(dāng)天迅速地運(yùn)來(lái)一臺(tái)新的Pure Storage FlashArray,并指派一位工程師到醫(yī)院,徹夜將陣列安裝完成,并開(kāi)始從快照中將數(shù)據(jù)復(fù)制到新的陣列。基于這些快照,聯(lián)合小組得以快速重新建立并上線(xiàn)各項(xiàng)核心服務(wù),如Active Directory、DNS、DHCP。
幾天內(nèi)修復(fù)至關(guān)重要的IT運(yùn)營(yíng)
在新設(shè)備到達(dá)之后的幾小時(shí),IT團(tuán)隊(duì)實(shí)現(xiàn)了醫(yī)院數(shù)據(jù)系統(tǒng)的恢復(fù)上線(xiàn),結(jié)束了緊急應(yīng)變預(yù)案。
醫(yī)院的IT團(tuán)隊(duì)發(fā)現(xiàn),就算在數(shù)據(jù)受到攻擊的高峰時(shí)刻,原本的FlashArray仍維持了數(shù)據(jù)的完整性。盡管容量被硬撐至113%,但是其中的重要數(shù)據(jù)皆未受損,這證明了該存儲(chǔ)架構(gòu)的強(qiáng)大。
回顧這段經(jīng)歷,該醫(yī)院的IT主管表示:“感謝Pure Storage客戶(hù)支持團(tuán)隊(duì)與Pure客戶(hù)管理團(tuán)隊(duì)的幫助,我們才能夠在這么短的時(shí)間內(nèi)解決問(wèn)題。Pure的迅速反應(yīng)以及雙方的團(tuán)隊(duì)合作,讓我們的核心業(yè)務(wù)在幾天內(nèi)就恢復(fù)正常運(yùn)作,并且完好如初。”
該IT主管進(jìn)一步表示,此醫(yī)院的母公司很快會(huì)在一個(gè)更大的IT整合項(xiàng)目當(dāng)中采用Purity操作環(huán)境,配合更現(xiàn)代化的網(wǎng)絡(luò),將Purity部署在整個(gè)組織當(dāng)中。
滿(mǎn)足當(dāng)?shù)匦鹿诜窝滓咔槠陂g的醫(yī)療需求
如今,該醫(yī)院的醫(yī)生、護(hù)士、管理人員都能安心使用IT網(wǎng)絡(luò)中的資源照顧患者,進(jìn)行新冠肺炎篩查,并有準(zhǔn)備地應(yīng)對(duì)未來(lái)到此就診的新冠肺炎患者。
這一次從勒索病毒攻擊中恢復(fù)數(shù)據(jù)所積累的經(jīng)驗(yàn)讓醫(yī)院IT主管深刻體會(huì)到,有了Pure Storage的FlashArray快照,再加上Pure支持團(tuán)隊(duì)的幫助,未來(lái)即使再遇到類(lèi)似的網(wǎng)絡(luò)安全事件,他們也能安然渡過(guò)危機(jī),并將患者的需求永遠(yuǎn)放在第一位。
關(guān)于Pure Storage
Pure Storage(NYSE: PSTG)致力于幫助現(xiàn)代企業(yè)將數(shù)據(jù)轉(zhuǎn)化為商業(yè)優(yōu)勢(shì)。作為有史以來(lái)成長(zhǎng)最快的IT企業(yè)之一,Pure Storage幫助客戶(hù)實(shí)現(xiàn)數(shù)據(jù)的應(yīng)用,并降低管理基礎(chǔ)設(shè)施的復(fù)雜程度和成本。Pure Storage提供現(xiàn)代化的數(shù)據(jù)體驗(yàn),賦能組織在多云環(huán)境中,以真實(shí)的、自動(dòng)化的、存儲(chǔ)即服務(wù)模型,無(wú)縫地運(yùn)行程序。目前,Pure在B2B客戶(hù)滿(mǎn)意調(diào)查凈推薦分?jǐn)?shù)(NPS)中名列行業(yè)前1%,這也說(shuō)明了Pure持續(xù)增長(zhǎng)的客戶(hù)是世界上滿(mǎn)意度最高的客戶(hù)。
