VMware：從勒索病毒的爆發(fā)看企業(yè)信息安全建設(shè)

2017-05-22 10:06:44 作者：來(lái)源：CTI論壇評(píng)論：0 　點(diǎn)擊：

　　短短的幾天時(shí)間，勒索病毒爆發(fā)事件成為全球熱點(diǎn)事件，作為一個(gè) “非典型性” 蠕蟲(chóng)病毒，它和已往的蠕蟲(chóng)病毒有著較大的不同，對(duì)社會(huì)造成的影響也更大，目前已有 100 多個(gè)國(guó)家的數(shù)萬(wàn)臺(tái)電腦被病毒所感染。

　　5 月 13 日下午，一名英國(guó)研究人員找到了勒索病毒的隱藏開(kāi)關(guān)，有效遏制了病毒的傳播，與此同時(shí)，網(wǎng)上出現(xiàn)了許多勒索病毒的變種……

　　目前網(wǎng)上遍布著介紹勒索病毒的文章，本文不再贅述，僅通過(guò)下表對(duì)勒索病毒與常規(guī)蠕蟲(chóng)病毒做個(gè)比較，方便大家快速了解該病毒的基本特征。

特征

常規(guī)蠕蟲(chóng)病毒

勒索病毒

入侵方式

利用系統(tǒng)脆弱性、安全漏洞或社交攻擊等手段

利用高危漏洞 “永恒之藍(lán)”

（EternalBlue）

感染對(duì)象

幾乎所有操作系統(tǒng)和智能設(shè)備都可能被感染

各版本W(wǎng)indows系統(tǒng)

傳播途徑

存儲(chǔ)系統(tǒng)、網(wǎng)絡(luò)、郵件、文件等

公網(wǎng)（掃描隨機(jī) IP）及局域網(wǎng)（掃描地址段）

危害

消耗資源、破壞系統(tǒng)、應(yīng)用和數(shù)據(jù)、損毀硬件

植入木馬程序、加密用戶文件索要贖金（比特幣支付）

防范

阻斷入侵途徑和傳播途徑（打補(bǔ)丁、隔離）

打補(bǔ)丁（MS17-010，發(fā)布于2017-3-14）/停用 SMBv1 服務(wù)/封堵通訊端口（TCP 445）

清除與恢復(fù)

移除病毒體、恢復(fù)受損資源

清除病毒、嘗試恢復(fù)已被刪除的未加密文件

　　勒索病毒再一次給大家敲響了警鐘，信息時(shí)代無(wú)處不在的網(wǎng)絡(luò)為我們的生活帶來(lái)了便利，也成了病毒肆虐的溫床，現(xiàn)在的流行病毒基本都具備通過(guò)網(wǎng)絡(luò)快速傳播擴(kuò)散的能力，如果不能夠?qū)Σ《镜膫鞑バ袨檫M(jìn)行有效的控制，每一次蠕蟲(chóng)病毒的爆發(fā)都可能會(huì)給人們的生產(chǎn)生活帶來(lái)巨大的影響。云計(jì)算、移動(dòng)社交、物聯(lián)網(wǎng)等新技術(shù)的采用打破了原有數(shù)據(jù)中心的安全邊界，無(wú)處不在的數(shù)據(jù)并沒(méi)有得到足夠的保護(hù)，新技術(shù)繁榮發(fā)展的背后危機(jī)伺服，如何在這樣的新時(shí)代做好蠕蟲(chóng)病毒的防護(hù)呢？做好以下幾點(diǎn)是最基本的：

