PHÁT HIỆN PHẦN MỀM ĐỘC HẠI MALWARE TRONG VEEAM BACKUP & REPLICATION

Bắt đầu từ Veeam Backup & Replication 12.1 (build 12.1.0.2131) bạn có thể sử dụng các phương pháp phát hiện phần mềm độc hại tích hợp sẵn hoặc của bên thứ ba để quét dữ liệu sao lưu và nhận thông tin về hoạt động đáng ngờ hoặc các đối tượng bị nhiễm. Chức năng bao gồm:

  • Phát hiện hoạt động phần mềm độc hại trong dữ liệu lập chỉ mục khách (guest indexing data) và luồng dữ liệu (data stream).
  • Scan sao lưu.
  • Thực hiện quét chống vi-rút và quét YARA trong quá trình khôi phục an toàn
  • Tích hợp với các giải pháp bảo vệ phần mềm độc hại của bên thứ ba thông qua Veeam Incident API
  • Xem các sự kiện phát hiện phần mềm độc hại
  • Nhận báo cáo hàng ngày và ngay lập tức về các sự kiện phát hiện phần mềm độc hại
  • Quản lý trạng thái phần mềm độc hại của các máy được đánh dấu là đáng ngờ hoặc bị nhiễm
  • Đánh dấu các điểm khôi phục (restore point) cụ thể là bị nhiễm hoặc sạch.

1.Yêu cầu và hạn chế

Việc phát hiện phần mềm độc hại có các yêu cầu và hạn chế sau:

Tính năng phát hiện phần mềm độc hại chỉ được hỗ trợ bởi các nền tảng và ứng dụng cụ thể. Để biết thêm chi tiết, hãy xem các tình huống được hỗ trợ của phương pháp phát hiện phần mềm độc hại cụ thể:

  • Guest Indexing Data Scan
  • Inline Scan
  • Scan Backup
  • Secure Restore

Chỉ những người dùng có vai trò Quản trị viên (Administrator) sao lưu Veeam mới có toàn quyền truy cập vào chức năng. Người dùng có các vai trò khác có thể xem các sự kiện phát hiện phần mềm độc hại và các máy được đánh dấu là đáng ngờ hoặc bị lây nhiễm.

2.Cách thức hoạt động của việc phát hiện phần mềm độc hại malware

Việc phát hiện phần mềm độc hại được quản lý bởi Dịch vụ phân tích dữ liệu Veeam (Veeam Data Analyzer Service). Dịch vụ khởi động lại mỗi ngày một lần vào lúc 12:00 sáng và bắt đầu phiên phát hiện phần mềm độc hại mới. Trong phiên, Dịch vụ phân tích dữ liệu Veeam thực hiện các hoạt động sau:

  • Kiểm tra các bản cập nhật cho danh sách các tệp và tiện ích mở rộng đáng ngờ đã biết.
  • Gửi thông báo qua email về tất cả các sự kiện phát hiện phần mềm độc hại được tạo trong vòng 24 giờ qua.
  • Bắt đầu phiên quét bằng phương pháp phát hiện phần mềm độc hại cụ thể nếu có dữ liệu sao lưu mới cần được quét. Nếu không, dịch vụ sẽ đợi dữ liệu mới xuất hiện.

Nếu phát hiện hoạt động của phần mềm độc hại, Dịch vụ phân tích dữ liệu Veeam sẽ thực hiện như sau:

  • Tạo sự kiện phát hiện phần mềm độc hại.
  • Đánh dấu máy và điểm khôi phục (restore point) nơi phát hiện hoạt động phần mềm độc hại lần đầu tiên là đáng ngờ hoặc bị lây nhiễm.

Lưu ý: Tất cả các điểm khôi phục tiếp theo được tạo bởi công việc sao lưu ban đầu và bất kỳ công việc bổ sung nào (backup copy job, backup to tape job,..) bao gồm máy được quét cũng sẽ được đánh dấu là đáng ngờ hoặc bị nhiễm cho đến khi máy được đánh dấu là sạch. 

Trạng thái phần mềm độc hại của máy và điểm khôi phục chỉ được hiển thị trong bảng điều khiển Veeam Backup & Replication console. Nếu bạn thực hiện các thao tác khôi phục bằng các ứng dụng độc lập, chẳng hạn như Veeam Agent cho Microsoft Windows, thông tin về trạng thái phần mềm độc hại sẽ không có sẵn.

3.Các phương pháp phát hiện phần mềm độc hại

Veeam Backup & Replication hỗ trợ các phương pháp phát hiện phần mềm độc hại sau:

  • Phân tích hoạt động của hệ thống file: đối tượng scan là dữ liệu lập chỉ mục khách (Guest indexing data).
  • Phân tích entropy trực tuyến: đối tượng scan là khối trong luồng dữ liệu. 
  • Phát hiện dựa trên quy tắc (YARA): đối tượng scan là các restore point.
  • Quét vi-rút: đối tượng scan là các restore point.
  • Giải pháp bảo vệ phần mềm độc hại – malware của bên thứ ba: phụ thuộc vào cấu hình của giải pháp bảo vệ phần mềm độc hại
Tags: ,