VMware Live Recovery (VLR) продолжает обеспечивать надёжную кибер- и информационную устойчивость для VMware Cloud Foundation 9 (VCF), предлагая унифицированную защиту и безопасное восстановление после инцидентов ИБ. Помимо возможностей кибервосстановления, VMware Live Recovery остаётся основой корпоративного оркестратора аварийного восстановления в различных топологиях на базе VCF и включает расширенную репликацию vSphere между сайтами с RPO до одной минуты для поддержки критически важных приложений. VMware Live Recovery также интегрирован с функциями защиты данных хранилища VMware vSAN ESA. Всё более глубокая интеграция между VLR и основными компонентами VCF, такими как vSAN, выделяет решение на фоне конкурентов и усиливает ценность единой платформы для клиентов.
С последним релизом VMware Cloud Foundation 9 в решение VMware Live Recovery были добавлены следующие ключевые улучшения:
VLR Appliance – упрощённое развертывание и управление сервисами
Интеграция с VMware Cloud Foundation – улучшенный доступ к данным защиты
Улучшенная интеграция Protection Group и Recovery Plan с защитой данных vSAN
Кибервосстановление – поддержка сценариев на стороне заказчика, повышение суверенитета данных
VLR Appliance – упрощённое развертывание и управление сервисами
Теперь клиенты могут управлять всеми операциями восстановления с помощью одного виртуального модуля VLR. Это обновление позволяет использовать единую, комбинированную, простую в установке и управлении виртуальную машину, упрощающую управление жизненным циклом решения для нескольких сервисов защиты.
В новом объединённом устройстве VLR консолидации подверглись следующие сервисы защиты и восстановления:
Расширенная репликация между сайтами на базе vSphere
Снапшоты на базе vSAN на заданных (исходном/целевом) сайтах vSAN ESA
Автоматизация и оркестрация Site Recovery
Этот релиз VLR Appliance доступен всем клиентам с подпиской VLR, а также владельцам бессрочных лицензий SRM с действующей поддержкой SnS или временной подпиской. Новый модуль можно установить на сервер vCenter для объединения ранее установленных компонентов, как показано ниже:
Информация по развертыванию
Виртуальный модуль VLR Appliance поставляется в двух вариантах:
Основной объединённый модуль.
Дополнительный модуль службы восстановления для расширенных сценариев оркестрации аварийного восстановления, например, при использовании общих сайтов восстановления.
Важно отметить, что новый модуль VLR будет единственным вариантом, совместимым с VCF, но при этом сохраняет обратную совместимость с более старыми версиями ESX и vCenter (8.0 U3b+, 8.0 U2d+), чтобы обеспечить корректную межсайтовую работу и совместимость при переходе клиентов на новую платформу VCF. Как всегда, рекомендуется использовать инструмент совместимости продуктов VMware перед обновлениями — в данном случае, чтобы сравнить компоненты VMware Live Site Recovery и VMware Cloud Foundation.
Расширенная репликация vSphere теперь включена в унифицированную модель развертывания VLR и обеспечивает более масштабируемую и эффективную репликацию с возможностью RPO до одной минуты.
Важно: расширенная репликация vSphere теперь является конфигурацией по умолчанию и единственно поддерживаемой для репликации между сайтами. Для сайтов, использующих старые версии vSphere Replication, перед установкой нового модуля VLR потребуется обновление до Enhanced vSphere Replication. Подробности об обновлении см. в документации. Если используется репликация на уровне СХД (array-based replication), необходимо установить SRA и array-менеджеры на новое устройство VLR и настроить их отдельно. Для дополнительной информации о выпуске этого VLR Appliance см. документацию по VMware Live Recovery Appliance.
Интеграция с VMware Cloud Foundation – лучший доступ к данным защиты
Платформа VMware Cloud Foundation поддерживает одновременную работу как традиционных виртуальных машин, так и модернизированных рабочих нагрузок. Совместимость VMware Live Recovery была обновлена, особенно в части свойств виртуальных машин для поддержки переключения (failover) и возврата (failback). Подробности о поддержке защищённых, управляемых сервисами ВМ доступны в документации.
Теперь VLR интегрирован в консоль операций VCF, что позволяет клиентам отслеживать все развертывания защиты данных VCF из единого интерфейса. Эта интеграция охватывает кибервосстановление, аварийное восстановление, репликацию vSphere, репликацию vSAN и удалённые снапшоты (remote snapshots).
Панель Data Protection & Recovery в VCF Operations для VMware Live Recovery предоставляет критически важную информацию в одном месте. Пользователи могут быстро оценить:
Сколько виртуальных машин защищено и подлежит восстановлению.
Какие ВМ в данный момент не защищены.
Ёмкость защищённого хранилища и возможности её масштабирования под нужды ИТ-инфраструктуры.
Для более глубокого анализа можно установить VLR и VR Management Packs, чтобы получить доступ к предустановленным дэшбордам. Пример дэшборда верхнего уровня:
Улучшенная интеграция групп защиты (Protection Groups) и планов восстановления (Recovery Plans) с защитой данных vSAN
Устройство VLR Appliance поддерживает службы Data Protection Snapshot Management Services для vSAN ESA и обеспечивает более глубокую интеграцию в оркестрационную платформу VMware Live Recovery. Для хранилищ на базе vSAN ESA благодаря интеграции с VLR теперь доступны три ключевые функции:
Чтобы упростить защиту виртуальных машин, конфигурации групп защиты (Protection Groups) автоматически обнаруживаются и доступны как через интерфейс vSAN Data Protection UI, так и через VMware Live Site Recovery, что существенно упрощает администрирование защиты и восстановления в масштабах всей инфраструктуры предприятия.
Кибервосстановление – поддержка локальных сценариев и повышение суверенитета данных
С этим релизом VCF и новой версией VLR клиенты могут использовать утверждённую VMware архитектуру (VMware Validated Solution), реализованную как драфт для версии 9.0, для создания локальной зоны кибервосстановления (clean room). Эта архитектура использует:
Домен рабочих нагрузок VCF как изолированную clean room.
Кластер хранения vSAN ESA как защищённое кибер-хранилище (cyber data vault).
vDefend для сетевой изоляции.
VMware Live Recovery для оркестрации процессов восстановления.
Теперь организации, которым необходимо соблюдать требования к конфиденциальности данных или территориальной принадлежности (data residency), могут обеспечивать суверенитет данных, не передавая их в публичное облако, а размещая инфраструктуру восстановления в локальной среде VCF clean room.
Общая архитектура такого сценария показана на схеме ниже:
Последний релиз VMware Cloud Foundation (VCF) и обновления VMware Live Recovery (VLR) включают важные усовершенствования, направленные на удовлетворение современных требований ИТ-организаций к защите и восстановлению данных. Чтобы узнать больше о глубокой интеграции всех средств защиты, упрощённых методах развертывания и управления, а также расширенных возможностях сценариев восстановления — ознакомьтесь с материалами по следующим ссылкам: VMware Live Recovery и документация по VLR.
Таги: VMware, Live Recovery, Update, VCF, Security, Replication
Недавно компания VMware обновила свой распределенный сетевой экран vDefend 9 в рамках релиза VMware Cloud Foundation 9.0. Новые усовершенствования включают поддержку lateral security с учетом среды VPC, самостоятельную микро-сегментацию, упрощённую миграцию vDefend в VCF и централизованное глобальное управление IDS/IPS-политиками для ускоренного реагирования на угрозы и их устранения.
Современные предприятия стремительно внедряют стратегию частного облака в своих инфраструктурах. Недавнее исследование, охватившее 1 800 руководителей высокого уровня, показало, что их организации отдают приоритет частным облакам для решения проблем, связанных со стоимостью, необходимостью предсказуемости, требованиями AI-нагрузок, lateral security и соблюдением нормативных требований.
Поскольку цифровые компании всё активнее делают ставку на частные облачные стратегии, ИТ- и службы безопасности сталкиваются с задачей максимально быстрого и эффективного обеспечения защиты рабочих нагрузок. Поскольку большинство атак программ-вымогателей включает боковое распространение угроз с целью поиска ценных активов, стратегии кибербезопасности эволюционируют в сторону защиты как критичных, так и некритичных нагрузок во всех частных облаках.
vDefend — это ведущая программно-определяемая, интегрированная с гипервизором система боковой безопасности (lateral security), созданная специально для комплексной защиты каждой рабочей нагрузки в среде VMware Cloud Foundation (VCF). vDefend внедряет надёжные встроенные средства сетевой безопасности непосредственно в архитектуру VCF. Решение позволяет быстро внедрять, управлять и масштабировать микро-сегментацию и защиту от угроз, ускоряя реализацию стратегий нулевого доверия в организации.
