2020年4月,随着新冠肺炎疫情在美国蔓延,一家大型市立医院的医疗人员正忙着为接诊做准备。然而,当管理人员正准备登录医院的IT系统时,却意外收到了一条信息:“This application is not available.”(此应用程序无法使用)。当医生和护士试图访问电子病历或使用重要的应用程序时也看到了相同的信息。
医院的IT部门很快发现,多个Windows操作系统和服务器上的数据已经被莫名地加密了。没过多久,IT人员就在文件系统中发现了一个小型文本文件,里面写着:“Your servers have been encrypted. If you want to decrypt them, email us and we’ll tell you how.”(你的服务器已被加密,若想要解密,发邮件给我们,我们会告诉你怎么做。)同时,医院的Pure Storage® FlashArray™数据存储系统(即医院四年前安装的Purity操作环境)容量突然暴增到113%。随着病毒程序的不断自我复制,陆续有更多系统受到影响。
在此次攻击发生之前,该医院的存储阵列数据缩减比大约是5:1。当医院的数据受到加密和覆盖的攻击时,存储阵列的写入流量突然暴增50倍,直到存储的实体空间耗尽后,数据的写入请求便开始排入队列等待。IT部门在意识到这是一起勒索病毒攻击事件之后,并不打算与黑客谈判,而是立即切断了所有进出数据中心的网络连接,并将被加密的服务器隔离以便进行取证调查。
在整个过程中,Pure Storage的存储阵列依然维持在线运作(尽管无法写入),让IT人员可以一边监控观察实时状况,一边拟定复原计划。这相当于IT团队可以亲自监控犯罪现场,并观察基础设施所经受的冲击。
拟定计划,从勒索病毒的攻击中恢复
由于医院的IT基础设施老旧,整个数据中心只有一套存储阵列,备份作业也通过同一个网络进行,管理人员并无备份的系统数据可用。这使得医院的IT系统与应用程序直接瘫痪。在解决问题期间,医疗人员不得不因此启动紧急应变预案,采用纸面与电话沟通。
医院向来分秒必争,无法长时间依靠纸面与电话沟通的紧急应变预案运行。因此,医院的IT部门同时联系了Pure Storage客户支持团队。
Pure的支持团队立即响应并指导医院IT人员从Pure Storage快照中取得可用的应用程序与数据备份。Pure Storage快照是FlashArray中免费自带的功能,它会在完整备份之后产生只读(read-only)的数据备份快照以及相关的元数据(metadata)目录。由于快照是一种无法被修改的数据副本,因此就算是勒索病毒也无法窜改。对医院来说,这意味着网络中的数据还可以得到挽救。FlashArray的这个功能使系统重建不需花费几星期,而可以在几天甚至几小时内完成,让医院能够更快地恢复运营。
医院与Pure Storage迅速成立了一个联合小组并拟定了一套计划,在现有的存储阵列中增加额外的容量,再运用第二台阵列来支持数据复制与复原。Pure支持团队当天迅速地运来一台新的Pure Storage FlashArray,并指派一位工程师到医院,彻夜将阵列安装完成,并开始从快照中将数据复制到新的阵列。基于这些快照,联合小组得以快速重新建立并上线各项核心服务,如Active Directory、DNS、DHCP。
几天内修复至关重要的IT运营
在新设备到达之后的几小时,IT团队实现了医院数据系统的恢复上线,结束了紧急应变预案。
医院的IT团队发现,就算在数据受到攻击的高峰时刻,原本的FlashArray仍维持了数据的完整性。尽管容量被硬撑至113%,但是其中的重要数据皆未受损,这证明了该存储架构的强大。
回顾这段经历,该医院的IT主管表示:“感谢Pure Storage客户支持团队与Pure客户管理团队的帮助,我们才能够在这么短的时间内解决问题。Pure的迅速反应以及双方的团队合作,让我们的核心业务在几天内就恢复正常运作,并且完好如初。”
该IT主管进一步表示,此医院的母公司很快会在一个更大的IT整合项目当中采用Purity操作环境,配合更现代化的网络,将Purity部署在整个组织当中。
满足当地新冠肺炎疫情期间的医疗需求
如今,该医院的医生、护士、管理人员都能安心使用IT网络中的资源照顾患者,进行新冠肺炎筛查,并有准备地应对未来到此就诊的新冠肺炎患者。
这一次从勒索病毒攻击中恢复数据所积累的经验让医院IT主管深刻体会到,有了Pure Storage的FlashArray快照,再加上Pure支持团队的帮助,未来即使再遇到类似的网络安全事件,他们也能安然渡过危机,并将患者的需求永远放在第一位。