勒索病毒攻击不再是危言耸听。前段时间,全球著名的网络犯罪组织 Lockbit 表示,他们成功利用勒索病毒入侵了中国工商银行美国子公司,在导致多种业务系统瘫痪后(包括交易清算和电子邮件)成功获得了赎金。我们在《如何通过微分段与备份产品加强防护勒索病毒?》中详细介绍了勒索病毒这种“挟持数据以令各企业”的新型网络安全威胁,这则新闻更让我们直观感受到勒索病毒给企业造成的损失——不仅是经济上的损失,还有因数据泄漏和业务停滞带来的一系列影响。
为了帮助企业更好地守护数据安全,SmartX 超融合 5.1 版本产品组合升级了勒索攻击应对能力——结合可观测平台(基于 SmartX 管理平台 CloudTower)、软件定义的网络与安全组件 Everoute 和 SMTX 备份与容灾,用户可基于 SmartX 超融合架构实现勒索攻击主动发现、病毒扩散一键阻断、丢失数据安全恢复,为病毒感染的不同阶段提供针对性的应对策略。
IT 基础架构层面的应对方法论:识别、隔离、恢复
与传统病毒不同,勒索病毒利用加密算法劫持企业关键数据,即使是专业的网络安全技术人员也很难完全破解。这就意味着,若想有效应对勒索攻击,企业需要在黑客发动攻击(实施加密)前阻止病毒入侵和传播,或在病毒攻击后减少或避免数据加密带来的损失。而在虚拟化/超融合环境中,虚拟机数量庞大,移动性强,仅依靠传统“南-北向”防火墙和具有病毒查杀功能的网络安全产品,难以做到对整个环境的严密防护。因此,正如 Gartner 在《如何为勒索病毒攻击做好准备》中强调的,应对勒索攻击是一项系统性工程,需要企业针对勒索攻击的不同阶段,在应用和 IT 基础架构层面都部署相应的方案。
面对勒索攻击,IT 基础架构层面需要具备哪些应对能力?结合多篇权威机构报告和指南*,我们梳理了勒索攻击各阶段的特点及其应对方案(见下表)。总体而言,对于勒索病毒“入侵、扩散、攻击”三大阶段,IT 基础架构需要做到“快速识别、横向隔离、安全恢复”,并帮助用户在事后进行进一步的安全加固。这也是 SmartX 超融合勒索攻击应对方案的核心方法论。
IT 基础架构层面的应对方案
结合 SmartX 可观测平台的流量可视化功能、Everoute 分布式防火墙和 SMTX 备份与容灾,用户可基于 SmartX 超融合开展勒索病毒的识别、隔离与数据恢复,在 IT 基础架构层面提供全面的勒索病毒应对能力。
CloudTower 网络流量可视化:主动告警异常流量,快速识别勒索攻击
CloudTower 企业版提供了网络流量可视化功能,可通过图形和图表的形式,直观展现集群中主机和虚拟机的数据流信息。图形化的拓扑图能够清晰展示哪些终端曾经尝试连接被保护的对象,帮助管理员快速识别网络中存在的攻击或异常。欲深入了解该功能特性,请阅读:照亮虚拟网络流量“盲区”:超融合网络流量可视化功能解读。
例如,如果黑客通过暴力破解的方式尝试入侵,会导致短时间内的连接数量出现暴增。CloudTower 企业版支持用户设置虚拟机相关连接数量的阈值,一旦连接数量超过阈值,将自动触发告警。这时,用户可以通过网络流量可视化界面看到哪台虚拟机发生了异常连接,搭配 Everoute,可进一步隔离可疑虚拟机,禁止业务流量,同时允许管理员对其进行查杀和恢复。同时,这些观测数据可以被导出,成为安全运维中心(SOC)能够使用的数据来源,从而与 NDR/SMDR 等安全机制相结合,实现对虚拟云网络的全面安全检测和响应。
Everoute 分布式防火墙:一键隔离可疑虚机,防止病毒横向扩散
基于白名单模式和自动跟随虚拟机的安全策略,Everoute 可为虚拟机提供符合“零信任”原则的微分段安全保护,阻止勒索病毒在虚拟化环境的横向扩散。欲进一步了解产品能力,请阅读:SmartX Everoute 如何通过微分段技术实现 “零信任” | 社区成长营分享回顾、SmartX HCI 5.1 发布:是超融合,更是虚拟化与容器生产级统一架构 – Everoute 2.0。