Новые возможности vDefend для VCF 9.0
Боковая безопасность с поддержкой VPC (VPC-Aware Lateral Security): теперь пользователи могут применять vDefend на уровне виртуального частного облака (VPC), внедряя изолированные и управляемые политики боковой безопасности для каждого арендатора/потребителя. Это обеспечивает точный контроль и делегированное управление, упрощая многопользовательские среды.
Самостоятельная микросегментация (Self-Service Micro-segmentation): команды инфраструктуры создают централизованные политики межсетевого экранирования для «огороженных» зон приложений. В версии vDefend 9.0 владельцам приложений можно делегировать создание детализированных политик внутри этих зон. Автоматизация возможна через API в рамках DevOps CI/CD-процессов.
Интеграция импорта в VCF (VCF Import Integration): существующие развертывания vDefend вне VCF могут быть импортированы в среду VCF 9.0 с сохранением политик, что снижает усилия по миграции. Это упрощает и ускоряет переход на полнофункциональную платформу VCF.
Глобальное управление IDS/IPS-политиками (Global Policy Management): централизованное управление политиками предотвращения и обнаружения вторжений на разных площадках обеспечивает единообразие политики и ускоренное реагирование на угрозы вне зависимости от местоположения рабочих нагрузок.
Портал сигнатур IDS/IPS (Signature Portal): позволяет в реальном времени изучать изменения сигнатур без входа в консоль vDefend, что оптимизирует рабочие процессы, повышает осведомлённость об угрозах и ускоряет реагирование на инциденты.
Фильтрация по геолокации (Geo-IP Filtering): межсетевой экран шлюза vDefend теперь может управлять трафиком с учётом географии, разрешая или блокируя подключения к определённым странам прямо на шлюзе уровня T0, обеспечивая точный контроль глобальных потоков.
Интеграция vDefend с VCF 9.0 делает передовые меры безопасности более доступными, учитывающими многопользовательскую среду и централизованно управляемыми, превращая безопасность из препятствия в встроенную возможность.
Боковая безопасность с поддержкой VPC
Многопользовательская архитектура — основа корпоративного ИТ, но достижение полной изоляции как на уровне данных, так и управления всегда было сложной задачей. Внедрение VPC значительно улучшило ситуацию, позволив разделять как каналы передачи данных, так и управляющие плоскости в сетевой и безопасной архитектуре, обеспечивая более детальную изоляцию на уровне приложений, часто под управлением DevOps-команд.
С выпуском VMware Cloud Foundation (VCF) 9.0, vDefend расширяет возможности боковой безопасности, предоставляя полноценную изоляцию сетей на уровне VPC с помощью микро-сегментации, пропуская только доверенный трафик между приложениями. Это улучшение позволяет делегировать управление: администратор каждого VPC может видеть и настраивать только собственную среду. Команды теперь могут работать параллельно, обладая полной самостоятельностью и изоляцией, делая безопасную многопользовательскую работу в частном облаке реальностью.
Self-service микросегментация
Межсетевой экран vDefend предоставляет возможности как администраторам инфраструктуры, так и владельцам VPC. Администраторы инфраструктуры могут создавать защищённые виртуальные частные облака (VPC), сводя к минимуму горизонтальный (east-west) трафик. Одновременно с этим владельцы VPC получают гибкость в настройке детализированных правил для своих приложений, обеспечивая их работоспособность без нарушения централизованных политик безопасности. Такой подход способствует внедрению модели «самообслуживания» в вопросах безопасности для конечных пользователей при сохранении общего уровня защищённости организации.
Бесшовная миграция с импортом в VCF
Существующие развертывания vDefend вне VMware Cloud Foundation (VCF) можно легко импортировать в среду VCF 9.0 с сохранением текущих политик межсетевого экрана vDefend. Это снижает затраты и усилия, связанные с таким переходом. Упрощённый процесс миграции позволяет клиентам эффективно перейти на полнофункциональную платформу VCF, без необходимости начинать всё с нуля.
Упрощённое и централизованное управление IDS/IPS-политиками в многокомпонентных VCF-средах с поддержкой изолированных (air-gapped) сред
Крупные, многокомпонентные (федеративные) среды VCF требуют единых, масштабируемых политик безопасности IDS/IPS и централизованного управления сигнатурами, при этом операции должны оставаться простыми и эффективными. Теперь клиенты могут внедрять глобальные политики IDS/IPS во всех распределённых развертываниях VCF с помощью централизованного управления, обеспечивая единообразие защиты на уровне всей организации.
Кроме того, возможность назначать несколько пакетов сигнатур IDS/IPS позволяет пользователям применять конкретные наборы сигнатур в нужных местах своих развертываний VCF. Для изолированных (air-gapped) сред поддерживается доставка пакетов сигнатур IDS/IPS на локальные управляющие узлы (Local Managers), даже при отсутствии подключения к интернету и наличии ограничений по соблюдению требований безопасности.
В совокупности эти возможности обеспечивают единообразное и централизованное управление политиками предотвращения угроз в многокомпонентных развертываниях VCF. Все события IDS/IPS отображаются в единой консоли управления.
Мониторинг в реальном времени с новым порталом сигнатур IDS/IPS
Поддержание актуальности защитных механизмов — критически важная задача; предприятия полагаются на частые обновления сигнатур, чтобы опережать новые угрозы. Хотя vDefend уже позволяет легко загружать и просматривать актуальные пакеты сигнатур IDS/IPS через свою консоль, аналитикам по безопасности зачастую требуется более глубокое понимание — например, определение новшеств в каждом пакете, отслеживание истории версий, поиск сигнатур по конкретным уязвимостям (CVE) или по определённым шаблонам атак, таким как каналы управления и контроля (Command and Control).
В новом портале сигнатур IDS/IPS VMware представила мощный инструмент, который позволяет операторам исследовать обновления сигнатур в реальном времени — без необходимости входа в консоль vDefend. Благодаря удобному веб-доступу портал позволяет командам изучать сигнатуры, искать покрытия по конкретным угрозам, сравнивать версии и экспортировать списки сигнатур. Эта возможность не только упрощает начальное планирование и развертывание, но и способствует более эффективному взаимодействию команд и ускоренному реагированию, повышая осведомлённость об угрозах и улучшая реагирование на инциденты в масштабе всей организации.
Точный контроль трафика с геозональной фильтрацией по странам
Администраторы инфраструктуры теперь могут разрешать или блокировать входящий и исходящий трафик на уровне межсетевого экрана шлюза vDefend в зависимости от конкретного географического расположения. Эта новая возможность обеспечивает точное, адресное управление трафиком, усиливает уровень безопасности и способствует соблюдению нормативных требований.
Более подробно о VMware vDefend 9 можно узнать на странице продукта. Release Notes доступны тут.
Дункан Эппинг рассказал о том, как можно убедиться, что ваши диски VMware vSAN зашифрованы.
Если у вас включена техника шифрования "vSAN Encryption – Data At Rest", то вы можете проверить, что действительно данные на этих дисках зашифрованы в разделе настроек vSAN в клиенте vSphere Client. Однако вы можете сделать это и на уровне хоста ESXi, выполнив команду:
esxcli vsan storage list
Как вы можете увидеть из вывода команды, для шифрования указан параметр Encryption: true.
Второй момент - вам надо убедиться, что служба управления ключами шифрования Key Management System доступна и работает как положено. Это вы можете увидеть в разделе vSAN Skyline Health клиента vSphere:
Дункан также обращает внимание, что если вы используете Native Key Server и получаете ошибку "not available on host", проверьте, опцию "Use key provider only with TPM". Если она включена, то вы должны иметь модуль TPM для корректной работы механизмов шифрования. Если у вас модуля такого нет - просто снимите эту галочку.
Интеграция VMware vCenter Server с Active Directory (AD) позволяет централизовать управление учетными записями и упростить администрирование доступа. Вместо локальной базы пользователей vCenter можно использовать доменную инфраструктуру AD или другой LDAP-сервис как единый источник аутентификации. Это означает, что администраторы vSphere смогут применять те же учетные записи и группы, что и для остальных ресурсов сети, для доступа к объектам vSphere.
VMware/Broadcom представили новую сертификацию — VMware Certified Professional – Private Cloud Security Administrator (VCP-PCS), которая подтверждает квалификацию специалистов по обеспечению безопасности в среде VMware Cloud Foundation (VCF) с использованием решений VMware vDefend. Это важный шаг в направлении усиления защиты частных облаков, особенно в условиях растущего спроса на модели Zero Trust и комплексные меры кибербезопасности.
Что представляет собой VCP-PCS?