制定安全規(guī)范，確保系統(tǒng)可視可控，隨時(shí)可以檢測(cè)和維護(hù)IT系統(tǒng)的合規(guī)性。
按計(jì)劃定期備份系統(tǒng)和數(shù)據(jù)，以確保需要時(shí)可以快速恢復(fù)工作環(huán)境。
打補(bǔ)丁是安全問(wèn)題的基本解決之道，及時(shí)更新系統(tǒng)，特別是那些高危漏洞要迅速響應(yīng)。
部署必要的安全防護(hù)手段，專業(yè)的安全產(chǎn)品與服務(wù)是應(yīng)對(duì)安全威脅的主要措施。
不下載，不使用來(lái)源不明的文件，公私文件要分離，使用前對(duì)文件的完整性進(jìn)行驗(yàn)證。
隔離是防范蠕蟲(chóng)病毒的不二法寶，萬(wàn)物互聯(lián)時(shí)代建議采用微分段實(shí)現(xiàn)零信任安全隔離。

　　而在上述六個(gè)基本防護(hù)手段中，最重要的就是隔離，對(duì)于企業(yè)環(huán)境而言，單純的邊界防御已經(jīng)無(wú)法提供足夠的保護(hù)，因?yàn)檫@個(gè)邊界已經(jīng)從物理的變?yōu)檫壿嫷�，從靜態(tài)的變?yōu)閯?dòng)態(tài)的，而企業(yè)網(wǎng)各安全區(qū)域內(nèi)部通常是沒(méi)有防御手段的，這就像是外圍固若金湯，內(nèi)部卻沒(méi)有任何安全措施的特洛伊城。一旦這個(gè)防御邊界被突破，入侵者或者病毒就可以在企業(yè)網(wǎng)中肆意橫行，如入無(wú)人之境。假設(shè)網(wǎng)絡(luò)中有主機(jī)感染了勒索病毒，就可能在整個(gè)內(nèi)網(wǎng)中迅速傳播開(kāi)來(lái)。

　　NSX 所提供的分布式、軟件定義的安全防護(hù)體系比傳統(tǒng)的網(wǎng)絡(luò)防火墻和主機(jī)防火墻更適合用來(lái)構(gòu)建數(shù)據(jù)中心安全防護(hù)系統(tǒng)，因?yàn)樗哂腥缦绿卣鳎?/div>

　　1. 實(shí)現(xiàn)企業(yè)零信任及微分段安全基礎(chǔ)架構(gòu)

　　隔離現(xiàn)有及未來(lái)惡意軟件及安全威脅在數(shù)據(jù)中心內(nèi)部東西向蔓延，例如 “想哭” wannacry 勒索攻擊。

　　VMware NSX 可實(shí)現(xiàn)細(xì)顆粒度微分段安全管控，提供最小授權(quán)訪問(wèn)。

　　通過(guò)軟件定義安全，無(wú)需硬件改造。

　　2. 豐富安全合作伙伴集成自動(dòng)化隔離受感染系統(tǒng)

　　VMware NSX 通過(guò)與安全合作伙伴集成實(shí)現(xiàn)數(shù)據(jù)中心內(nèi)部東西向分布式 IPS, IDS, 無(wú)代理殺毒，在發(fā)現(xiàn)安全威脅后可通過(guò) NSX 自動(dòng)化阻斷和隔離受感染系統(tǒng)。提供除邊界安全之外的第二道安全防護(hù)。VMware NSX 目前在全球擁有眾多的合作伙伴，包含 Palo Alto，Trend Micro，賽門鐵克，Checkpoint，F(xiàn)ortinet 等等。VMware NSX 在國(guó)內(nèi)也有眾多安全廠商正在整合認(rèn)證，包含天融信，360，瑞星，山石網(wǎng)科等。

　　3. 簡(jiǎn)化運(yùn)維，智能分組分區(qū)

　　實(shí)現(xiàn)基于豐富的應(yīng)用、虛擬機(jī)操作系統(tǒng)、VM 名字、用戶登錄AD的用戶組等基礎(chǔ)架構(gòu)屬性實(shí)現(xiàn)簡(jiǎn)易智能分組分區(qū)部署安全策略，降低低安全部署維護(hù) Opex。

　　4.實(shí)現(xiàn)攻擊威脅可視化

　　通過(guò) NSX 及 vRNI 流量可視化工具，識(shí)別正在進(jìn)行攻擊和被感染的系統(tǒng)

