虛擬化環境下,如何高效開展勒索病毒防護加固?
本文重點
- 近些年,勒索病毒攻擊事件頻發,由於其“難發現、難阻止、難破解”的特點,不少使用者——尤其是使用虛擬化的金融、醫療、製造、公共服務等重要行業使用者——已遭受嚴重資料與經濟損失。
- 勒索攻擊的防控是一項系統性工程,除了進行病毒防禦與檢測,使用者也需要關注,如何在虛擬化環境下阻止病毒傳播(如使用下一代防火牆、入侵檢測、沙盒、基於微分段的零信任網路與安全產品),以及如何減輕病毒攻擊帶來的影響(如使用資料備份與恢復產品)。
- 企業在進行事前網路隔離和事後資料恢復等防護工作的同時,應兼顧解決方案的高效性、靈活性與運維簡便性(如使用 SmartX 的 Everoute 網路與安全軟體用於攻擊前防護、“SMTX 備份與恢復”產品用於攻擊後資料恢復)。
數字化轉型的浪潮為企業帶來了更多機遇,也讓網路安全的態勢愈發嚴峻。勒索病毒作為一種極具傳播性與破壞性的惡意攻擊,一旦成功加密甚至破壞企業的關鍵資料庫和伺服器,將嚴重影響業務的正常開展,造成巨大的經濟損失。
而一些企業在實踐防勒索病毒解決方案時,並未充分考慮勒索病毒的攻擊特點,沒有采用針對性的預防措施;一些企業即使進行了勒索病毒的防控,但由於病毒攻擊具備長期性、隱蔽性、靈活性等特點,防禦體系的效率不高,反而增加了基礎架構與應用複雜度,使得使用者經常面臨系統難以操作、安全策略難以執行等問題,徒增運維壓力。 虛擬化環境下,如何高效開展勒索病毒防護加固,在被防護的資料價值和加固防護所付出的綜合成本之間找到平衡點,是每個企業資訊化程式中都要解決的難題。
這篇文章中,我們將深入討論勒索病毒的攻擊特點及其對企業資料安全保護的特殊要求。此外, 透過分析現有防護方案,我們也將從網路隔離和資料備份的角度給出雙重加固方案 ,幫助企業在病毒侵入與事後恢復等多個階段都能做到高效應對,層層保護資料安全。
一、為什麼企業需要重視勒索病毒
攻擊事件加速攀升,企業損失日趨擴大
近年來,勒索病毒攻擊事件數量持續走高。根據中國信通院釋出的《勒索病毒安全防護手冊》(以下簡稱“安全防護手冊”),僅 2021 年上半年,全球公開的勒索病毒攻擊事件就高達 1200 起,而這一數字是 2020 年全年的累計數量。此外,據統計,2022 年上半年全球發生的 40 起重大網路安全事件中,27% 的事件是由勒索病毒引起的(如果僅統計已明確攻擊型別的事件,這一數字可達 1/3)。
同時,由於勒索病毒會透過檔案加密、資料竊取、磁碟加密等方式“劫持”企業的關鍵資料庫,造成的損失將不僅侷限於贖金,還包括因資料洩漏、業務停滯、資料恢復等帶來的一系列經濟影響。
勒索病毒特點:難發現,難阻止,難破解
勒索病毒事件頻發源於其特殊的攻擊特點。《安全防護手冊》指出,勒索病毒感染一般分為四個階段:探測偵察、攻擊入侵、病毒植入和實施勒索。
犯罪者會先進行漏洞掃描,在發現未及時修補漏洞的裝置後,利用漏洞“一點突破”網路安全防線。對於很多新發現的漏洞,邊界防火牆往往難以察覺,主機防護軟體也很難區分究竟是攻擊者還是合法使用者在對系統進行修改。在成功獲取訪問許可權後,犯罪者會進入“潛伏”階段, 讓病毒/木馬程式沿著當前被感染主機所在的內部網路橫向擴散,這種威脅的擴散很難被普通的“南北向”防火牆發現和阻止。
在收集到足夠多的資料後,犯罪者會從受害者的網路中傳出或加密竊取到的資料,並以此對使用者進行勒索。 由於犯罪者會採用多種加密演算法加密使用者資料,一旦被加密,很難進行破解和資料恢復。正是這些特點讓很多大公司在面對勒索攻擊時也防不勝防。
重災區:使用虛擬化的金融、醫療等重要行業使用者
勒索病毒攻擊還有另一個特點:犯罪者受利益驅動,常常瞄準醫療、教育、金融、科技等重點行業的承載重要資料資源的資訊系統進行攻擊。一旦受到感染,這些行業使用者將面臨更大的經濟損失。同時, 虛擬化環境也極易成為勒索病毒的攻擊跳板,一臺虛擬機器受到感染,極易導致病毒在虛擬世界內部的加速擴散和滲透。因此,基於虛擬化環境支撐關鍵資料庫與業務系統的使用者更應重視勒索病毒的防護。
二、虛擬化環境中勒索病毒防控方案評估
現有方案不足:未做到“預防與加固並重”
