一文了解 SmartX 超融合勒索攻击应对方案

勒索病毒攻击不再是危言耸听。 前段时间,全球著名的网络犯罪组织 Lockbit 表示,他们成功利用勒索病毒入侵了中国工商银行美国子公司,在导致多种业务系统瘫痪后(包括交易清算和电子邮件)成功获得了赎金。我们在《如何通过微分段与备份产品加强防护勒索病毒?》中详细介绍了勒索病毒这种"挟持数据以令各企业"的新型网络安全威胁,这则新闻更让我们直观感受到勒索病毒给企业造成的损失------不仅是经济上的损失,还有因数据泄漏和业务停滞带来的一系列影响。

为了帮助企业更好地守护数据安全,SmartX 超融合 5.1 版本产品组合升级了勒索攻击应对能力------结合可观测平台(基于 SmartX 管理平台 CloudTower)、软件定义的网络与安全组件 Everoute 和 SMTX 备份与容灾,用户可基于 SmartX 超融合架构实现勒索攻击主动发现、病毒扩散一键阻断、丢失数据安全恢复,为病毒感染的不同阶段提供针对性的应对策略。

IT 基础架构层面的应对方法论:识别、隔离、恢复

与传统病毒不同,勒索病毒利用加密算法劫持企业关键数据,即使是专业的网络安全技术人员也很难完全破解。这就意味着,若想有效应对勒索攻击,企业需要在黑客发动攻击(实施加密)前阻止病毒入侵和传播,或在病毒攻击后减少或避免数据加密带来的损失。而在虚拟化/超融合环境中,虚拟机数量庞大,移动性强,仅依靠传统"南-北向"防火墙和具有病毒查杀功能的网络安全产品,难以做到对整个环境的严密防护。因此,正如 Gartner 在《如何为勒索病毒攻击做好准备》中强调的,应对勒索攻击是一项系统性工程,需要企业针对勒索攻击的不同阶段,在应用和 IT 基础架构层面都部署相应的方案

面对勒索攻击,IT 基础架构层面需要具备哪些应对能力?结合多篇权威机构报告和指南*,我们梳理了勒索攻击各阶段的特点及其应对方案(见下表)。总体而言,对于勒索病毒"入侵、扩散、攻击"三大阶段,IT 基础架构需要做到"快速识别、横向隔离、安全恢复",并帮助用户在事后进行进一步的安全加固。这也是 SmartX 超融合勒索攻击应对方案的核心方法论。

IT 基础架构层面的应对方案

结合 SmartX 可观测平台的流量可视化功能、Everoute 分布式防火墙和 SMTX 备份与容灾,用户可基于 SmartX 超融合开展勒索病毒的识别、隔离与数据恢复,在 IT 基础架构层面提供全面的勒索病毒应对能力。

CloudTower 网络流量可视化:主动告警异常流量,快速识别勒索攻击

CloudTower 企业版提供了网络流量可视化功能,可通过图形和图表的形式,直观展现集群中主机和虚拟机的数据流信息。图形化的拓扑图能够清晰展示哪些终端曾经尝试连接被保护的对象,帮助管理员快速识别网络中存在的攻击或异常。欲深入了解该功能特性,请阅读:照亮虚拟网络流量"盲区":超融合网络流量可视化功能解读

例如,如果黑客通过暴力破解的方式尝试入侵,会导致短时间内的连接数量出现暴增。CloudTower 企业版支持用户设置虚拟机相关连接数量的阈值,一旦连接数量超过阈值,将自动触发告警。这时,用户可以通过网络流量可视化界面看到哪台虚拟机发生了异常连接,搭配 Everoute,可进一步隔离可疑虚拟机,禁止业务流量,同时允许管理员对其进行查杀和恢复。同时,这些观测数据可以被导出,成为安全运维中心(SOC)能够使用的数据来源,从而与 NDR/SMDR 等安全机制相结合,实现对虚拟云网络的全面安全检测和响应。

Everoute 分布式防火墙:一键隔离可疑虚机,防止病毒横向扩散

基于白名单模式和自动跟随虚拟机的安全策略,Everoute 可为虚拟机提供符合"零信任"原则的微分段安全保护,阻止勒索病毒在虚拟化环境的横向扩散。欲进一步了解产品能力,请阅读:SmartX Everoute 如何通过微分段技术实现 "零信任" | 社区成长营分享回顾SmartX HCI 5.1 发布:是超融合,更是虚拟化与容器生产级统一架构 -- Everoute 2.0。

