勒索软件保护措施
本节介绍 NetApp ONTAP 数据管理软件以及适用于 Cisco UCS 和 Cisco Nexus 的工具的主要功能,您可以使用这些功能有效地保护和抵御勒索软件攻击。
存储: NetApp ONTAP
ONTAP 软件提供了许多对数据保护有用的功能,其中大多数功能对于拥有 ONTAP 系统的客户是免费的。您可以随时使用以下功能来保护数据免受攻击:
-
* NetApp Snapshot 技术。 * Snapshot 副本是卷的只读映像,用于捕获文件系统在某一时间点的状态。这些副本有助于保护数据,而不会影响系统性能,同时也不会占用大量存储空间。NetApp 建议您创建 Snapshot 副本创建计划。您还应保持较长的保留时间,因为某些恶意软件可能会休眠,然后在感染后数周或数月重新激活。发生攻击时,可以使用感染前创建的 Snapshot 副本回滚卷。
-
* NetApp SnapRestore 技术。 * SnapRestore 数据恢复软件对于从数据损坏中恢复或仅还原文件内容非常有用。SnapRestore 不会还原卷的属性;它比管理员通过将文件从 Snapshot 副本复制到活动文件系统来实现的速度快得多。如果必须尽快恢复多个文件,则恢复数据的速度会很有用。在发生攻击时,这种高效的恢复过程有助于快速恢复业务联机。
-
* NetApp SnapCenter 技术。 * SnapCenter 软件使用基于 NetApp 存储的备份和复制功能来提供应用程序一致的数据保护。该软件可与企业级应用程序集成,并提供特定于应用程序和数据库的工作流,以满足应用程序,数据库和虚拟基础架构管理员的需求。SnapCenter 提供了一个易于使用的企业平台,用于在应用程序,数据库和文件系统之间安全地协调和管理数据保护。它能够提供应用程序一致的数据保护,这在数据恢复期间至关重要,因为它可以轻松地将应用程序更快地还原到一致的状态。
-
* NetApp SnapLock 技术。 * SnapLock 提供了一个特殊用途卷,可在其中存储文件并将其提交到不可擦除,不可重写的状态。驻留在 FlexVol 卷中的用户生产数据可以分别通过 NetApp SnapMirror 或 SnapVault 技术镜像或存储到 SnapLock 卷。在保留期限结束之前,无法删除 SnapLock 卷,卷本身及其托管聚合中的文件。
-
* NetApp FPolicy 技术。 * 使用 FPolicy 软件禁止对具有特定扩展名的文件执行操作,以防止受到攻击。可以为特定文件操作触发 FPolicy 事件。此事件与策略相关联,策略将调用需要使用的引擎。您可以为策略配置一组可能包含勒索软件的文件扩展名。如果具有不允许扩展名的文件尝试执行未经授权的操作,则 FPolicy 会阻止执行该操作。
网络: Cisco Nexus
Cisco NX OS 软件支持可增强网络异常检测和安全性的网络流功能。网络流可捕获网络上每个对话的元数据,通信所涉及的各方,正在使用的协议以及事务持续时间。对信息进行汇总和分析后,可以深入了解正常行为。
通过收集的数据,还可以确定可疑的活动模式,例如恶意软件在网络中传播,否则可能会被忽视。
网络流使用流为网络监控提供统计信息。流量是指到达源接口(或 VLAN )且密钥值相同的单向数据包流。密钥是指数据包中某个字段的标识值。您可以使用流记录创建流,以便为流定义唯一密钥。您可以使用流量导出器将网络流为流收集的数据导出到远程网络流收集器,例如 Cisco Stealthwatch 。Stealthwatch 使用此信息持续监控网络,并在发生勒索软件爆发时提供实时威胁检测和意外事件响应取证。
计算: Cisco UCS
Cisco UCS 是 FlexPod 架构中的计算端点。您可以使用多种 Cisco 产品来帮助在操作系统级别保护堆栈的这一层。
您可以在计算或应用程序层实施以下关键产品:
-
* 适用于端点的 Cisco 高级恶意软件保护( AMP )。 * 此解决方案在 Microsoft Windows 和 Linux 操作系统上受支持,集成了预防,检测和响应功能。此安全软件可防止违规行为,在入口点阻止恶意软件,并持续监控和分析文件和流程活动,以快速检测,控制和修复可能规避前线防护的威胁。
AMP 的恶意活动保护( MAP )组件持续监控所有端点活动,并提供运行时检测和阻止端点上正在运行的程序的异常行为。例如,如果端点行为表明存在勒索软件,则会终止违规流程,从而阻止端点加密并阻止攻击。
-
* 通过 Cisco 高级恶意软件保护实现电子邮件安全。 * 电子邮件已成为传播恶意软件和实施网络攻击的主要工具。平均而言,一天内会交换大约 1000 亿封电子邮件,这为攻击者提供了一个极好的渗透载体,可以渗透到用户的系统中。因此,抵御这种攻击是绝对必要的。
AMP 可分析电子邮件中隐藏在恶意附件中的威胁,例如零日攻击和窃取恶意软件。此外,它还利用行业领先的 URL 智能来打击恶意链路。它可以为用户提供高级保护,防止他们遭受鱼叉式网络攻击,勒索软件和其他复杂攻击。
-
* 下一代入侵防护系统( NGIP )。 * Cisco Firepower NGIP 可以部署为数据中心中的物理设备,也可以部署为 VMware 上的虚拟设备( NGIPSv for VMware )。这种高效的入侵防护系统可提供可靠的性能和较低的总拥有成本。威胁保护可以通过可选的订阅许可证进行扩展,以提供 AMP ,应用程序可见性和控制以及 URL 筛选功能。虚拟化的 NGIP 可检查虚拟机( VM )之间的流量,并在资源有限的站点上更轻松地部署和管理 NGIP 解决方案,从而增强对物理和虚拟资产的保护。