目前,不少使用者採取的勒索病毒應對方案集中在預防階段,具體包括制定管理策略與應急預案,以及部署具有防禦和查殺功能的網路安全產品,例如邊界防火牆、網路防病毒/入侵檢測/入侵防禦產品、漏洞掃描產品、查殺軟體、破壞攻擊模擬工具(breach attack simulation)等。
但在虛擬化環境中,虛擬機器數量龐大、移動性強,僅僅透過部署具有防禦效果的勒索病毒防控產品,難以做到對整個虛擬化環境的嚴密保護。同時,由於勒索病毒進化速度快、預測難度大,一旦病毒突破邊界防火牆、病毒及漏洞掃描的防線,依舊難以阻止病毒擴散。
因此,正如 Gartner 在《如何為勒索病毒攻擊做好準備》(How to Prepare for Ransomware Attacks)中強調的, 勒索攻擊的整體防控是一項系統性工程,需要多種安全策略與技術互相配合,確保能夠覆蓋到攻擊的不同階段。也就是說, 除了進行病毒防禦與檢測,使用者也需要關注,如何在虛擬化環境下阻止病毒傳播,以及如何減輕病毒攻擊帶來的影響。
我們根據《安全防護手冊》對於勒索病毒防控的階段劃分(事前預防、事中應急與事後加固),將各階段適用的技術產品進行了總結(如下圖)。其中,事中應急階段主要涉及隔離裝置、排查隔離範圍、研判攻擊方式、嘗試破解等運維措施,主要要求企業具備充分的應急方案、運維人員具備足夠的應急能力,因此不具體展開。
可行加固方案:微分段與資料備份產品
這些解決方案中,我們關注到《安全防護手冊》與 Gartner 報告都提到了兩項能夠有效應對勒索病毒傳播與攻擊的技術產品: 基於微分段(網路隔離)的網路安全產品,和資料備份與恢復產品 。
微分段是一種基於 “零信任”原則的安全策略,透過 “明確允許、預設拒絕”的白名單模式,微分段能夠實現,“只需明確允許對幾個協議埠的訪問,便可滿足虛擬伺服器正常工作的要求,而其他埠上的通訊‘預設拒絕’”,從而阻止勒索病毒在虛擬化環境的橫向擴散。
欲瞭解更多關於微分段技術與零信任實踐的資訊,歡迎閱讀:
而如果勒索病毒突破了層層防護,取得了資料訪問許可權,甚至已經對資料完成了加密,為了應對這種情況,企業就需要使用 資料備份與恢復產品,定期地將工作負載的配置檔案和資料檔案備份到叢集外部的儲存裝置,並做到在災難發生時能夠快速地恢復資料。同時,企業也可透過快照等方式對資料進行多重備份。
三、對 SmartX 超融合實現虛擬化勒索病毒防護加固
為了更好地支援企業應對勒索病毒等惡意攻擊, SmartX 為企業提供超融合環境下的病毒防護加固方案:基於微分段的網路與安全產品—— Everoute 網路與安全軟體,和資料保護產品—— SMTX 備份與恢復。透過“事先備份資料、事前隔離虛機、事後恢復資料”,該方案能夠在完善企業現有虛擬化系統和資料安全保障的同時,為技術人員帶來簡單、智慧、靈活的運維體驗。
Everoute 有效防止病毒快速擴散
在防止病毒擴散階段,Everoute 透過零信任模型下的網路隔離技術,為虛擬化環境下的每個 APP/VM 提供獨立的分段。
- 靈活的細粒度隔離:在 SMTX OS(SmartX 超融合軟體)環境中,管理員可以透過簡單、靈活的策略精細控制出入虛擬機器的流量,有效隔絕病毒傳播。
- “一鍵式”運維管理:支援對異常虛擬機器的“一鍵式”隔離,防止病毒的進一步擴散。排查 / 修復過程中,管理員還可透過設定 “診斷隔離白名單”,與虛擬機器進行臨時單點通訊。故障 / 安全漏洞修復後,還可以 “一鍵式” 恢復虛擬機器的正常執行狀態,隔離之前已經應用在這個虛擬機器上的安全策略無需調整。
- 智慧策略粘性:同一個應用,可能被分佈在不同伺服器上,安全策略可以跟隨虛機位置進行移動,實現了“位置無關”的無縫連線和平滑遷移。
SMTX 備份與恢復防範資料丟失,降低損失
使用者還可搭配 SMTX 備份與恢復,透過可靠的資料備份防止因勒索軟體攻擊導致大規模資料丟失,同時幫助使用者快速重建遭到破壞的虛擬機器,防範業務停機,保護資料安全。該產品具有以下優勢:
- SmartX 原生,無代理:部署 SMTX 備份與恢復時,使用者無需在虛擬機器內安裝代理,減少了安裝、運維和管理的複雜性,且備份過程對虛擬機器效能無影響;同時,SMTX 備份與恢復可廣泛相容主流作業系統。
