短短的幾天時(shí)間,勒索病毒爆發(fā)事件成為全球熱點(diǎn)事件,作為一個(gè) “非典型性” 蠕蟲(chóng)病毒,它和已往的蠕蟲(chóng)病毒有著(zhù)較大的不同,對社會(huì )造成的影響也更大,目前已有 100 多個(gè)國家的數萬(wàn)臺電腦被病毒所感染。
5 月 13 日下午,一名英國研究人員找到了勒索病毒的隱藏開(kāi)關(guān),有效遏制了病毒的傳播,與此同時(shí),網(wǎng)上出現了許多勒索病毒的變種……
目前網(wǎng)上遍布著(zhù)介紹勒索病毒的文章,本文不再贅述,僅通過(guò)下表對勒索病毒與常規蠕蟲(chóng)病毒做個(gè)比較,方便大家快速了解該病毒的基本特征。
特征
常規蠕蟲(chóng)病毒
勒索病毒
入侵方式
利用系統脆弱性、安全漏洞或社交攻擊等手段
利用高危漏洞 “永恒之藍”
(EternalBlue)
感染對象
幾乎所有操作系統和智能設備都可能被感染
各版本W(wǎng)indows系統
傳播途徑
存儲系統、網(wǎng)絡(luò )、郵件、文件等
公網(wǎng)(掃描隨機 IP)及局域網(wǎng)(掃描地址段)
危害
消耗資源、破壞系統、應用和數據、損毀硬件
植入木馬程序、加密用戶(hù)文件索要贖金(比特幣支付)
防范
阻斷入侵途徑和傳播途徑(打補丁、隔離)
打補丁(MS17-010,發(fā)布于2017-3-14)/停用 SMBv1 服務(wù)/封堵通訊端口(TCP 445)
清除與恢復
移除病毒體、恢復受損資源
清除病毒、嘗試恢復已被刪除的未加密文件
勒索病毒再一次給大家敲響了警鐘,信息時(shí)代無(wú)處不在的網(wǎng)絡(luò )為我們的生活帶來(lái)了便利,也成了病毒肆虐的溫床,現在的流行病毒基本都具備通過(guò)網(wǎng)絡(luò )快速傳播擴散的能力,如果不能夠對病毒的傳播行為進(jìn)行有效的控制,每一次蠕蟲(chóng)病毒的爆發(fā)都可能會(huì )給人們的生產(chǎn)生活帶來(lái)巨大的影響。云計算、移動(dòng)社交、物聯(lián)網(wǎng)等新技術(shù)的采用打破了原有數據中心的安全邊界,無(wú)處不在的數據并沒(méi)有得到足夠的保護,新技術(shù)繁榮發(fā)展的背后危機伺服,如何在這樣的新時(shí)代做好蠕蟲(chóng)病毒的防護呢?做好以下幾點(diǎn)是最基本的:
- 制定安全規范,確保系統可視可控,隨時(shí)可以檢測和維護IT系統的合規性。
- 按計劃定期備份系統和數據,以確保需要時(shí)可以快速恢復工作環(huán)境。
- 打補丁是安全問(wèn)題的基本解決之道,及時(shí)更新系統,特別是那些高危漏洞要迅速響應。
- 部署必要的安全防護手段,專(zhuān)業(yè)的安全產(chǎn)品與服務(wù)是應對安全威脅的主要措施。
- 不下載,不使用來(lái)源不明的文件,公私文件要分離,使用前對文件的完整性進(jìn)行驗證。
- 隔離是防范蠕蟲(chóng)病毒的不二法寶,萬(wàn)物互聯(lián)時(shí)代建議采用微分段實(shí)現零信任安全隔離。
而在上述六個(gè)基本防護手段中,最重要的就是隔離,對于企業(yè)環(huán)境而言,單純的邊界防御已經(jīng)無(wú)法提供足夠的保護,因為這個(gè)邊界已經(jīng)從物理的變?yōu)檫壿嫷模瑥撵o態(tài)的變?yōu)閯?dòng)態(tài)的,而企業(yè)網(wǎng)各安全區域內部通常是沒(méi)有防御手段的,這就像是外圍固若金湯,內部卻沒(méi)有任何安全措施的特洛伊城。一旦這個(gè)防御邊界被突破,入侵者或者病毒就可以在企業(yè)網(wǎng)中肆意橫行,如入無(wú)人之境。假設網(wǎng)絡(luò )中有主機感染了勒索病毒,就可能在整個(gè)內網(wǎng)中迅速傳播開(kāi)來(lái)。
NSX 所提供的分布式、軟件定義的安全防護體系比傳統的網(wǎng)絡(luò )防火墻和主機防火墻更適合用來(lái)構建數據中心安全防護系統,因為它具有如下特征:
1. 實(shí)現企業(yè)零信任及微分段安全基礎架構
隔離現有及未來(lái)惡意軟件及安全威脅在數據中心內部東西向蔓延,例如 “想哭” wannacry 勒索攻擊。
VMware NSX 可實(shí)現細顆粒度微分段安全管控,提供最小授權訪(fǎng)問(wèn)。
通過(guò)軟件定義安全,無(wú)需硬件改造。
2. 豐富安全合作伙伴集成自動(dòng)化隔離受感染系統