　　通過(guò) NSX 6.3 的終端監(jiān)控功能，實(shí)現(xiàn)攻擊威脅可視化，識(shí)別 wannacry 的有害進(jìn)程及智能檢測(cè)感染主機(jī)的攻擊目標(biāo)及行為。

　　通過(guò) vRNI 實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)中心內(nèi)部的流量，通過(guò) Google-like 的簡(jiǎn)單語(yǔ)法定位被感染主機(jī)發(fā)起的二次橫向攻擊。

　　5. 無(wú)中斷業(yè)務(wù)安全虛擬化平臺(tái)部署

　　NSX 安全虛擬化平臺(tái)無(wú)需硬件改造升級(jí)，無(wú)需中斷業(yè)務(wù)，在數(shù)據(jù)中心基礎(chǔ)架構(gòu)通過(guò)軟件部署即可應(yīng)用在現(xiàn)有網(wǎng)絡(luò)及系統(tǒng)環(huán)境，無(wú)需改變現(xiàn)有運(yùn)維模式。

　　NSX 還可以與移動(dòng)設(shè)備管理解決方案相集成，為企業(yè)的移動(dòng)計(jì)算環(huán)境提供全面的保護(hù)，終端設(shè)備數(shù)量大，類型多，分布廣泛，安全與管控，特別是移動(dòng)端數(shù)據(jù)的保護(hù)一向是個(gè)難題，歸結(jié)一下，挑戰(zhàn)主要集中在以下幾個(gè)方面：

如何實(shí)現(xiàn)有效的、簡(jiǎn)便的內(nèi)外網(wǎng)安全隔離策略；
在沒(méi)有更新殺毒數(shù)據(jù)庫(kù)前，如何有效監(jiān)控和隔離可疑行為；
如何管理和控制BYOD設(shè)備、移動(dòng)設(shè)備所帶來(lái)的安全隱患；
企業(yè)如何實(shí)現(xiàn)安全的信息交換；
未來(lái)將有大量的物聯(lián)網(wǎng)設(shè)備接入，安全管理如何進(jìn)行；
如何統(tǒng)一快速實(shí)施安全策略和部署安全補(bǔ)丁。

　　通過(guò)將 VMware 的終端用戶計(jì)算解決方案與網(wǎng)絡(luò)安全解決方案有機(jī)地集成，我們可以幫助用戶完美地解決上述難題，輕松實(shí)現(xiàn)下述安全解決方案：

高安全性需求的用戶可以通過(guò)各種設(shè)備（PC、筆記本、瘦客戶端、零客戶端或智能終端）訪問(wèn)分別部署于內(nèi)外網(wǎng)的兩個(gè)桌面虛機(jī)，實(shí)現(xiàn)內(nèi)外網(wǎng)隔離。
部署基于用戶身份匹配規(guī)則的網(wǎng)絡(luò)防火墻，靈活限制用戶對(duì)資源的訪問(wèn)。
網(wǎng)絡(luò)隔離與防病毒軟件無(wú)縫配合，統(tǒng)一進(jìn)行策略更新、端口控制、病毒庫(kù)更新、病毒的監(jiān)控和查殺。
采用桌面虛擬化技術(shù)以后，可以通過(guò)更新虛擬機(jī)模板的方式進(jìn)行補(bǔ)丁更新，保證虛擬桌面補(bǔ)丁更新無(wú)遺漏。
使用內(nèi)部網(wǎng)盤作為文件交換平臺(tái)，有效保護(hù)數(shù)據(jù)和平臺(tái)的安全性。
統(tǒng)一進(jìn)行文件備份和數(shù)據(jù)保護(hù)，保證業(yè)務(wù)數(shù)據(jù)的可恢復(fù)性。

　　采用上述解決方案的用戶一旦遇到勒索病毒一類的蠕蟲(chóng)病毒入侵時(shí)，可采用以下緊急響應(yīng)流程：