Сертификация VCP-PCS предназначена для специалистов, отвечающих за безопасность VCF, включая:
Архитекторов и инженеров облачной инфраструктуры
Администраторов виртуальной инфраструктуры
Системных администраторов
Специалистов по поддержке и внедрению решений
VCP-PCS подтверждает способность кандидата:
Настраивать и управлять распределёнными и шлюзовыми межсетевыми экранами
Реализовывать защиту от продвинутых угроз
Внедрять архитектуру Zero Trust с использованием VMware vDefend
Использовать аналитические инструменты и средства безопасности для мониторинга и реагирования на инциденты
Подготовка и экзамен
Для получения сертификации необходимо:
1. Пройти обучение
Курс: VMware vDefend Security for VCF 5.x Administrator
Темы: архитектура vDefend, управление политиками безопасности, практическое применение в VCF
2. Сдать экзамен
Название: VMware vDefend Security for VCF 5.x Administrator (6V0-21.25)
Формат: 75 вопросов (множественный выбор и множественные ответы)
Обеспечивать безопасность в современных частных облаках
Внедрять и поддерживать архитектуру Zero Trust
Использовать инструменты VMware vDefend для защиты инфраструктуры
Это особенно актуально для организаций, стремящихся усилить защиту своих облачных сред и соответствовать современным требованиям безопасности. Если вы стремитесь углубить свои знания в области безопасности частных облаков и повысить свою профессиональную ценность, сертификация VCP-PCS станет отличным выбором. Она подтверждает вашу экспертизу в одной из самых востребованных областей современной IT-инфраструктуры.
Виртуальные модули VMware NSX Edge Appliances играют ключевую роль в инфраструктуре VMware NSX, обеспечивая маршрутизацию север-юг, функции межсетевого экрана, балансировку нагрузки и VPN-сервисы. Потеря доступа к NSX Edge из-за забытого или истёкшего пароля может нарушить работу системы и ограничить возможности управления. В этой статье мы рассмотрим процедуру сброса пароля для устройства NSX Edge. Описанная ниже процедура подходит для сброса паролей на виртуальных модулях NSX Manager, Edge и Cloud Service Manager.
Чтобы сбросить пароль root, используйте следующую процедуру:
Войдите в графический интерфейс NSX > System > Nodes > Edge Cluster > выберите узел Edge > кликните правой кнопкой мыши > выберите «Put into Maintenance Mode», чтобы перевести хост Edge в режим обслуживания.
Войдите в vCenter, найдите виртуальную машину Edge и установите задержку загрузки (boot delay) на 9000.
Подключитесь к консоли виртуального модуля Edge Appliance.
Перезагрузите систему.
Когда появится меню загрузчика GRUB, быстро нажмите левую клавишу SHIFT или ESC. Если вы не успеете, и процесс загрузки продолжится, необходимо будет перезагрузить систему снова.
Нажмите e, чтобы отредактировать пункт меню. Выберите верхнюю строку с Ubuntu, затем введите имя пользователя root и пароль GRUB для пользователя root (он отличается от пароля пользователя root на самом устройстве). Пароль по умолчанию — NSX@VM!WaR10 (скорее всего, вы его не меняли).
Нажмите e, чтобы отредактировать выбранный пункт. Найдите строку, начинающуюся с linux, и добавьте в конец этой строки следующее: systemd.wants=PasswordRecovery.service
Нажмите Ctrl+X, чтобы продолжить загрузку. Когда появятся последние сообщения журнала, введите новый пароль для пользователя root.
Введите пароль ещё раз. Загрузка продолжится.
После перезагрузки вы можете убедиться в смене пароля, выполнив вход под пользователем root с новым паролем. С помощью входа под root вы также можете изменить пароли пользователей admin и audit, если потребуется.
Заключительный шаг — вывести узел Edge из режима обслуживания.
Разбор сложного HTML — это, безусловно, непростая задача, даже с PowerShell. Вильям Лам недавно пытался использовать бесплатную версию ChatGPT и новую модель 4o, чтобы сделать функцию на PowerShell для парсинга HTML, но он постоянно сталкивался с системными ограничениями, а AI часто неправильно понимал, чего от него хотят.
По запросу одного из пользователей он пытался расширить свою статью в блоге за 2017 год об автоматизации глобальных прав vSphere и добавить поддержку их вывода через PowerCLI.
Оказалось, что получить список всех текущих глобальных прав окружения VMware vSphere через приватный API vSphere Global Permissions с помощью vSphere MOB крайне трудно из-за сложного HTML, который рендерит этот интерфейс. На самом деле, Вильяму понадобилось 25 итераций, прежде чем он нашёл рабочее решение с помощью модели ChatGPT 4o. В нескольких попытках прогресс даже откатывался назад — и это было довольно раздражающе.
В итоге, теперь есть файл GlobalPermissions.ps1, который содержит новую функцию Get-GlobalPermission. Эта функция извлекает все глобальные права vSphere, включая имя субъекта (principal), назначенную роль vSphere и то, где именно эта роль определена (глобальное право или право в рамках inventory сервера vCenter).
Ниже приведён пример использования новой функции — перед этим потребуется выполнить Connect-VIServer, чтобы можно было сопоставить ID роли vSphere, полученный из функции, с её реальным именем, которое возвращается встроенным командлетом PowerCLI.
В видеоролике ниже рассматривается то, как включить Virtualization-Based Security (VBS) в гостевых операционных системах Windows, работающих в среде VMware Cloud Foundation и vSphere:
Что такое Virtualization-Based Security (VBS)?
VBS — это технология безопасности от Microsoft, использующая возможности аппаратной виртуализации и изоляции для создания защищённой области памяти. Она используется для защиты критически важных компонентов операционной системы, таких как Credential Guard и Device Guard.
Предварительные требования
Перед тем как включить VBS, необходимо убедиться в выполнении следующих условий:
Active Directory Domain Controller
Необходим для настройки групповой политики. В демонстрации он уже создан, но пока выключен.
Загрузка через UEFI (EFI)
Виртуальная машина должна использовать загрузку через UEFI, а не через BIOS (legacy mode).
Secure Boot
Желательно включить Secure Boot — это обеспечивает дополнительную защиту от вредоносных программ на стадии загрузки.
Модуль TPM (Trusted Platform Module)
Не обязателен, но настоятельно рекомендуется. Большинство руководств по безопасности требуют его наличия.
Настройка VBS в VMware
Перейдите к параметрам виртуальной машины в Edit Settings.
Убедитесь, что:
Используется UEFI и включен Secure Boot.
Включена опция "Virtualization-based security" в VM Options.
Виртуализация ввода-вывода (IO MMU) и аппаратная виртуализация будут активированы после перезагрузки.
Важно: Если переключаться с legacy BIOS на EFI, ОС может перестать загружаться — будьте осторожны.
Настройка VBS внутри Windows
После включения параметров на уровне гипервизора нужно активировать VBS в самой Windows:
Turn on Virtualization Based Security – активировать.
Secure Boot and DMA Protection – да.
Virtualization-based protection of Code Integrity – включить с UEFI Lock.
Credential Guard – включить.
Secure Launch Configuration – включить.
Примечание: Если вы настраиваете контроллер домена, обратите внимание, что Credential Guard не защищает базу данных AD, но защищает остальную ОС.
Перезагрузите виртуальную машину.
Проверка работоспособности VBS
После перезагрузки:
Откройте System Information и убедитесь, что:
Virtualization Based Security включена.
MA Protection работает.
redential Guard активен.
В Windows Security проверьте:
Включена ли Memory Integrity.
Активна ли защита от вмешательства (Tamper Protection).
Заключение
Теперь у вас есть полностью защищённая Windows-гостевая ОС с включённой Virtualization-Based Security, Credential Guard и другими функциями. Это отличный способ повысить уровень безопасности в вашей инфраструктуре VMware.
Для получения дополнительной информации смотрите ссылки под видео.
Таги: VMware, vSphere, Security, VMachines, Windows
В начале 2025 года в индустрии информационной безопасности стали появляться заявления о том, что «эра программ-вымогателей подошла к концу». Такие утверждения подкреплялись новостями о задержаниях ключевых членов известных кибергруппировок и о значительном снижении общих объемов выкупов, выплаченных жертвами. Однако реальная картина куда сложнее. Несмотря на частичный успех правоохранительных органов, говорить о полном искоренении вымогателей пока рано.
Реальные успехи: что удалось сделать
Бесспорно, 2024 и начало 2025 года стали весьма продуктивными в борьбе с киберпреступностью:
Задержания участников группировки Phobos. В феврале 2025 года Европол сообщил об аресте четырёх предполагаемых участников кибергруппировки Phobos. Эта группировка специализировалась на атаках на малые и средние бизнесы, используя шифровальщики с классическими методами социальной инженерии и RDP-брутфорс.
Уничтожение 8Base. Одновременно с операцией против Phobos, ФБР и международные партнёры провели успешную операцию по деактивации группы 8Base — относительно молодой, но весьма агрессивной группировки, использовавшей методы двойного вымогательства: шифрование данных плюс угроза их публикации.
