勒索病毒攻击不再是危言耸听。前段时间,全球著名的网络犯罪组织 Lockbit 表示,他们成功利用勒索病毒入侵了中国工商银行美国子公司,在导致多种业务系统瘫痪后(包括交易清算和电子邮件)成功获得了赎金。我们在《如何通过微分段与备份产品加强防护勒索病毒?》中详细介绍了勒索病毒这种“挟持数据以令各企业”的新型网络安全威胁,这则新闻更让我们直观感受到勒索病毒给企业造成的损失——不仅是经济上的损失,还有因数据泄漏和业务停滞带来的一系列影响。
为了帮助企业更好地守护数据安全,SmartX 超融合 5.1 版本产品组合升级了勒索攻击应对能力——结合可观测平台(基于 SmartX 管理平台 CloudTower)、软件定义的网络与安全组件 Everoute 和 SMTX 备份与容灾,用户可基于 SmartX 超融合架构实现勒索攻击主动发现、病毒扩散一键阻断、丢失数据安全恢复,为病毒感染的不同阶段提供针对性的应对策略。
与传统病毒不同,勒索病毒利用加密算法劫持企业关键数据,即使是专业的网络安全技术人员也很难完全破解。这就意味着,若想有效应对勒索攻击,企业需要在黑客发动攻击(实施加密)前阻止病毒入侵和传播,或在病毒攻击后减少或避免数据加密带来的损失。而在虚拟化/超融合环境中,虚拟机数量庞大,移动性强,仅依靠传统“南-北向”防火墙和具有病毒查杀功能的网络安全产品,难以做到对整个环境的严密防护。因此,正如 Gartner 在《如何为勒索病毒攻击做好准备》中强调的,应对勒索攻击是一项系统性工程,需要企业针对勒索攻击的不同阶段,在应用和 IT 基础架构层面都部署相应的方案。
面对勒索攻击,IT 基础架构层面需要具备哪些应对能力?结合多篇权威机构报告和指南*,我们梳理了勒索攻击各阶段的特点及其应对方案(见下表)。总体而言,对于勒索病毒“入侵、扩散、攻击”三大阶段,IT 基础架构需要做到“快速识别、横向隔离、安全恢复”,并帮助用户在事后进行进一步的安全加固。这也是 SmartX 超融合勒索攻击应对方案的核心方法论。
结合 SmartX 可观测平台的流量可视化功能、Everoute 分布式防火墙和 SMTX 备份与容灾,用户可基于 SmartX 超融合开展勒索病毒的识别、隔离与数据恢复,在 IT 基础架构层面提供全面的勒索病毒应对能力。
CloudTower 企业版提供了网络流量可视化功能,可通过图形和图表的形式,直观展现集群中主机和虚拟机的数据流信息。图形化的拓扑图能够清晰展示哪些终端曾经尝试连接被保护的对象,帮助管理员快速识别网络中存在的攻击或异常。欲深入了解该功能特性,请阅读:照亮虚拟网络流量“盲区”:超融合网络流量可视化功能解读。
例如,如果黑客通过暴力破解的方式尝试入侵,会导致短时间内的连接数量出现暴增。CloudTower 企业版支持用户设置虚拟机相关连接数量的阈值,一旦连接数量超过阈值,将自动触发告警。这时,用户可以通过网络流量可视化界面看到哪台虚拟机发生了异常连接,搭配 Everoute,可进一步隔离可疑虚拟机,禁止业务流量,同时允许管理员对其进行查杀和恢复。同时,这些观测数据可以被导出,成为安全运维中心(SOC)能够使用的数据来源,从而与 NDR/SMDR 等安全机制相结合,实现对虚拟云网络的全面安全检测和响应。
基于白名单模式和自动跟随虚拟机的安全策略,Everoute 可为虚拟机提供符合“零信任”原则的微分段安全保护,阻止勒索病毒在虚拟化环境的横向扩散。欲进一步了解产品能力,请阅读:SmartX Everoute 如何通过微分段技术实现 “零信任” | 社区成长营分享回顾、SmartX HCI 5.1 发布:是超融合,更是虚拟化与容器生产级统一架构?– Everoute 2.0。
此外,通过 Everoute Container Plugin,用户还可将分布式防火墙能力扩展到 SMTX Kubernetes Service(SKS)所管理的容器,实现扁平化的容器网络连接和网络策略(Kubernetes Network Policy),进一步增强容器环境的虚拟网络安全。
SMTX 备份与容灾产品整合原有的 SMTX 备份与恢复与内置于 SMTX OS 的异步复制功能,可为运行在 SMTX OS(ELF)集群的虚拟机提供全面的数据保护和灾难恢复能力。欲进一步了解产品能力,请阅读:SmartX 发布数据保护产品 SMTX 备份与恢复、SmartX HCI 5.1 发布:是超融合,更是虚拟化与容器生产级统一架构?– SMTX 备份与容灾。
针对勒索病毒场景,用户可通过备份与恢复模块运行在 ELF 平台上的虚拟机备份到集群外部的 NAS 存储(支持自定义执行周期、时间窗口和保留策略)。在病毒攻击后,用户可基于本地(定时)快照恢复/重建虚拟机,并采用 Everoute 的“一键隔离”方法将恢复的虚拟机置于隔离状态下;进行清理和验证后,将确认干净、安全的虚拟机从隔离状态恢复出来,投入生产环境。同时,也可选择使用复制与恢复模块在异地环境中进行虚拟机重建,且同样可以在虚拟机隔离的状态下进行清理和验证,而后投入异地生产环境或迁回原环境。
除了对勒索病毒的防护能力,SmartX 超融合 5.1 版本还全面提升了虚拟化、分布式存储、系统运维、灾备、迁移、Kubernetes 管理等产品组件能力。欲了解更多产品特性与技术升级,请阅读《SmartX 超融合技术原理与特性解析合集(5.1 更新版)》。
*参考报告:
1. 勒索病毒安全防护手册,中国信通院,2021
http://www.caict.ac.cn/kxyj/qwfb/ztbg/202109/P020210908503958931090.pdf
2. How to Prepare for Ransomware Attacks,Gartner,2022
How to Prevent Ransomware Attacks
3. 勒索软件防范指南,国家计算机网络应急技术处理协调中心,2021
https://www.cert.org.cn/publish/main/upload/File/Precaution%20Guide%20to%20Ransomware(1).pdf
4. 2023年中国企业勒索病毒攻击态势分析报告,奇安信,2023