短短的几天时间,勒索病毒爆发事件成为全球热点事件,作为一个 “非典型性” 蠕虫病毒,它和已往的蠕虫病毒有着较大的不同,对社会造成的影响也更大,目前已有 100 多个国家的数万台电脑被病毒所感染。
5 月 13 日下午,一名英国研究人员找到了勒索病毒的隐藏开关,有效遏制了病毒的传播,与此同时,网上出现了许多勒索病毒的变种……
目前网上遍布着介绍勒索病毒的文章,本文不再赘述,仅通过下表对勒索病毒与常规蠕虫病毒做个比较,方便大家快速了解该病毒的基本特征。
特征
常规蠕虫病毒
勒索病毒
入侵方式
利用系统脆弱性、安全漏洞或社交攻击等手段
利用高危漏洞 “永恒之蓝”
(EternalBlue)
感染对象
几乎所有操作系统和智能设备都可能被感染
各版本Windows系统
传播途径
存储系统、网络、邮件、文件等
公网(扫描随机 IP)及局域网(扫描地址段)
危害
消耗资源、破坏系统、应用和数据、损毁硬件
植入木马程序、加密用户文件索要赎金(比特币支付)
防范
阻断入侵途径和传播途径(打补丁、隔离)
打补丁(MS17-010,发布于2017-3-14)/停用 SMBv1 服务/封堵通讯端口(TCP 445)
清除与恢复
移除病毒体、恢复受损资源
清除病毒、尝试恢复已被删除的未加密文件
勒索病毒再一次给大家敲响了警钟,信息时代无处不在的网络为我们的生活带来了便利,也成了病毒肆虐的温床,现在的流行病毒基本都具备通过网络快速传播扩散的能力,如果不能够对病毒的传播行为进行有效的控制,每一次蠕虫病毒的爆发都可能会给人们的生产生活带来巨大的影响。云计算、移动社交、物联网等新技术的采用打破了原有数据中心的安全边界,无处不在的数据并没有得到足够的保护,新技术繁荣发展的背后危机伺服,如何在这样的新时代做好蠕虫病毒的防护呢?做好以下几点是最基本的:
- 制定安全规范,确保系统可视可控,随时可以检测和维护IT系统的合规性。
- 按计划定期备份系统和数据,以确保需要时可以快速恢复工作环境。
- 打补丁是安全问题的基本解决之道,及时更新系统,特别是那些高危漏洞要迅速响应。
- 部署必要的安全防护手段,专业的安全产品与服务是应对安全威胁的主要措施。
- 不下载,不使用来源不明的文件,公私文件要分离,使用前对文件的完整性进行验证。
- 隔离是防范蠕虫病毒的不二法宝,万物互联时代建议采用微分段实现零信任安全隔离。
而在上述六个基本防护手段中,最重要的就是隔离,对于企业环境而言,单纯的边界防御已经无法提供足够的保护,因为这个边界已经从物理的变为逻辑的,从静态的变为动态的,而企业网各安全区域内部通常是没有防御手段的,这就像是外围固若金汤,内部却没有任何安全措施的特洛伊城。一旦这个防御边界被突破,入侵者或者病毒就可以在企业网中肆意横行,如入无人之境。假设网络中有主机感染了勒索病毒,就可能在整个内网中迅速传播开来。
NSX 所提供的分布式、软件定义的安全防护体系比传统的网络防火墙和主机防火墙更适合用来构建数据中心安全防护系统,因为它具有如下特征:
1. 实现企业零信任及微分段安全基础架构
隔离现有及未来恶意软件及安全威胁在数据中心内部东西向蔓延,例如 “想哭” wannacry 勒索攻击。
VMware NSX 可实现细颗粒度微分段安全管控,提供最小授权访问。
通过软件定义安全,无需硬件改造。
2. 丰富安全合作伙伴集成自动化隔离受感染系统
VMware NSX 通过与安全合作伙伴集成实现数据中心内部东西向分布式 IPS, IDS, 无代理杀毒,在发现安全威胁后可通过 NSX 自动化阻断和隔离受感染系统。提供除边界安全之外的第二道安全防护。VMware NSX 目前在全球拥有众多的合作伙伴,包含 Palo Alto,Trend Micro,赛门铁克,Checkpoint,Fortinet 等等。VMware NSX 在国内也有众多安全厂商正在整合认证,包含天融信,360,瑞星,山石网科等。
3. 简化运维,智能分组分区
实现基于丰富的应用、虚拟机操作系统、VM 名字、用户登录AD的用户组等基础架构属性实现简易智能分组分区部署安全策略,降低低安全部署维护 Opex。
4.实现攻击威胁可视化
通过 NSX 及 vRNI 流量可视化工具,识别正在进行攻击和被感染的系统
通过 NSX 6.3 的终端监控功能, 实现攻击威胁可视化,识别 wannacry 的有害进程及智能检测感染主机的攻击目标及行为。
通过 vRNI 实时监控数据中心内部的流量,通过 Google-like 的简单语法定位被感染主机发起的二次横向攻击。
5. 无中断业务安全虚拟化平台部署
NSX 安全虚拟化平台无需硬件改造升级,无需中断业务,在数据中心基础架构通过软件部署即可应用在现有网络及系统环境,无需改变现有运维模式。
NSX 还可以与移动设备管理解决方案相集成,为企业的移动计算环境提供全面的保护,终端设备数量大,类型多,分布广泛,安全与管控,特别是移动端数据的保护一向是个难题,归结一下,挑战主要集中在以下几个方面:
- 如何实现有效的、简便的内外网安全隔离策略;
- 在没有更新杀毒数据库前,如何有效监控和隔离可疑行为;
- 如何管理和控制BYOD设备、移动设备所带来的安全隐患;
- 企业如何实现安全的信息交换;
- 未来将有大量的物联网设备接入,安全管理如何进行;
- 如何统一快速实施安全策略和部署安全补丁。
通过将 VMware 的终端用户计算解决方案与网络安全解决方案有机地集成,我们可以帮助用户完美地解决上述难题,轻松实现下述安全解决方案:
- 高安全性需求的用户可以通过各种设备(PC、笔记本、瘦客户端、零客户端或智能终端)访问分别部署于内外网的两个桌面虚机,实现内外网隔离。
- 部署基于用户身份匹配规则的网络防火墙,灵活限制用户对资源的访问。
- 网络隔离与防病毒软件无缝配合,统一进行策略更新、端口控制、病毒库更新、病毒的监控和查杀。
- 采用桌面虚拟化技术以后,可以通过更新虚拟机模板的方式进行补丁更新,保证虚拟桌面补丁更新无遗漏。
- 使用内部网盘作为文件交换平台,有效保护数据和平台的安全性。
- 统一进行文件备份和数据保护,保证业务数据的可恢复性。
采用上述解决方案的用户一旦遇到勒索病毒一类的蠕虫病毒入侵时,可采用以下紧急响应流程:
- 添加 1 条防火墙规则(1分钟),禁止网络节点之间通过 445 端口通讯;
- 通过 VDI 母版快速更新(1小时)微软 MS17-010 补丁。
没有蓝瘦香茹,无需手忙脚乱,淡定从容化解危机,靠的就是 VMware 软件定义数据中心和移动工作空间解决方案。
同样是云计算,有啥不一样?我们携手业界合作伙伴,帮助用户从传统数据中心安全升级到云安全,帮你构建安全的云,陪你走一条更踏实的路。