Снижение объёмов выкупов. По данным Chainalysis, в 2024 году совокупная сумма выкупов, выплаченных киберпреступникам, снизилась на треть по сравнению с предыдущим годом. Это объясняется как ростом отказов платить со стороны компаний, так и усилившейся эффективностью мер реагирования.
Почему «победа» — преждевременное заявление
Несмотря на вышеуказанные достижения, эксперты в области кибербезопасности предупреждают: вымогатели никуда не исчезли. Вот ключевые факторы, свидетельствующие о продолжающейся угрозе:
1. Адаптация тактик и технологий
Киберпреступники постоянно модернизируют свои подходы. Один из ярких примеров — активное внедрение искусственного интеллекта в арсенал злоумышленников. AI помогает:
создавать правдоподобные фишинговые письма;
автоматизировать выбор целей на основе уязвимостей;
маскировать вредоносный код от систем обнаружения.
Это делает вымогателей менее заметными и более «эффективными» в смысле проникновения в защищённые сети.
2. Расширение каналов атак
Если раньше основными векторами были RDP и фишинг, то сегодня наблюдается рост атак через:
Уязвимости в популярных продуктах (например, недавно эксплуатировались дыры в MOVEit, Ivanti и Confluence)
Сторонние подрядчики и цепочки поставок
Скомпрометированные обновления программного обеспечения
Таким образом, даже хорошо защищённые компании могут стать жертвами через своих партнёров.
3. Географическая миграция
После давления со стороны западных спецслужб часть группировок сменила географию своей активности. Наблюдается усиление атак на организации в Южной Америке, Азии и Африке, где уровень готовности к киберугрозам часто ниже, чем в США и ЕС.
Тенденции и прогнозы
На основе анализа текущей ситуации можно выделить несколько ключевых трендов:
Рост Ransomware-as-a-Service (RaaS). Преступные группировки предоставляют шифровальщики и инфраструктуру «в аренду» менее опытным хакерам. Это способствует широкому распространению атак, даже со стороны непрофессиональных злоумышленников.
Двойное и тройное вымогательство. Помимо шифрования и угроз публикации, злоумышленники стали использовать метод давления на клиентов атакуемых компаний — рассылая им угрозы или раскрывая утечку напрямую.
Обход систем EDR/XDR. Новые версии вредоносных программ разрабатываются с учётом слабых мест современных средств обнаружения угроз, что требует от ИБ-команд постоянной адаптации.
Что делать специалистам по информационной безопасности?
Чтобы не стать жертвой программ-вымогателей, технические специалисты должны применять многоуровневый подход:
1. Укрепление периметра
Отключение неиспользуемых RDP-доступов
Применение многофакторной аутентификации
Ограничение доступа по принципу наименьших привилегий (PoLP)
2. Контроль над уязвимостями
Регулярный скан уязвимостей (в том числе внутренних)
Быстрое закрытие критических CVE (особенно в веб-интерфейсах и шлюзах)
3. Разделение инфраструктуры
Использование сетевых сегментов
Ограничение доступа между подразделениями
Изоляция критичных серверов от общего доступа
4. Подготовка к инцидентам
Наличие чётких процедур IRP (incident response plan)
Регулярные учения с симуляцией атак (tabletop exercises)
Проверка работоспособности бэкапов и времени восстановления
Использование immutable (неизменяемых) резервных копий
Вывод
Несмотря на оптимистичные заявления, программа-вымогатели остаются значительной угрозой для организаций всех масштабов. Да, международные операции наносят удары по крупным группировкам. Да, суммы выкупов снижаются. Но сама модель кибервымогательства — децентрализованная, легко копируемая и всё ещё прибыльная — продолжает жить и развиваться.
Техническим специалистам и командам информационной безопасности нельзя терять бдительность. Актуальные знания, автоматизация защиты и постоянное совершенствование практик — ключевые условия выживания в условиях современных киберугроз.
Компания Veeam выпустила исправление для критической уязвимости удалённого выполнения кода (RCE) под идентификатором CVE-2025-23120, обнаруженной в программном обеспечении Veeam Backup & Replication. Уязвимость затрагивает развертывания, где сервер резервного копирования работает в составе домена AD.
Информация об уязвимости была опубликована около недели назад - она затрагивает версию Veeam Backup & Replication 12.3.0.310 и все более ранние сборки 12-й версии. Компания устранила проблему в версии 12.3.1 (сборка 12.3.1.1139), которая была выпущена несколько дней назад.
Согласно техническому отчёту от компании watchTowr Labs, которая обнаружила данную ошибку, CVE-2025-23120 представляет собой уязвимость десериализации в .NET-классах Veeam.Backup.EsxManager.xmlFrameworkDs и Veeam.Backup.Core.BackupSummary.
Уязвимость десериализации возникает, когда приложение неправильно обрабатывает сериализованные данные, позволяя злоумышленникам внедрять вредоносные объекты («гаджеты»), способные запускать опасный код.
В прошлом году компания Veeam исправляла похожую уязвимость удалённого выполнения кода (RCE), обнаруженную исследователем Флорианом Хаузером. Чтобы устранить проблему, Veeam внедрила чёрный список известных классов или объектов, которые могли использоваться для атак.
Однако специалисты компании watchTowr смогли найти другую цепочку гаджетов, не включённую в чёрный список, что позволило им снова добиться удалённого выполнения кода.
«В общем, вы, наверное, уже догадались, к чему всё идёт — похоже, что Veeam, несмотря на то, что остаётся любимой игрушкой группировок, распространяющих программы-вымогатели, не усвоила урок после исследования, опубликованного Frycos. Как вы уже поняли — они вновь исправили проблемы десериализации, просто добавив новые записи в свой чёрный список десериализации.»
Хорошая новость в том, что эта уязвимость затрагивает только те установки Veeam Backup & Replication, которые присоединены к домену. Плохая — любой доменный пользователь способен эксплуатировать данную уязвимость, что делает её особенно опасной в таких конфигурациях.
К сожалению, многие компании всё ещё подключают свои серверы Veeam к доменам Windows, игнорируя давно рекомендованные разработчиком правила безопасности.
Представители группировок, использующих программы-вымогатели, ранее уже сообщали, что серверы Veeam Backup & Replication всегда являются их целью, так как обеспечивают удобный способ похищать данные и препятствовать восстановлению систем, удаляя резервные копии. Эта новая уязвимость ещё больше повышает привлекательность серверов Veeam для злоумышленных группировок, так как она значительно упрощает взлом таких серверов.
Несмотря на отсутствие на текущий момент сообщений о реальных случаях эксплуатации уязвимости, watchTowr уже раскрыла достаточное количество технических деталей, поэтому в ближайшее время вполне вероятно появление общедоступного эксплойта (PoC). Компании, использующие Veeam Backup & Replication, должны максимально оперативно обновиться до версии 12.3.1.
Также, учитывая пристальное внимание группировок-вымогателей к данному приложению, настоятельно рекомендуется пересмотреть лучшие практики безопасности Veeam Backup и отключить серверы от домена.
В современной динамично развивающейся сфере информационных технологий автоматизация уже не роскошь, а необходимость. Команды, отвечающие за безопасность, сталкиваются с растущей сложностью управления политиками сетевой безопасности, что требует эффективных и автоматизированных решений. Межсетевой экран vDefend, интегрированный с VMware NSX, предлагает мощные возможности автоматизации с использованием различных инструментов и языков сценариев. Выпущенное недавно руководство "Beginners Guide to Automation with vDefend Firewall" рассматривает стратегии автоматизации, доступные в vDefend, которые помогают ИТ-специалистам упростить рабочие процессы и повысить эффективность обеспечения безопасности.
Понимание операций CRUD в сетевой автоматизации
Операции CRUD (Create, Read, Update, Delete) являются основой рабочих процессов автоматизации. vDefend позволяет выполнять эти операции через RESTful API-методы:
GET — получение информации о ресурсе.
POST — создание нового ресурса.
PUT/PATCH — обновление существующих ресурсов.
DELETE — удаление ресурса.
Используя эти методы REST API, ИТ-команды могут автоматизировать политики межсетевого экрана, создавать группы безопасности и настраивать сетевые параметры без ручного вмешательства.
Стратегии автоматизации для межсетевого экрана vDefend
С vDefend можно использовать несколько инструментов автоматизации, каждый из которых предлагает уникальные преимущества:
Вызовы REST API через NSX Policy API - API политики NSX Manager позволяют напрямую выполнять действия CRUD с сетевыми ресурсами. Разработчики могут использовать языки программирования, такие как Python, GoLang и JavaScript, для написания сценариев взаимодействия с NSX Manager, обеспечивая бесшовную автоматизацию задач безопасности.
