短短的幾天時間,勒索病毒爆發(fā)事件成為全球熱點事件,作為一個 “非典型性” 蠕蟲病毒,它和已往的蠕蟲病毒有著較大的不同,對社會造成的影響也更大,目前已有 100 多個國家的數(shù)萬臺電腦被病毒所感染。
5 月 13 日下午,一名英國研究人員找到了勒索病毒的隱藏開關(guān),有效遏制了病毒的傳播,與此同時,網(wǎng)上出現(xiàn)了許多勒索病毒的變種……
目前網(wǎng)上遍布著介紹勒索病毒的文章,本文不再贅述,僅通過下表對勒索病毒與常規(guī)蠕蟲病毒做個比較,方便大家快速了解該病毒的基本特征。
特征
常規(guī)蠕蟲病毒
勒索病毒
入侵方式
利用系統(tǒng)脆弱性、安全漏洞或社交攻擊等手段
利用高危漏洞 “永恒之藍(lán)”
(EternalBlue)
感染對象
幾乎所有操作系統(tǒng)和智能設(shè)備都可能被感染
各版本W(wǎng)indows系統(tǒng)
傳播途徑
存儲系統(tǒng)、網(wǎng)絡(luò)、郵件、文件等
公網(wǎng)(掃描隨機(jī) IP)及局域網(wǎng)(掃描地址段)
危害
消耗資源、破壞系統(tǒng)、應(yīng)用和數(shù)據(jù)、損毀硬件
植入木馬程序、加密用戶文件索要贖金(比特幣支付)
防范
阻斷入侵途徑和傳播途徑(打補丁、隔離)
打補丁(MS17-010,發(fā)布于2017-3-14)/停用 SMBv1 服務(wù)/封堵通訊端口(TCP 445)
清除與恢復(fù)
移除病毒體、恢復(fù)受損資源
清除病毒、嘗試恢復(fù)已被刪除的未加密文件
勒索病毒再一次給大家敲響了警鐘,信息時代無處不在的網(wǎng)絡(luò)為我們的生活帶來了便利,也成了病毒肆虐的溫床,現(xiàn)在的流行病毒基本都具備通過網(wǎng)絡(luò)快速傳播擴(kuò)散的能力,如果不能夠?qū)Σ《镜膫鞑バ袨檫M(jìn)行有效的控制,每一次蠕蟲病毒的爆發(fā)都可能會給人們的生產(chǎn)生活帶來巨大的影響。云計算、移動社交、物聯(lián)網(wǎng)等新技術(shù)的采用打破了原有數(shù)據(jù)中心的安全邊界,無處不在的數(shù)據(jù)并沒有得到足夠的保護(hù),新技術(shù)繁榮發(fā)展的背后危機(jī)伺服,如何在這樣的新時代做好蠕蟲病毒的防護(hù)呢?做好以下幾點是最基本的:
- 制定安全規(guī)范,確保系統(tǒng)可視可控,隨時可以檢測和維護(hù)IT系統(tǒng)的合規(guī)性。
- 按計劃定期備份系統(tǒng)和數(shù)據(jù),以確保需要時可以快速恢復(fù)工作環(huán)境。
- 打補丁是安全問題的基本解決之道,及時更新系統(tǒng),特別是那些高危漏洞要迅速響應(yīng)。
- 部署必要的安全防護(hù)手段,專業(yè)的安全產(chǎn)品與服務(wù)是應(yīng)對安全威脅的主要措施。
- 不下載,不使用來源不明的文件,公私文件要分離,使用前對文件的完整性進(jìn)行驗證。
- 隔離是防范蠕蟲病毒的不二法寶,萬物互聯(lián)時代建議采用微分段實現(xiàn)零信任安全隔離。
而在上述六個基本防護(hù)手段中,最重要的就是隔離,對于企業(yè)環(huán)境而言,單純的邊界防御已經(jīng)無法提供足夠的保護(hù),因為這個邊界已經(jīng)從物理的變?yōu)檫壿嫷模瑥撵o態(tài)的變?yōu)閯討B(tài)的,而企業(yè)網(wǎng)各安全區(qū)域內(nèi)部通常是沒有防御手段的,這就像是外圍固若金湯,內(nèi)部卻沒有任何安全措施的特洛伊城。一旦這個防御邊界被突破,入侵者或者病毒就可以在企業(yè)網(wǎng)中肆意橫行,如入無人之境。假設(shè)網(wǎng)絡(luò)中有主機(jī)感染了勒索病毒,就可能在整個內(nèi)網(wǎng)中迅速傳播開來。
NSX 所提供的分布式、軟件定義的安全防護(hù)體系比傳統(tǒng)的網(wǎng)絡(luò)防火墻和主機(jī)防火墻更適合用來構(gòu)建數(shù)據(jù)中心安全防護(hù)系統(tǒng),因為它具有如下特征:
1. 實現(xiàn)企業(yè)零信任及微分段安全基礎(chǔ)架構(gòu)
隔離現(xiàn)有及未來惡意軟件及安全威脅在數(shù)據(jù)中心內(nèi)部東西向蔓延,例如 “想哭” wannacry 勒索攻擊。
VMware NSX 可實現(xiàn)細(xì)顆粒度微分段安全管控,提供最小授權(quán)訪問。
通過軟件定義安全,無需硬件改造。
2. 豐富安全合作伙伴集成自動化隔離受感染系統(tǒng)
