勒索軟體攻擊不再是危言聳聽。 前段時間,全球知名網路犯罪組織Lockbit表示,他們成功利用勒索軟體入侵了中國工商銀行的美國子公司,並在導致包括交易清算和電子郵件在內的多個業務系統癱瘓後成功獲得贖金。 正如我們的文章《如何使用微分段和備份產品加強勒索軟體保護? 詳細的勒索軟體,一種新的網路安全威脅,“劫持資料,讓企業更輕鬆”,這一新聞讓我們親身感受到勒索軟體給企業帶來的成本——不僅在財務上,而且由於資料洩露和業務中斷。
為了幫助企業更好地保護資料安全,SmartX Hyper-Convergence 51版本組合通過可觀測性平台(基於SmartX管理平台CloudTower)、軟體定義網路和安全元件Everoute以及SMTX備份和容災,公升級勒索病毒響應能力基於SmartX超融合架構,主動檢測勒索病毒攻擊,一鍵阻斷病毒傳播,安全恢復丟失資料針對不同階段的病毒感染提供有針對性的應對策略。
與傳統病毒不同,勒索軟體使用加密演算法來劫持組織中的關鍵資料,即使是專業的網路安全技術人員也難以完全破解它。 這意味著,為了有效抵禦勒索軟體攻擊,組織需要在黑客發起攻擊(加密)之前阻止病毒進入和傳播,或者在病毒攻擊後降低或避免資料加密的成本。 然而,在虛擬化超融合環境中,虛擬機器數量龐大且移動性強,僅依靠傳統的“南北向”防火牆和具有病毒檢測和殺傷功能的網路安全產品難以實現對整個環境的嚴格防護。 因此,正如 Gartner 在《如何為勒索軟體攻擊做好準備》中強調的那樣,應對勒索軟體攻擊是乙個系統性專案,要求組織在應用程式和 IT 基礎架構級別部署解決方案,以應對勒索軟體攻擊的不同階段
您需要在 IT 基礎架構級別具備哪些能力來應對勒索軟體攻擊? 根據一些權威報告和指南*,我們梳理了勒索軟體攻擊各個階段的特徵以及如何應對(見下表)。 一般來說,勒索軟體分為三個階段“入侵、傳播和攻擊”。IT 基礎架構需要“快速識別、水平隔離和安全恢復”。並幫助使用者在事後進行進一步的安全加固。 這也是 SmartX 超融合勒索攻擊響應的核心**。
結合SmartX可觀測性、Everoute分布式防火牆、SMTX備份容災等流量視覺化能力,基於SmartX超融合對勒索病毒進行識別、隔離和恢復,提供IT基礎設施層面全面的勒索病毒響應能力。
CloudTower 網路流量視覺化:主動告警異常流量,快速識別勒索病毒攻擊
CloudTower 企業版提供網路流量視覺化功能,以圖形和圖表的形式視覺化集群中主機和虛擬機器的資料流。 圖形拓撲圖可以清楚地顯示哪些端點嘗試連線到受保護物件,幫助管理員快速識別網路中的攻擊或異常。 要深入了解此功能,請閱讀:照亮虛擬網路流量的“盲點”:超融合網路流量視覺化解釋例如,如果黑客試圖通過暴力破解進行入侵,連線數量將在短時間內猛增。 CloudTower 企業版支援對虛擬機器相關的連線數設定閾值,一旦連線數超過閾值,將自動觸發告警。 這時,使用者可以通過網路流量視覺化介面檢視哪些虛擬機器連線異常,通過everoute可以進一步隔離可疑虛擬機器禁止服務流量並允許管理員終止和恢復它。 同時,這些觀測結果可以匯出並由安全運營中心(SOC)**使用,可以與NDR SMDR等安全機制相結合,實現對虛擬雲網路的全面安全檢測和響應。
Everoute 分布式防火牆:一鍵隔離可疑虛擬機器,防止病毒橫向傳播
基於白名單模型和自動跟隨虛擬機器的安全策略,everoute按照零信任原則為虛擬機器提供微分段安全防護,防止勒索病毒在虛擬化環境中橫向傳播。 如需詳細了解我們的產品功能,請閱讀:SmartX Everoute 如何通過微分段共享實現零信任 評論,SmartX HCI 51. 發布:超融合,也是虛擬化和容器生產的統一架構 - everoute 20。基於白名單模式:基於白名單的安全策略,確保虛擬機器之間的東西向訪問符合最小許可權原則。
“一鍵式”隔離可疑虛擬機器:一鍵隔離可疑和感染的虛擬機器,為處於隔離狀態的虛擬機器設定特殊訪問策略,進行掃瞄、殺傷、恢復等運維操作。
標籤和安全組簡化訪問控制策略:支援使用標籤和安全組將虛擬機器識別為服務,安全策略一目了然。虛擬機器可以根據標籤組合動態劃分為“安全組”,從而簡化不連續 IP 位址的安全策略。
智慧型策略粘性:可以在虛擬機器之後的不同主機和集群之間自動遷移安全策略,而無需重置它們。
視覺化觀察,策略執行一目了然結合網路流量視覺化,使用者可以在視覺化介面中觀察和審計安全策略,監控安全策略的實施效果是否符合預期,是否滿足安全審計的要求。
此外,通過Everoute容器外掛程式,使用者可以將分布式防火牆能力擴充套件到SMTX Kubernetes Service(SKS)管理的容器,實現容器網路扁平化連線和Kubernetes網路策略,進一步增強容器環境的虛擬網路安全性。
SMTX 備份和災難恢復:安全地恢復備份資料,以維持生產並減少損失
SMTX 備份和災難恢復產品將傳統的 SMTX 備份和恢復與 SMTX OS 中內建的非同步複製相結合,為 SMTX OS (ELF) 集群中執行的虛擬機器提供全面的資料保護和災難恢復功能。 要了解有關產品功能的更多資訊,請閱讀:SmartX 推出資料保護產品 SMTX 備份和恢復 - SMTX 備份和災難恢復。 對於勒索病毒場景,使用者可以通過備份和恢復模組將ELF平台上執行的虛擬機器備份到集群外的NAS儲存(支援自定義執行週期、時間視窗和保留策略)。 病毒攻擊後,使用者可以基於本地(定時)快照恢復重建虛擬機器,並使用 everoute 的“一鍵隔離”方法將恢復的虛擬機器隔離;清理和驗證後,確認乾淨、安全的虛擬機器已從隔離中恢復並投入生產。 同時,您還可以選擇使用複製和恢復模組在異地環境中重建虛擬機器,也可以對處於隔離狀態的虛擬機器進行清理和驗證,然後將其放入異地生產環境或移回原始環境。
沒有**:不需要對來賓虛擬機器進行入侵,也不會影響客戶的業務。
易於管理:在統一的 CloudTower 介面上配置和使用三個元件。
無依賴關係:這三個功能可以單獨開啟,但可以一起使用,實現更好的防勒索攻擊。
除了勒索軟體防護外,SmartX Hyper-Converged 5版本 1 還全面提公升了產品元件的能力,如虛擬化、分布式儲存、系統運維、容災、遷移、Kubernetes 管理等。 更多產品特性和技術公升級,請閱讀SmartX 超融合技術原理與特性分析合集(51 更新)“ :
參考報告:1勒索軟體安全防護手冊,中國資訊通訊研究院,2021
2. how to prepare for ransomware attacks,gartner,2022
3.勒索軟體預防指南,國家計算機網路應急響應技術協調中心,2021
4.《2024年中國企業勒索軟體攻擊態勢分析報告》,千信,2023