Terraform и OpenTofu - эти инструменты «инфраструктура-как-код» (IaC) помогают стандартизировать развертывание сетей и политик безопасности. Используя декларативные манифесты, организации могут определять балансировщики нагрузки, правила межсетевого экрана и политики безопасности, которые могут контролироваться версионно и развертываться через CI/CD-конвейеры.
Ansible - этот инструмент часто применяется для развертывания основных компонентов NSX, включая NSX Manager, Edge и транспортные узлы. ИТ-команды могут интегрировать Ansible с Terraform для полной автоматизации конфигурации сети.
PowerCLI — это модуль PowerShell для VMware, который позволяет администраторам эффективно автоматизировать конфигурации межсетевых экранов и политик сетевой безопасности.
Aria Automation Suite - платформа Aria обеспечивает оркестрацию задач сетевой безопасности корпоративного уровня. Она включает:
Aria Assembler — разработка и развертывание облачных шаблонов для настройки безопасности.
Aria Orchestrator — автоматизация сложных рабочих процессов для управления безопасностью NSX.
Aria Service Broker — портал самообслуживания для автоматизации сетевых и защитных операций.
Ключевые основы работы с API
Для эффективного использования возможностей автоматизации vDefend важно понимать архитектуру его API:
Иерархическая структура API: API NSX построен по древовидной структуре с ресурсами в отношениях родитель-потомок.
Пагинация с курсорами: большие наборы данных разбиваются на страницы с использованием курсоров для повышения эффективности запросов.
Порядковые номера: правила межсетевого экрана выполняются сверху вниз, приоритет отдается правилам с меньшими порядковыми номерами.
Методы аутентификации: вызовы API требуют аутентификации через базовую авторизацию, сеансовые токены или ключи API.
Пример полномасштабной автоматизации
Реальный сценарий автоматизации с использованием vDefend включает:
Сбор информации о виртуальных машинах — идентификацию ВМ и получение тегов безопасности.
Присвоение тегов ВМ — назначение меток для категоризации ресурсов.
Создание групп — динамическое формирование групп безопасности на основе тегов ВМ.
Определение пользовательских служб — создание пользовательских сервисов межсетевого экрана с конкретными требованиями к портам.
Создание политик и правил межсетевого экрана — автоматизация развертывания политик для применения мер безопасности.
Например, автоматизированное правило межсетевого экрана для разрешения HTTPS-трафика от группы веб-серверов к группе приложений будет выглядеть следующим образом в формате JSON:
VMware Validated Solutions – это проверенный портфель технически валидированных решений, разработанных для того, чтобы помочь клиентам создавать безопасную, высокопроизводительную, устойчивую и эффективную инфраструктуру для их приложений и рабочих нагрузок, развернутых в облаке VMware Cloud Foundation. Эти решения предлагают систематический подход к быстрому и эффективному развертыванию, охватывая планирование и подготовку, принятие проектных решений, реализацию, эксплуатационные рекомендации и совместимость решений. Кроме того, многие из таких решений могут автоматизировать значительную часть процесса развертывания. Примером такого решения служит VMware Private AI Ready Validated Solution.
Lateral Security for VMware Cloud Foundation with VMware vDefend – это хорошо продуманное, модульное решение, которое направляет процесс проектирования, внедрения и эксплуатации VMware vDefend для защиты компонентов управления и рабочих нагрузок VMware Cloud Foundation. О нем мы подробно писали вот тут.
Создание безопасной инфраструктуры является ключевым фактором в обеспечении защиты рабочих нагрузок частного облака клиентов с первого дня. Решение этой задачи может оказаться сложным для администраторов без специализированных знаний. Настройка и управление безопасными средами требуют глубокого понимания инфраструктуры и специфики сетевого взаимодействия приложений.
Использование проверенного решения Lateral Security for VMware Cloud Foundation with VMware vDefendпозволяет организациям эффективно решать эти задачи и уверенно защищать свои частные облака и рабочие нагрузки с помощью проверенных конфигураций и индивидуальных рекомендаций.
Что входит в решение?
Решениеосновывается на лучших принципах проектирования Broadcom для использования продуктов и функций безопасности VMware vDefend в средах VMware Cloud Foundation.
Оно включает в себя проектные решения и автоматизированные шаги по защите компонентов домена управления VMware Cloud Foundation, а также упрощенные рекомендации по проектированию и внедрению макро- и микросегментации для защиты клиентских рабочих нагрузок в доменах рабочих нагрузок. Решение направляет эффективное развертывание NSX Application Platform, предоставляя важные рекомендации по выбору размеров и масштабированию для обеспечения оптимальной производительности.
Кроме того, оно предлагает руководство по использованию Security Intelligence для автоматизации и расширения возможностей защиты vDefend, обеспечивая повторяемые процессы, которые можно адаптировать для любых сред и рабочих нагрузок VMware Cloud Foundation.
Готовы углубиться и раскрыть полный потенциал продукта VMware vDefend? Вы можете получить доступ к готовому решению VMware Validated Solution по этой ссылке.
VMware vDefend – это передовая служба для VMware Cloud Foundation, обеспечивающая новейшие возможности для реализации принципов нулевого доверия (zero-trust) в области латеральной безопасности. Это единственное решение безопасности, которое предоставляет детализированную защиту компонентов управления VMware Cloud Foundation с использованием микросегментации.
Lateral Security for VMware Cloud Foundation – это корпоративное решение, позволяющее клиентам быстро и эффективно разрабатывать, планировать и развертывать защиту VMware vDefend для обеспечения безопасности инфраструктуры и рабочих нагрузок VMware Cloud Foundation.
VMware vCenter Server поставляется с рядом системных и пользовательских ролей, которые можно использовать, а также пользователи могут создавать собственные роли с необходимыми привилегиями. Если вам нужно понять, какие роли активно используются, следующий фрагмент кода PowerCLI, который сделал Дункан Эппинг, поможет получить информацию о назначенных ролях. Кроме того, скрипт также создаст файл, содержащий все привилегии, определенные для активно используемых ролей vCenter.
Недавно компания Broadcom представила защищенные адаптеры Emulex Secure Fibre Channel HBA, аппаратно шифрующие трафик между серверами и хранилищами с минимальным влиянием на производительность. Это экономичное и простое в управлении решение, которое шифрует все передаваемые данные (технология encryption data in-flight - EDIF), защищая их при перемещении между базами данных, приложениями, серверами и хранилищами...
Летом 2024 года Фрэнк Даннеман написал интересный аналитический документ «VMware Private AI Foundation – Privacy and Security Best Practices», который раскрывает основные концепции безопасности для инфраструктуры частного AI (в собственном датацентре и на базе самостоятельно развернутых моделей, которые работают в среде виртуализации).
Как многие из вас знают, мир искусственного интеллекта стремительно развивается, и с этим появляются новые вызовы, особенно в области конфиденциальности и безопасности. Этот документ не ограничивается теорией. Это практическое руководство, в котором представлены базовые концепции, структуры и модели, лежащие в основе безопасности приватного AI. В нем подробно рассматриваются ключевые аспекты конфиденциальности и безопасности в контексте ИИ, а также предоставляются инструменты, которые помогут вам внедрить эти принципы в своей работе. Вы узнаете о принципе совместной ответственности, моделировании угроз для приложений с генеративным AI, а также о триаде CIA — конфиденциальность, целостность и доступность, которая используется как основная модель информационной безопасности.
Основные моменты документа:
Преимущества Private AI в корпоративных датацентрах:
Контроль и безопасность: организации получают полный контроль над своими данными и моделями, что позволяет минимизировать риски, связанные с конфиденциальностью, и избегать зависимости от сторонних поставщиков.
Экономическая эффективность: Private AI позволяет управлять расходами на AI, избегая неожиданных затрат от сторонних сервисов и оптимизируя ИТ-бюджет.
Гибкость и инновации: быстрое тестирование и настройка AI-моделей на внутренних данных без задержек, связанных с внешними сервисами, что способствует повышению производительности и точности моделей.
Принцип совместной ответственности в Private AI:
Документ подчеркивает важность распределения обязанностей между поставщиком инфраструктуры и организацией для обеспечения безопасности и соответствия требованиям.
Моделирование угроз для Gen-AI приложений:
Рассматриваются потенциальные угрозы для генеративных AI-приложений и предлагаются стратегии их смягчения, включая анализ угроз и разработку соответствующих мер безопасности.
Модель CIA (Конфиденциальность, Целостность, Доступность):
Конфиденциальность: обсуждаются методы защиты данных, включая контроль доступа, шифрование и обеспечение конфиденциальности пользователей.
Целостность: рассматриваются механизмы обеспечения точности и согласованности данных и моделей, а также защита от несанкционированных изменений.
Доступность: подчеркивается необходимость обеспечения постоянного и надежного доступа к данным и моделям для авторизованных пользователей.