- 基于白名单模式:基于白名单的安全策略,确保虚拟机之间的东西向访问符合“最小权限”原则。
- 可疑虚拟机“一键式”隔离:可疑、被感染的虚拟机可以被“一键隔离”,并为“隔离”状态的虚拟机设置专用访问策略,以便进行查杀、恢复等运维操作。
- “标签”与“安全组”简化访问控制策略:以“标签”“安全组”对虚拟机进行业务标识,安全策略一目了然。虚拟机可以基于标签/标签组合被动态划分到“安全组”,实现对不连续 IP 地址的安全策略简化。
- 智能策略粘性:安全策略能够跟随虚拟机自动在不同主机、不同集群之间迁移,无需重新设置。
- 可视化观测,策略执行一目了然:结合网络流量可视化,用户可在可视化界面进行安全策略的观测与审计,以监控安全策略的执行效果是否符合预期、满足安全审计的要求。
此外,通过 Everoute Container Plugin,用户还可将分布式防火墙能力扩展到 SMTX Kubernetes Service(SKS)所管理的容器,实现扁平化的容器网络连接和网络策略(Kubernetes Network Policy),进一步增强容器环境的虚拟网络安全。
SMTX 备份与容灾:备份数据安全恢复,维持生产降低损失
SMTX 备份与容灾产品整合原有的 SMTX 备份与恢复与内置于 SMTX OS 的异步复制功能,可为运行在 SMTX OS(ELF)集群的虚拟机提供全面的数据保护和灾难恢复能力。欲进一步了解产品能力,请阅读:SmartX 发布数据保护产品 SMTX 备份与恢复、SmartX HCI 5.1 发布:是超融合,更是虚拟化与容器生产级统一架构 – SMTX 备份与容灾。
针对勒索病毒场景,用户可通过备份与恢复模块运行在 ELF 平台上的虚拟机备份到集群外部的 NAS 存储(支持自定义执行周期、时间窗口和保留策略)。在病毒攻击后,用户可基于本地(定时)快照恢复/重建虚拟机,并采用 Everoute 的“一键隔离”方法将恢复的虚拟机置于隔离状态下;进行清理和验证后,将确认干净、安全的虚拟机从隔离状态恢复出来,投入生产环境。同时,也可选择使用复制与恢复模块在异地环境中进行虚拟机重建,且同样可以在虚拟机隔离的状态下进行清理和验证,而后投入异地生产环境或迁回原环境。
整体方案优势
- 无代理:不需要对 Guest VM 进行任何侵入操作,不影响客户业务。
- 易管理:在统一的 CloudTower 界面上配置和使用三种组件。
- 无依赖:三种功能可单独启用,而联合使用可达到更好的防勒索攻击效果。
除了对勒索病毒的防护能力,SmartX 超融合 5.1 版本还全面提升了虚拟化、分布式存储、系统运维、灾备、迁移、Kubernetes 管理等产品组件能力。欲了解更多产品特性与技术升级,请阅读《SmartX 超融合技术原理与特性解析合集(5.1 更新版)》。
*参考报告:
1. 勒索病毒安全防护手册,中国信通院,2021
http://www.caict.ac.cn/kxyj/qwfb/ztbg/202109/P020210908503958931090.pdf
2. How to Prepare for Ransomware Attacks,Gartner,2022
https://www.gartner.com/en/doc/how-to-prepare-for-ransomware-attacks
3. 勒索软件防范指南,国家计算机网络应急技术处理协调中心,2021
https://www.cert.org.cn/publish/main/upload/File/Precaution%20Guide%20to%20Ransomware(1).pdf
4. 2023年中国企业勒索病毒攻击态势分析报告,奇安信,2023