勒索軟體保護措施
本節將討論NetApp ONTAP VMware資料管理軟體的主要功能、以及Cisco UCS和Cisco Nexus工具、您可以使用這些工具來有效保護和恢復勒索軟體攻擊。
儲存設備:ONTAP NetApp
支援資料保護的功能眾多、大部分免費提供給使用此系統的客戶。ONTAP ONTAP您可以隨時使用下列功能來保護資料免受攻擊:
-
* NetApp Snapshot技術。* Snapshot複本是磁碟區的唯讀映像、可在某個時間點擷取檔案系統的狀態。這些複本有助於保護資料、不會影響系統效能、同時也不會佔用大量的儲存空間。NetApp建議您建立建立Snapshot複本的建立排程。您也應該維持較長的保留時間、因為某些惡意軟體可能會處於休眠狀態、然後在感染後的數週或數月內重新啟動。發生攻擊時、可以使用感染前所取得的Snapshot複本來復原磁碟區。
-
* NetApp SnapRestore 支援技術。* SnapRestore 支援資料還原軟體對於從資料毀損中恢復或僅回復檔案內容非常實用。不還原磁碟區的屬性;它比系統管理員將檔案從Snapshot複本複製到作用中檔案系統所能達到的速度快得多。SnapRestore當許多檔案必須儘快恢復時、資料的恢復速度很有幫助。一旦發生攻擊、這項高效率的恢復程序有助於企業迅速恢復上線。
-
* NetApp SnapCenter 功能* SnapCenter 。* Ses庫 軟體使用NetApp儲存型備份與複寫功能、提供應用程式一致的資料保護。此軟體可與企業應用程式整合、並提供應用程式專屬及資料庫專屬的工作流程、以滿足應用程式、資料庫及虛擬基礎架構管理員的需求。支援易於使用的企業平台、可安全地協調及管理應用程式、資料庫和檔案系統之間的資料保護。SnapCenter在資料恢復期間、提供應用程式一致的資料保護功能至關重要、因為它能讓您更快將應用程式還原至一致的狀態。
-
* NetApp SnapLock 支援技術* SnapLock 。*支援特殊用途磁碟區、可將檔案儲存並承諾為不可刪除、不可重複寫入的狀態。使用者的資料駐留FlexVol 在一個支援的地方、可透過SnapLock NetApp SnapMirror或SnapVault 支援技術分別鏡射或保存到一個支援的地方。在保留期間結束之前、無法刪除位於現象磁碟區中的檔案SnapLock 、磁碟區本身及其託管Aggregate。
-
* NetApp FPolicy技術。*使用FPolicy軟體、禁止對具有特定副檔名的檔案執行作業、以防止攻擊。可針對特定檔案作業觸發FPolicy事件。此事件與原則有關、該原則會呼叫IT需要使用的引擎。您可以使用一組可能含有勒索軟體的副檔名來設定原則。當副檔名不允許的檔案嘗試執行未獲授權的作業時、FPolicy會防止該作業執行。
網路:Cisco Nexus
Cisco NX OS軟體支援NetFlow功能、可增強偵測網路異常狀況與安全性。NetFlow會擷取網路上每個對話的中繼資料、通訊相關各方、使用的傳輸協定、以及交易持續時間。在彙總和分析資訊之後、即可深入瞭解正常行為。
收集到的資料也能辨識可疑的活動模式、例如惡意軟體散佈於整個網路、否則可能無法察覺。
NetFlow使用流程來提供網路監控的統計資料。流程是一種單向封包串流、傳入來源介面(或VLAN)、金鑰的值相同。金鑰是封包內欄位的識別值。您可以使用流程記錄來建立流程、以定義流程的獨特按鍵。您可以使用流程匯出器、將NetFlow為流程收集的資料匯出至遠端NetFlow收集器、例如Cisco Stealthwatch。Stealthwatch會使用此資訊持續監控網路、並在發生勒索軟體疫情時提供即時威脅偵測和事件回應證明。
運算:Cisco UCS
Cisco UCS是FlexPod 架構中的運算端點。您可以使用多種Cisco產品、在作業系統層級保護堆疊的這一層。
您可以在運算或應用程式層中實作下列主要產品:
-
*適用於端點的Cisco進階惡意軟體保護(AMP)。*此解決方案支援Microsoft Windows與Linux作業系統、整合了預防、偵測與回應功能。此安全軟體可防止資料外洩、在進入點封鎖惡意軟體、並持續監控及分析檔案與處理活動、以快速偵測、控制及補救可能規避第一線防禦的威脅。
AMP的惡意活動保護(MAP)元件會持續監控所有端點活動、並提供執行時間偵測、並封鎖端點上執行中程式的異常行為。例如、當端點行為顯示勒索軟體時、會終止違規的程序、以防止端點加密並停止攻擊。
-
* Cisco進階的電子郵件安全惡意軟體保護。*電子郵件已成為散佈惡意軟體及進行網路攻擊的主要工具。平均而言、每天大約會交換1000億封電子郵件、讓攻擊者能夠在使用者的系統中擁有絕佳的滲透率。因此、防禦這類攻擊是絕對必要的。
擴大分析電子郵件中的威脅、例如零時差攻擊、以及隱藏在惡意附件中的惡意軟體。它也使用領先業界的URL情報來對抗惡意連結。它能為使用者提供進階保護、防止針對性網頁仿冒、勒索軟體及其他複雜的攻擊。
-
新一代入侵防禦系統(NGIPS)。 Cisco火力NGIPS可部署為資料中心的實體應用裝置、或部署為VMware上的虛擬應用裝置(NGIPSv for VMware)。這套高效率的入侵防禦系統可提供可靠的效能、並降低總體擁有成本。您可以選擇訂閱授權來擴充威脅保護、以提供擴大的應用程式可見度與控制能力、以及URL篩選功能。虛擬化的NGIPS會檢查虛擬機器(VM)之間的流量、並使在資源有限的站台上部署及管理NGIPS解決方案變得更容易、同時增加實體與虛擬資產的保護。