Защита Gen-AI приложений:
Предлагаются лучшие практики для обеспечения безопасности генеративных AI-приложений, включая разработку безопасной архитектуры, управление доступом и постоянный мониторинг.
Архитектура Retrieval-Augmented Generation (RAG):
Документ подробно описывает процесс индексирования, подготовки данных и обеспечения безопасности в архитектурах RAG, а также методы эффективного поиска и извлечения релевантной информации для улучшения работы AI-моделей.
В заключение, документ предоставляет всестороннее руководство по созданию и поддержке приватных AI-решений, акцентируя внимание на критически важных аспектах конфиденциальности и безопасности, что позволяет организациям уверенно внедрять AI-технологии в своих инфраструктурах.
И это еще не все. В ближайшем будущем VMware продолжает развивать эти концепции в другом аналитическом документе, посвященном настройкам VMware Cloud Foundation (VCF). Этот документ станет вашим основным ресурсом для получения подробных рекомендаций по конфигурации и оптимизации VCF, чтобы создать надежную и безопасную среду для Private AI.
В обеих версиях Microsoft Windows 10 и 11 безопасность на основе виртуализации (Virtualization Based Security, VBS) включена по умолчанию, и эта функция использует платформу Hyper-V, которая реализует технологию вложенной виртуализации (Nested Virtualization). Недавно Вильям Лам написал о том, что в связи с этим платформа VMware Workstation может выдавать ошибку.
Если вы попытаетесь запустить вложенную виртуальную машину с гипервизором ESXi в рамках Workstation под Windows, вы, скорее всего, увидите одно из следующих сообщений об ошибке в зависимости от производителя процессора:
Virtualized Intel VT-x/EPT is not supported on this platform
Virtualized AMD-V/RVI is not supported on this platform
Выглядит это так:
В то же время VMware Workstation была улучшена для совместной работы с Hyper-V благодаря новому режиму Host VBS Mode, представленному в VMware Workstation версии 17.x:
Workstation Pro uses a set of newly introduced Windows 10 features (Windows Hypervisor Platform) that permits the use of VT/AMD-V features, which enables Workstation Pro and Hyper-V to coexist. And because VBS is built on Hyper-V, Windows hosts with VBS enabled can now power on VM in Workstation Pro successfully
В документации VMware Workstation упоминаются несколько ограничений данной возможности. Тем не менее, если вам необходимо запустить вложенный ESXi под VMware Workstation, вам просто нужно отключить VBS в Windows, при условии, что у вас есть права администратора на вашем компьютере.
Шаг 1. Перейдите в раздел «Безопасность устройства» и в разделе «Основная изоляция» (Core isolation) отключите параметр «Целостность памяти» (Memory integrity), как показано на скриншоте ниже.
Шаг 2. Перезагрузите компьютер, чтобы изменения вступили в силу.
Шаг 3. Чтобы убедиться, что VBS действительно отключен, откройте Microsoft System Information (Системную информацию) и найдите запись «Безопасность на основе виртуализации» (Virtualization-based security). Убедитесь, что там указано «Не включено» (Not enabled). На устройствах, управляемых корпоративными системами, эта настройка может автоматически включаться снова. Таким образом, это поможет подтвердить, включена ли настройка или отключена.
Шаг 4. Как видно на скриншоте ниже, Вильяму удалось успешно запустить вложенный ESXi 6.0 Update 3 на последней версии VMware Workstation 17.6.2 под управлением Windows 11 22H2.
На конференции VMware Explore 2024 была представлена презентация "Hardening and Securing VMware Cloud Foundation" (#VCFT1616LV), в которой инженер по безопасности и комплаенсу Broadcom Боб Планкерс поделился ключевыми стратегиями и подходами к обеспечению безопасности VMware Cloud Foundation (VCF).
Презентация фокусируется на многоуровневом подходе к защите инфраструктуры VCF, охватывая такие ключевые аспекты, как:
Основы информационной безопасности: реализация принципов конфиденциальности, целостности и доступности данных.
Технические меры защиты: использование шифрования данных, проверка подлинности компонентов, функции Secure Boot и другие механизмы.
Проектирование систем: ранняя интеграция функций безопасности, адаптация к уникальным требованиям каждой организации и применение компенсирующих средств контроля.
Соответствие стандартам: использование DISA STIG, CIS Benchmarks и других гайдлайнов для минимизации уязвимостей и упрощения аудита.
Одним из главных акцентов стала концепция "Zero Trust", которая предполагает минимизацию доверия ко всем компонентам и пользователям системы. Также рассмотрены стратегии аутентификации и авторизации, включая федерацию идентификаций и внедрение многофакторной аутентификации (MFA).
Презентация содержит и практические рекомендации, такие как:
Отключение неиспользуемых функций управления серверами (например, IPMI, SSH).
Настройка безопасной загрузки (UEFI Secure Boot) и использования Trusted Platform Module (TPM).
Оптимизация управления доступом через модели RBAC и изоляцию критических систем.
Термит — это оператор программ-вымогателей (шифрование, кража данных, вымогательство), который недавно заявил о нескольких жертвах во Франции, Канаде, Германии, Омане и США. Их атаки нацелены на такие секторы, как государственные учреждения, образование, нефтегазовая промышленность, водоочистка и автомобилестроение. Логотип группы представляет собой стилизованного синего термита с элементами, напоминающими электронные схемы.
Группа, по всей видимости, использует модифицированную версию печально известного вымогательского ПО Babuk. После запуска вируса на устройстве файлы шифруются, и к их названиям добавляется расширение .termite. Также оставляется записка с требованиями выкупа (How To Restore Your Files.txt) с кратким описанием действий. Преступники предоставляют ссылку на свой Onion-сайт, а также уникальный токен и адрес электронной почты для связи. На сайте жертвам предлагается форма для прямой коммуникации, в которой нужно указать название компании, описание ситуации, полное имя, адрес электронной почты и "токен поддержки".
Полный метод работы злоумышленников пока не раскрыт, но они, вероятно, используют типичные тактики и процедуры, применяемые большинством операторов программ-вымогателей. Это включает получение начального доступа через фишинг, эксплуатацию уязвимостей или покупку учетных данных, а также повышение привилегий для управления сетью. Они похищают конфиденциальные данные одновременно с шифрованием файлов и угрожают опубликовать украденную информацию, если выкуп не будет выплачен. Кроме того, преступники отключают резервные копии и средства защиты, чтобы усложнить восстановление данных. Коммуникация с жертвами осуществляется через записки, зашифрованные каналы и сайты в сети TOR. Выкуп обычно требуют в криптовалюте.
Компания Symantec, входящая в группу Broadcom, защищает от этой угрозы следующими способами:
На основе решения VMware Carbon Black
Связанные вредоносные индикаторы блокируются и обнаруживаются существующими политиками в продуктах VMware Carbon Black. Рекомендуется как минимум заблокировать запуск всех типов вредоносных программ (известных, подозрительных и PUP) и включить задержку выполнения для проверки в облаке, чтобы максимально использовать преимущества службы репутации VMware Carbon Black Cloud.
VMware vDefend с инновационным помощником на основе GenAI ускоряет защиту от угроз программ-вымогателей (ransomware), предоставляя объяснения, ориентированные на контекст цепочки атаки, коррелированные сведения о кампаниях угроз и направленные рекомендации по их устранению.
Сегодня вокруг генеративного AI (GenAI) много энтузиазма, не только среди предприятий, но и среди злоумышленников, стремящихся расширить свои возможности для вымогательства. По мере развития этих технологий они будут глубже интегрироваться в рабочие процессы, помогая предприятиям превентивно ликвидировать новые угрозы.
VMware vDefend находится на переднем крае инноваций в области AI и ML, включая использование AI для рекомендаций по правилам микросегментации и применение ML к трафику и контекстам рабочих нагрузок для получения детализированных сведений. Сейчас VMware сделала логичный, но важный следующий шаг, используя GenAI и крупные языковые модели (LLM), чтобы ещё больше помочь клиентам защитить свои ценные активы.
За последний год команда VMware усердно работала над инициативой под названием Project Cypress. Результатом стал Intelligent Assist for vDefend, основанный на GenAI и LLM. Эта новая возможность упрощает работу команд виртуализации, сетевой безопасности и SOC, помогая им понять детальную, контекстуальную информацию об активных угрозах и их влиянии. Всего за несколько кликов команды могут инициировать устранение, упрощая процессы, которые раньше требовали сложных рабочих процессов с использованием нескольких продуктов. Улучшая реакцию на угрозы, Intelligent Assist for vDefend позволяет командам по безопасности и инфраструктуре работать более слаженно для защиты от атак вымогателей и вносить больший вклад в безопасность.