VMware NSX 通過(guò)與安全合作伙伴集成實(shí)現數據中心內部東西向分布式 IPS, IDS, 無(wú)代理殺毒,在發(fā)現安全威脅后可通過(guò) NSX 自動(dòng)化阻斷和隔離受感染系統。提供除邊界安全之外的第二道安全防護。VMware NSX 目前在全球擁有眾多的合作伙伴,包含 Palo Alto,Trend Micro,賽門(mén)鐵克,Checkpoint,Fortinet 等等。VMware NSX 在國內也有眾多安全廠(chǎng)商正在整合認證,包含天融信,360,瑞星,山石網(wǎng)科等。
3. 簡(jiǎn)化運維,智能分組分區
實(shí)現基于豐富的應用、虛擬機操作系統、VM 名字、用戶(hù)登錄AD的用戶(hù)組等基礎架構屬性實(shí)現簡(jiǎn)易智能分組分區部署安全策略,降低低安全部署維護 Opex。
4.實(shí)現攻擊威脅可視化
通過(guò) NSX 及 vRNI 流量可視化工具,識別正在進(jìn)行攻擊和被感染的系統
通過(guò) NSX 6.3 的終端監控功能, 實(shí)現攻擊威脅可視化,識別 wannacry 的有害進(jìn)程及智能檢測感染主機的攻擊目標及行為。
通過(guò) vRNI 實(shí)時(shí)監控數據中心內部的流量,通過(guò) Google-like 的簡(jiǎn)單語(yǔ)法定位被感染主機發(fā)起的二次橫向攻擊。
5. 無(wú)中斷業(yè)務(wù)安全虛擬化平臺部署
NSX 安全虛擬化平臺無(wú)需硬件改造升級,無(wú)需中斷業(yè)務(wù),在數據中心基礎架構通過(guò)軟件部署即可應用在現有網(wǎng)絡(luò )及系統環(huán)境,無(wú)需改變現有運維模式。
NSX 還可以與移動(dòng)設備管理解決方案相集成,為企業(yè)的移動(dòng)計算環(huán)境提供全面的保護,終端設備數量大,類(lèi)型多,分布廣泛,安全與管控,特別是移動(dòng)端數據的保護一向是個(gè)難題,歸結一下,挑戰主要集中在以下幾個(gè)方面:
- 如何實(shí)現有效的、簡(jiǎn)便的內外網(wǎng)安全隔離策略;
- 在沒(méi)有更新殺毒數據庫前,如何有效監控和隔離可疑行為;
- 如何管理和控制BYOD設備、移動(dòng)設備所帶來(lái)的安全隱患;
- 企業(yè)如何實(shí)現安全的信息交換;
- 未來(lái)將有大量的物聯(lián)網(wǎng)設備接入,安全管理如何進(jìn)行;
- 如何統一快速實(shí)施安全策略和部署安全補丁。
通過(guò)將 VMware 的終端用戶(hù)計算解決方案與網(wǎng)絡(luò )安全解決方案有機地集成,我們可以幫助用戶(hù)完美地解決上述難題,輕松實(shí)現下述安全解決方案:
- 高安全性需求的用戶(hù)可以通過(guò)各種設備(PC、筆記本、瘦客戶(hù)端、零客戶(hù)端或智能終端)訪(fǎng)問(wèn)分別部署于內外網(wǎng)的兩個(gè)桌面虛機,實(shí)現內外網(wǎng)隔離。
- 部署基于用戶(hù)身份匹配規則的網(wǎng)絡(luò )防火墻,靈活限制用戶(hù)對資源的訪(fǎng)問(wèn)。
- 網(wǎng)絡(luò )隔離與防病毒軟件無(wú)縫配合,統一進(jìn)行策略更新、端口控制、病毒庫更新、病毒的監控和查殺。
- 采用桌面虛擬化技術(shù)以后,可以通過(guò)更新虛擬機模板的方式進(jìn)行補丁更新,保證虛擬桌面補丁更新無(wú)遺漏。
- 使用內部網(wǎng)盤(pán)作為文件交換平臺,有效保護數據和平臺的安全性。
- 統一進(jìn)行文件備份和數據保護,保證業(yè)務(wù)數據的可恢復性。
采用上述解決方案的用戶(hù)一旦遇到勒索病毒一類(lèi)的蠕蟲(chóng)病毒入侵時(shí),可采用以下緊急響應流程:
- 添加 1 條防火墻規則(1分鐘),禁止網(wǎng)絡(luò )節點(diǎn)之間通過(guò) 445 端口通訊;
- 通過(guò) VDI 母版快速更新(1小時(shí))微軟 MS17-010 補丁。
沒(méi)有藍瘦香茹,無(wú)需手忙腳亂,淡定從容化解危機,靠的就是 VMware 軟件定義數據中心和移動(dòng)工作空間解決方案。
同樣是云計算,有啥不一樣?我們攜手業(yè)界合作伙伴,幫助用戶(hù)從傳統數據中心安全升級到云安全,幫你構建安全的云,陪你走一條更踏實(shí)的路。
