Первая волна атаки нового вируса WannaCry затронула уже более 320 тысяч компьютеров по всему миру и привела к сбоям в работе таких крупнейших мировых компаний, как Telefonica, KPMG, «Мегафон», Сбербанк, сеть больниц в Великобритании, МВД РФ и многих других. На смену первой волне атаки идут новые модифицированные вирусы, которые учитывают предпринятые пользователями меры борьбы с WannaCry и количество новых зараженных компьютеров пока не снижается.
Какие особенности распространения этого и других подобных вирусов нужно учесть, чтобы построить эффективную защиту? Заражение и инфильтрация в сеть происходят не мгновенно, а по этапам, и вирус является интерактивным, т.е. распространяется при выполнении определенных условий и при отсутствии запрета из центра управления. Это подразумевает генерацию дополнительного трафика на портах сети клиента и небольшую задержку между активацией и распространением, которые могут быть использованы для принятия защитных мер. Чтобы противодействовать таким угрозам, одного сигнатурного метода защиты и установки антивируса на клиентском устройстве недостаточно. Если вирус новый или модифицированный, его может не быть в базе сигнатур, а если защищается только компьютер или ВМ пользователя, времени на реакцию слишком мало.
Современное СЗИ для эффективной борьбы с такого рода атаками должны быть комплексными, с несколькими уровнями защиты, должно иметь очень высокое быстродействие, на которое не рассчитывает хакер, анализировать сетевой трафик и поведение клиентов. Одним из вариантов СЗИ для виртуализированной среды Windows Server является 5nine Cloud Security.
Он интегрирован в виртуальный коммутатор Windows Server 2012/2016, включает в себя безагентный антивирус, виртуальный межсетевой экран и систему обнаружения вторжений (IDS) в одном централизованно управляемом программном продукте. Как 5nine Cloud Security может помочь вам в защите от атак, подобных WannaCry?
Межсетевой экран изолирует сегменты инфраструктуры предприятия и не дает распространяться вирусу по виртуальной сети.
WannaСry пытается распространяться в сети через уязвимость в SMBv1 путем перебора IP-адресов через порт 445. Система обнаружения вторжений (IDS) анализирует сетевой трафик и предупреждает пользователя о необычной активности на портах сети. Это позволяет определить источник атаки и заблокировать угрозу.
5nine Network Scanner сканирует весь http-трафик как внутри виртуальной среды, так и при обмене с физическим сетями на наличие вирусов, что позволит определить угрозу до заражения виртуальных машин (ВМ).
При попадании в память ВМ вирус будет обнаружен и перемещен в карантин при помощи системы Active Protection или безагентного антивирусного сканирования. Технологии 5nine позволяют сделать это до 70 раз быстрее, чем другие производители за счет инкрементального сканирования, основанного на анализе системы записи виртуальных дисков. Вирус не успевает выполнить операции проникновения и активации. Он детектируется и обезвреживается при помощи антивирусов ведущих вендоров: Bitdefender или Лаборатории Касперского.
Интеграция с операционной системой Windows Server на уровне гипервизора до 30% уменьшает нагрузку на ресурсы сервера при антивирусном сканировании, что позволяет поддерживать работу информационных систем предприятия даже при массированной атаке.