Детализация сложных угроз и предупреждений безопасности
До появления GenAI корреляция действий по кампаниям или исследование связей между угрозами и предупреждениями были трудоемким процессом. Попытки интегрировать несколько точечных решений зачастую добавляли сложности, увеличивая риск ошибок и появления «слепых зон».
Зачастую важный контекст события — например, что происходило до и после него — упускался из виду. Хотя существует множество систем для оценки серьезности или влияния уязвимостей, они не могут передавать эту информацию на естественном языке, что затрудняет оценку масштаба кампаний угроз. Обмен индикаторами компрометации (Indicators of Compromise, IoC) для обнаружения угроз также был исторически сложным по аналогичным причинам.
Генеративный AI ускоряет и упрощает операции по поддержанию безопасности. Инструменты на базе GenAI значительно увеличивают способность команд безопасности обрабатывать большие объемы предупреждений, которые иначе были бы перегружающими из-за их количества. GenAI может сэкономить часы — или даже дни — ручных усилий, интеллектуально приоритизируя и коррелируя эти предупреждения для надлежащего устранения. Это повышение скорости напрямую улучшает защиту от угроз.
Решение Intelligent Assist для vDefend
В основе Intelligent Assist лежит интерактивный чат-бот на базе большой языковой модели (LLM), интегрированный непосредственно в интерфейс vDefend. Этот чат-бот объясняет события обнаружения простым языком, помогая командам безопасности понять полный масштаб угроз, одновременно улучшая сотрудничество по всей организации. Это не только снижает частоту ложных срабатываний, но и ускоряет процесс устранения угроз. С помощью простого интерфейса на естественном языке аналитики могут задавать конкретные вопросы для получения более глубокого контекстного понимания, когда это необходимо.
Ключевые функции Intelligent Assist для vDefend включают объяснение угроз на простом языке, а также возможности автоматизированного реагирования и устранения. Платформа разработана на принципах простоты и интуитивности.
Давайте рассмотрим эти функции подробнее.
Объяснимость
Рассмотрим типичную ситуацию с программой-вымогателем, включающую эксфильтрацию данных с использованием таких инструментов, как dnscat, который создает зашифрованное управление и контроль (Command-and-Control, C&C) по протоколу DNS.
Благодаря обширному набору сигнатур IDS, vDefend обнаруживает эту вредоносную активность и генерирует событие высокого уровня важности. Intelligent Assist предоставляет дополнительный контекст для оператора SOC, указывая, что другие события предполагают, что исходным вектором атаки стал Darkside ransomware. Более того, он подтверждает, что влияние значительное, но в настоящее время ограничено определенной рабочей нагрузкой. Обладая этой информацией, команда SOC может уверенно сделать вывод, что событие является истинно положительным, и инициировать немедленные действия.
Способность Intelligent Assist объяснять угрозы и события на простом языке позволяет командам по безопасности, сетям и виртуализации мгновенно оценивать масштаб и влияние отдельных угроз. Автоматически выявляя связанные события и отображая индикаторы компрометации (IoC), он устраняет пробелы в видимости в рамках стека безопасности и значительно ускоряет получение информации по сравнению с тем, что было доступно ранее.
Автоматический ответ и устранение
После подтверждения события как истинно положительного, важно быстрое и эффективное устранение. Здесь снова приходит на помощь Intelligent Assist, принимая автоматические и немедленные меры по устранению, в то время как вы продолжаете собирать информацию и проводить экспертный анализ.
В зависимости от вашей терпимости к риску и потенциального влияния на легитимный трафик и производительность бизнеса, вы можете выбрать между целенаправленным или комплексным ответом:
Целенаправленный ответ: этот подход направлен на узкие, конкретные меры по устранению для минимизации нарушения бизнес-процессов. Однако такая «точечная» стратегия несет риск неполного сдерживания атаки.
Комплексный ответ: более широкий по охвату, этот подход «молотка» с большей вероятностью предотвращает боковое распространение угрозы, но также несет больший риск нарушения нормальной работы бизнеса.
Когда Intelligent Assist выявляет кампанию атаки, он рекомендует соответствующую стратегию реагирования. В приведенном ниже примере, касающемся продолжающейся атаки программ-вымогателей, Intelligent Assist рекомендовал политику комплексного устранения. Несмотря на автоматизацию создания политик, Intelligent Assist не предназначен для работы в полностью автономном режиме. Окончательное решение остается за командой безопасности — Intelligent Assist генерирует политику, но она не применяется, пока ее не проверит и не активирует эксперт по безопасности. В данном случае рекомендованная политика блокирует всю исходящую DNS-коммуникацию от затронутой рабочей нагрузки, чтобы предотвратить дальнейшее распространение угрозы.
Бесшовный и интуитивно понятный интерфейс
При разработке Intelligent Assist в VMware сосредоточились на том, чтобы сделать интерфейс максимально удобным и интуитивно понятным для конечного пользователя. Такие функции, как экспорт чата, позволяют пользователям легко сохранять и делиться важными инсайтами из диалогов с другими командами, а встроенные механизмы обратной связи обеспечивают улучшение ответов системы со временем. Intelligent Assist также предлагает рекомендации по запросам, помогая даже самым неопытным пользователям раскрыть весь его потенциал. Административная панель создана для упрощения управления пользователями, а поддержка многопользовательских сессий и инструменты управления рабочими процессами способствуют эффективному сотрудничеству между различными командами. Развертывание Intelligent Assist не требует усилий — решение использует безопасное расширение для браузера Chrome, обеспечивая прямой канал связи. Просто скачайте расширение, и все готово к работе.
Чтобы узнать больше о Intelligent Assist, посмотрите техническую сессию VMware Explore Las Vegas 2024, доступную здесь.
Вильям Лам написал наиполезнейшую статью о сбросе/восстановлении пароля консоли сервера VMware ESXi 8 и 7 в составе платформы виртуализации VMware vSphere.
Ранее также было возможно сбросить пароль root ESXi, загрузив систему в Linux и вручную обновив файл /etc/shadow, что похоже на то, как можно сбросить пароль в системе на базе Linux. В сети можно найти множество статей в блогах, описывающих этот процесс. Однако с появлением ESXi Configuration Store данный метод больше не работает для современных версий ESXi, начиная с ESXi 7.0 Update 1 и выше.
Тем не менее, эта тема все еще часто поднимается, особенно в контексте администраторов, которые начинают работать в новой компании, где пароль root ESXi не был должным образом задокументирован, или когда администратору поручено поддерживать набор отдельных ESXi хостов без владельцев. Независимо от сценария, хотя переустановка является самым быстрым способом восстановления, конечно, было бы неплохо сохранить исходную конфигурацию, особенно если нет документации.
Хотя в сети было опубликовано множество фрагментов информации (здесь, здесь и здесь), включая информацию от самого Вильяма, было бы полезно выяснить по шагам актуальный процесс восстановления ESXi 7.x или 8.x хоста без необходимости его переустановки.
Предварительные требования:
Доступ к физическому носителю, на который установлен ESXi (USB или HDD/SSD)
Виртуальная машина Linux (Ubuntu или Photon OS)
Виртуальная машина с вложенным ESXi
Для демонстрации описанного ниже процесса восстановления Вильям установил ESXi 8.0 Update 3c на USB-устройство с базовой конфигурацией (имя хоста, сеть, SSH MOTD), чтобы убедиться в возможности восстановления системы. Затем он изменил пароль root на что-то полностью случайное и удалил этот пароль, чтобы нельзя было войти в систему. Хост ESXi, на котором он "забыл" пароль, будет называться физическим хостом ESXi, а вложенная виртуальная машина с ESXi, которая будет помогать в восстановлении, будет называться вложенным хостом (Nested ESXi).
Шаг 1 — Разверните вложенную виртуальную машину с ESXi (скачать с сайта VMware Flings), версия которой должна соответствовать версии вашего физического хоста ESXi, который вы хотите восстановить.
Шаг 2 — Скопируйте файл state.tgz с физического хоста ESXi, который вы хотите восстановить. Обязательно сделайте резервную копию на случай, если допустите ошибку.
Если ваш хост ESXi установлен на USB, отключите USB-устройство, подключите его к настольной системе и скопируйте файл с тома BOOTBANK1.
Если ваш хост ESXi установлен на HDD/SSD, вам нужно будет загрузить физическую систему с помощью Linux LiveCD (Ubuntu или Knoppix) и смонтировать раздел 5 для доступа к файлу state.tgz.