  • 基于白名单模式:基于白名单的安全策略,确保虚拟机之间的东西向访问符合"最小权限"原则。
  • 可疑虚拟机"一键式"隔离:可疑、被感染的虚拟机可以被"一键隔离",并为"隔离"状态的虚拟机设置专用访问策略,以便进行查杀、恢复等运维操作。
  • "标签"与"安全组"简化访问控制策略:以"标签""安全组"对虚拟机进行业务标识,安全策略一目了然。虚拟机可以基于标签/标签组合被动态划分到"安全组",实现对不连续 IP 地址的安全策略简化。
  • 智能策略粘性:安全策略能够跟随虚拟机自动在不同主机、不同集群之间迁移,无需重新设置。
  • 可视化观测,策略执行一目了然:结合网络流量可视化,用户可在可视化界面进行安全策略的观测与审计,以监控安全策略的执行效果是否符合预期、满足安全审计的要求。

此外,通过 Everoute Container Plugin,用户还可将分布式防火墙能力扩展到 SMTX Kubernetes Service(SKS)所管理的容器,实现扁平化的容器网络连接和网络策略(Kubernetes Network Policy),进一步增强容器环境的虚拟网络安全。

SMTX 备份与容灾:备份数据安全恢复,维持生产降低损失

SMTX 备份与容灾产品整合原有的 SMTX 备份与恢复与内置于 SMTX OS 的异步复制功能,可为运行在 SMTX OS(ELF)集群的虚拟机提供全面的数据保护和灾难恢复能力。欲进一步了解产品能力,请阅读:SmartX 发布数据保护产品 SMTX 备份与恢复SmartX HCI 5.1 发布:是超融合,更是虚拟化与容器生产级统一架构 -- SMTX 备份与容灾。

针对勒索病毒场景,用户可通过备份与恢复模块运行在 ELF 平台上的虚拟机备份到集群外部的 NAS 存储(支持自定义执行周期、时间窗口和保留策略)。在病毒攻击后,用户可基于本地(定时)快照恢复/重建虚拟机,并采用 Everoute 的"一键隔离"方法将恢复的虚拟机置于隔离状态下;进行清理和验证后,将确认干净、安全的虚拟机从隔离状态恢复出来,投入生产环境。同时,也可选择使用复制与恢复模块在异地环境中进行虚拟机重建,且同样可以在虚拟机隔离的状态下进行清理和验证,而后投入异地生产环境或迁回原环境。

整体方案优势

  • 无代理:不需要对 Guest VM 进行任何侵入操作,不影响客户业务。
  • 易管理:在统一的 CloudTower 界面上配置和使用三种组件。
  • 无依赖:三种功能可单独启用,而联合使用可达到更好的防勒索攻击效果。

除了对勒索病毒的防护能力,SmartX 超融合 5.1 版本还全面提升了虚拟化、分布式存储、系统运维、灾备、迁移、Kubernetes 管理等产品组件能力。欲了解更多产品特性与技术升级,请阅读**《SmartX 超融合技术原理与特性解析合集(5.1 更新版)》**。

*参考报告:

  1. 勒索病毒安全防护手册,中国信通院,2021

http://www.caict.ac.cn/kxyj/qwfb/ztbg/202109/P020210908503958931090.pdf

  1. How to Prepare for Ransomware Attacks,Gartner,2022

How to Prevent Ransomware Attacks

  1. 勒索软件防范指南,国家计算机网络应急技术处理协调中心,2021

https://www.cert.org.cn/publish/main/upload/File/Precaution%20Guide%20to%20Ransomware(1).pdf

  1. 2023年中国企业勒索病毒攻击态势分析报告,奇安信,2023

2023勒索病毒攻击态势分析报告:超7成政企机构缺乏攻击溯源能力

相关推荐
Aimin20224 分钟前
路由器做WPAD、VPN、透明代理中之间一个
网络
群联云防护小杜25 分钟前
如何给负载均衡平台做好安全防御
运维·服务器·网络·网络协议·安全·负载均衡
ihengshuai25 分钟前
HTTP协议及安全防范
网络协议·安全·http
爱码小白1 小时前
网络编程(王铭东老师)笔记
服务器·网络·笔记
蜜獾云1 小时前
linux firewalld 命令详解
linux·运维·服务器·网络·windows·网络安全·firewalld
柒烨带你飞1 小时前
路由器转发数据报的封装过程
网络·智能路由器
黑客Jack2 小时前
防御 XSS 的七条原则
安全·web安全·xss
东方隐侠安全团队-千里2 小时前
网安瞭望台第17期:Rockstar 2FA 故障催生 FlowerStorm 钓鱼即服务扩张现象剖析
网络·chrome·web安全
云云3212 小时前
怎么通过亚矩阵云手机实现营销?
大数据·服务器·安全·智能手机·矩阵
神一样的老师3 小时前
面向高精度网络的时间同步安全管理架构
网络·安全·架构