- 單一平臺統一管理:SMTX 備份與恢復使用 CloudTower 作為管理介面,使用者可透過單一平臺統一管理備份和叢集資源,實現備份服務的一鍵部署和升級,並透過視覺化的執行記錄快速瞭解備份的執行結果,提升運維效率。
- 靈活的備份和恢復選項:SMTX 備份與恢復支援全量備份和增量備份兩種備份型別,支援原機恢復和重建兩種恢復模式,使用者可以根據業務對資料保護的需求自定義備份週期、備份視窗和保留策略。
此外,使用者還可以使用內建於 SMTX OS 軟體中的資料保護功能,如快照計劃,開展更廣泛的資料保護,並透過 SmartX 原生管理平臺 CloudTower 進行統一管理。
四、總結
雖然勒索攻擊的傳播形勢依舊不容樂觀,企業可以透過預先部署網路安全和資料備份與恢復產品,針對病毒傳播的各個階段開展網路隔離和資料備份等防護工作。同時,企業也需要兼顧解決方案的日常運維工作量,選擇那些手動操作更少、智慧化、操作簡單、配置靈活的產品。
參考文章:
1.勒索病毒安全防護手冊
2.流行勒索病毒分析總結
3.2022上半年全球40大網路安全事件回顧
https://mp.weixin.qq.com/s/HPLs48VK9nJUdD__HsMfLg
4.Secure Endpoint Best Practices Guide
https://www.cisco.com/c/en/us/products/collateral/security/fireamp-endpoints/secure-endpoint-og.html
5.How to Prepare for Ransomware Attacks
點選獲取 SMTX OS 網路與安全白皮書。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69974533/viewspace-2929226/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- python下多環境開發(虛擬環境)Python
- 虛擬化環境下的效能測試
- 建立Python虛擬環境——下Python
- 虛擬化環境配置指南
- KVM虛擬化環境搭建
- 在Windows下如何建立指定的虛擬環境Windows
- wamp環境下虛擬域名配置
- MedusaLocker勒索病毒Debug版本洩露,看我如何高效檢測防禦
- 虛擬環境
- 聚焦勒索病毒攻擊防護關鍵環節,中國資訊通訊研究院釋出《勒索病毒安全防護手冊》
- 虛擬環境搭建
- Pipenv虛擬環境
- Python虛擬環境Python
- 虛擬機器arm虛擬環境搭建虛擬機
- anaconda建立虛擬環境
- python虛擬環境搭建Python
- Python - 虛擬環境 venvPython
- Anaconda管理虛擬環境
- 建立python虛擬環境Python
- Python搭建虛擬環境Python
- 建立 Python 虛擬環境Python
- 網路安全守護錦囊丨醫療機構如何防禦勒索病毒?
- Linux下使用 virtualenv 虛擬獨立 Python 環境LinuxPython
- win10怎麼防禦勒索病毒_win10預防勒索病毒的方法Win10
- (全)Python 的虛擬環境構建和jupyter notebook 中虛擬環境切換Python
- window 建立py虛擬環境
- Python虛擬環境介紹Python
- Jupyter notebook 新增虛擬環境
- pycharm配置anaconda虛擬環境PyCharm
- 【PYTHON3】虛擬環境Python
- pycharm新增conda虛擬環境PyCharm
- 在Linux使用虛擬環境Linux
- python virtualenv虛擬環境搭建Python
- CentOS 7.6虛擬環境搭建CentOS
- 虛擬環境pipenv的使用
- python的虛擬環境virtualenvPython
- MacOS 下利用 pyenv 管理Python 版本和虛擬環境MacPython
- 安裝python虛擬環境並配置虛擬環境以及安裝scrapy模組Python