VMware NSX 通過與安全合作伙伴集成實現(xiàn)數(shù)據(jù)中心內(nèi)部東西向分布式 IPS, IDS, 無代理殺毒,在發(fā)現(xiàn)安全威脅后可通過 NSX 自動化阻斷和隔離受感染系統(tǒng)。提供除邊界安全之外的第二道安全防護(hù)。VMware NSX 目前在全球擁有眾多的合作伙伴,包含 Palo Alto,Trend Micro,賽門鐵克,Checkpoint,F(xiàn)ortinet 等等。VMware NSX 在國內(nèi)也有眾多安全廠商正在整合認(rèn)證,包含天融信,360,瑞星,山石網(wǎng)科等。
3. 簡化運維,智能分組分區(qū)
實現(xiàn)基于豐富的應(yīng)用、虛擬機(jī)操作系統(tǒng)、VM 名字、用戶登錄AD的用戶組等基礎(chǔ)架構(gòu)屬性實現(xiàn)簡易智能分組分區(qū)部署安全策略,降低低安全部署維護(hù) Opex。
4.實現(xiàn)攻擊威脅可視化
通過 NSX 及 vRNI 流量可視化工具,識別正在進(jìn)行攻擊和被感染的系統(tǒng)
通過 NSX 6.3 的終端監(jiān)控功能, 實現(xiàn)攻擊威脅可視化,識別 wannacry 的有害進(jìn)程及智能檢測感染主機(jī)的攻擊目標(biāo)及行為。
通過 vRNI 實時監(jiān)控數(shù)據(jù)中心內(nèi)部的流量,通過 Google-like 的簡單語法定位被感染主機(jī)發(fā)起的二次橫向攻擊。
5. 無中斷業(yè)務(wù)安全虛擬化平臺部署
NSX 安全虛擬化平臺無需硬件改造升級,無需中斷業(yè)務(wù),在數(shù)據(jù)中心基礎(chǔ)架構(gòu)通過軟件部署即可應(yīng)用在現(xiàn)有網(wǎng)絡(luò)及系統(tǒng)環(huán)境,無需改變現(xiàn)有運維模式。
NSX 還可以與移動設(shè)備管理解決方案相集成,為企業(yè)的移動計算環(huán)境提供全面的保護(hù),終端設(shè)備數(shù)量大,類型多,分布廣泛,安全與管控,特別是移動端數(shù)據(jù)的保護(hù)一向是個難題,歸結(jié)一下,挑戰(zhàn)主要集中在以下幾個方面:
- 如何實現(xiàn)有效的、簡便的內(nèi)外網(wǎng)安全隔離策略;
- 在沒有更新殺毒數(shù)據(jù)庫前,如何有效監(jiān)控和隔離可疑行為;
- 如何管理和控制BYOD設(shè)備、移動設(shè)備所帶來的安全隱患;
- 企業(yè)如何實現(xiàn)安全的信息交換;
- 未來將有大量的物聯(lián)網(wǎng)設(shè)備接入,安全管理如何進(jìn)行;
- 如何統(tǒng)一快速實施安全策略和部署安全補丁。
通過將 VMware 的終端用戶計算解決方案與網(wǎng)絡(luò)安全解決方案有機(jī)地集成,我們可以幫助用戶完美地解決上述難題,輕松實現(xiàn)下述安全解決方案:
- 高安全性需求的用戶可以通過各種設(shè)備(PC、筆記本、瘦客戶端、零客戶端或智能終端)訪問分別部署于內(nèi)外網(wǎng)的兩個桌面虛機(jī),實現(xiàn)內(nèi)外網(wǎng)隔離。
- 部署基于用戶身份匹配規(guī)則的網(wǎng)絡(luò)防火墻,靈活限制用戶對資源的訪問。
- 網(wǎng)絡(luò)隔離與防病毒軟件無縫配合,統(tǒng)一進(jìn)行策略更新、端口控制、病毒庫更新、病毒的監(jiān)控和查殺。
- 采用桌面虛擬化技術(shù)以后,可以通過更新虛擬機(jī)模板的方式進(jìn)行補丁更新,保證虛擬桌面補丁更新無遺漏。
- 使用內(nèi)部網(wǎng)盤作為文件交換平臺,有效保護(hù)數(shù)據(jù)和平臺的安全性。
- 統(tǒng)一進(jìn)行文件備份和數(shù)據(jù)保護(hù),保證業(yè)務(wù)數(shù)據(jù)的可恢復(fù)性。
采用上述解決方案的用戶一旦遇到勒索病毒一類的蠕蟲病毒入侵時,可采用以下緊急響應(yīng)流程:
- 添加 1 條防火墻規(guī)則(1分鐘),禁止網(wǎng)絡(luò)節(jié)點之間通過 445 端口通訊;
- 通過 VDI 母版快速更新(1小時)微軟 MS17-010 補丁。
沒有藍(lán)瘦香茹,無需手忙腳亂,淡定從容化解危機(jī),靠的就是 VMware 軟件定義數(shù)據(jù)中心和移動工作空間解決方案。
同樣是云計算,有啥不一樣?我們攜手業(yè)界合作伙伴,幫助用戶從傳統(tǒng)數(shù)據(jù)中心安全升級到云安全,幫你構(gòu)建安全的云,陪你走一條更踏實的路。