Шаг 3 — Скопируйте файл state.tgz с вашего физического хоста ESXi на вложенный хост ESXi и поместите его в /tmp/state.tgz, затем выполните следующую команду для извлечения содержимого файла:
tar -zxvf state.tgz
rm -f state.tgz
Шаг 4 — Войдите на ваш вложенный хост ESXi и выполните следующие команды для извлечения его файла state.tgz, который будет помещен в каталог /tmp/a. Затем мы используем утилиту crypto-util для расшифровки файла local.tgz.ve вложенного хоста ESXi, чтобы получить файл local.tgz, и затем просто удаляем зашифрованный файл вместе с файлом encryption.info вложенного хоста ESXi. После этого мы заменим их файлом encryption.info с нашего физического хоста ESXi и создадим модифицированную версию state.tgz, которая будет загружаться в нашей вложенной виртуальной машине ESXi. Мы используем это для расшифровки исходного файла state.tgz с нашего физического хоста ESXi.
mkdir /tmp/a
cd /tmp/a
tar xzf /bootbank/state.tgz
crypto-util envelope extract --aad ESXConfiguration local.tgz.ve local.tgz
rm -f local.tgz.ve encryption.info
cp /tmp/encryption.info /tmp/a/encryption.info
tar -cvf /tmp/state-mod.tgz encryption.info local.tgz
После успешного выполнения последней команды, нам нужно скопировать файл /tmp/state-mod.tgz на ваш рабочий стол, а затем выключить вложенную виртуальную машину ESXi.
Шаг 5 — Смонтируйте первый VMDK диск из вашей вложенной виртуальной машины ESXi на вашу виртуальную машину с Linux. В данном случае Вильм использует Photon OS, который также управляет и DNS-инфраструктурой.
Шаг 6 — Убедитесь, что VMDK вашей вложенной виртуальной машины ESXi виден в вашей системе Linux, выполнив следующую команду. Мы должны увидеть два раздела bootbank (5 и 6), как показано на скриншоте ниже:
fdisk -l
Шаг 7 — Перенесите файл state-mod.tgz, созданный на Шаге 4, на вашу виртуальную машину с Linux, затем смонтируйте оба раздела bootbank и замените файл state.tgz на нашу модифицированную версию.
Примечание: Этот шаг необходим, потому что, если вы просто скопируете модифицированный файл state.tgz напрямую на USB-устройство физического хоста ESXi, вы обнаружите, что система восстановит оригинальный файл state.tgz, даже если на обоих разделах содержится модифицированная версия.
Шаг 8 — Сделайте remove (не удаляйте) VMDK файл вложенной виртуальной машины ESXi с виртуальной машины Linux, затем включите вложенную виртуальную машину ESXi.
После успешной загрузки вложенной виртуальной машины ESXi, она теперь работает с оригинальным файлом encryption.info с нашего физического хоста ESXi, что позволит нам восстановить исходный файл state.tgz.
Шаг 9 — Скопируйте исходный файл state.tgz, созданный на Шаге 2, во вложенную виртуальную машину ESXi, поместите его в каталог /tmp/state.tgz и выполните следующую команду, которая теперь позволит нам расшифровать файл state.tgz с физического хоста ESXi, как показано на скриншоте ниже!
cd /tmp
tar -zxvf state.tgz
rm -f state.tgz
crypto-util envelope extract --aad ESXConfiguration local.tgz.ve local.tgz
rm -f local.tgz.ve
Шаг 10 — После расшифровки исходного файла state.tgz у нас должен появиться файл local.tgz, который мы извлечем локально в каталоге /tmp, выполнив следующую команду:
tar -zxvf local.tgz
Следующие три каталога: .ssh, etc/ и var/ будут размещены в /tmp, а /tmp/var/lib/vmware/configstore/backup/current-store-1 — это хранилище конфигурации ESXi для физического хоста ESXi, которое нам нужно обновить и заменить оригинальный хеш пароля root на желаемый, чтобы мы могли войти в систему.
Для непосредственного изменения хранилища конфигурации ESXi нам необходимо использовать утилиту sqlite3, так как файл хранится в виде базы данных sqlite3. Мы можем выполнить следующую команду на вложенной виртуальной машине ESXi, чтобы проверить текущий хеш пароля root:
/usr/lib/vmware/sqlite/bin/sqlite3 /tmp/var/lib/vmware/configstore/backup/current-store-1 "select * from config where Component='esx' and ConfigGroup = 'authentication' and Name = 'user_accounts' and Identifier = 'root'"
Шаг 11 — Вам потребуется новый хеш пароля в формате SHA512, где вы знаете сам пароль, после чего выполните следующую команду, заменив хеш.
/usr/lib/vmware/sqlite/bin/sqlite3 /tmp/var/lib/vmware/configstore/backup/current-store-1 "update config set UserValue='{\"name\":\"root\",\"password_hash\":\"\$6\$s6ic82Ik\$ER28x38x.1umtnQ99Hx9z0ZBOHBEuPYneedI1ekK2cwe/jIpjDcBNUHWHw0LwuRYJWhL3L2ORX3I5wFxKmyki1\",\"description\":\"Administrator\"}' where Component='esx' and ConfigGroup = 'authentication' and Name = 'user_accounts' and Identifier = 'root'"
Примечание: Вам нужно правильно экранировать любые специальные символы, например, как в приведенном выше примере, где хеш пароля содержит символ "$". Чтобы убедиться, что замена хеша выполнена правильно, вы можете выполнить вышеуказанную команду запроса, чтобы убедиться, что вывод соответствует желаемому хешу пароля, как показано на скриншоте ниже.
Шаг 12 — Теперь, когда мы обновили хранилище конфигурации ESXi с нашим желаемым паролем root, нам нужно заново создать файл state.tgz, который будет содержать наши изменения, выполнив следующие команды:
rm -f local.tgz
tar -cvf /tmp/local.tgz .ssh/ etc/ var/
tar -cvf /tmp/state-recover.tgz encryption.info local.tgz
Скопируйте файл /tmp/state-recover.tgz с вложенной виртуальной машины ESXi на вашу виртуальную машину с Linux, которая затем будет использоваться для монтирования носителя физического хоста ESXi, чтобы заменить файл state.tgz на нашу восстановленную версию.
Шаг 13 — Смонтируйте носитель физического хоста ESXi на вашу виртуальную машину с Linux. Поскольку физический хост ESXi установлен на USB, можно просто подключить USB-устройство напрямую к виртуальной машине с Linux.
Снова мы можем убедиться, что виртуальная машина с Linux видит носитель с установленным физическим хостом ESXi, выполнив команду fdisk -l, и мы должны увидеть два раздела bootbank (5 и 6), как показано на скриншоте ниже.
Шаг 14 — Теперь нам просто нужно смонтировать раздел bootbank и заменить оригинальный файл state.tgz на нашу модифицированную версию (state-recover.tgz).
Примечание: Поскольку физический хост ESXi был только что установлен, на втором разделе bootbank не было ничего для замены, но если вы найдете файл state.tgz, его также следует заменить, используя ту же команду, но указав другой номер раздела.
Шаг 15 — Последний шаг: размонтируйте носитель физического хоста ESXi с виртуальной машины Linux, затем включите ваш физический хост ESXi, и теперь вы сможете войти в систему, используя обновленный пароль root!
В этом демо-ролике, представленном компанией VMware, демонстрируется, как можно использовать VMware vDefend для блокировки небезопасных протоколов и защиты рабочих нагрузок в корпоративной инфраструктуре от потенциальных угроз.
Проблема небезопасных протоколов
Небезопасные протоколы, такие как SMB версии 1, могут быть уязвимы для атак. Например, уязвимость SMBv1 может позволить злоумышленнику получить доступ к виртуальной машине, если система не была своевременно обновлена. Проблема может усугубляться тем, что в некоторых случаях обновление системы невозможно из-за бизнес-ограничений.
Для демонстрации в видео используются две машины:
Windows 7 с включенным SMBv1, которая не предназначена для предоставления файловых сервисов.
Windows Server 2016, выступающий в роли файлового сервера, который хранит конфиденциальные данные компании.
Обе машины не обновлялись, что делает их уязвимыми для эксплоита EternalRomance. Эта уязвимость позволяет злоумышленнику получить доступ к системе, после чего он может похитить данные или перемещаться по сети, атакуя другие машины.
Как VMware vDefend защищает инфраструктуру
1. Ограничение доступа с использованием брандмауэра (DFW)
В первую очередь, демонстрируется, как злоумышленник использует уязвимость на машине с Windows 7, которая не является файловым сервером, но продолжает принимать SMB-трафик. После успешного взлома злоумышленник получает неограниченный доступ к системе.
Чтобы предотвратить подобные атаки, с помощью VMware vDefend создается правило, которое ограничивает доступ к сервисам SMB только для нужных диапазонов IP-адресов (RFC 1918 в этом примере). Все остальные подключения, использующие SMB, будут заблокированы. Таким образом, злоумышленник больше не может воспользоваться уязвимостью Windows 7, и попытка повторного взлома завершается неудачей.
2. Защита файлового сервера с использованием Intrusion Detection and Prevention (IDP)
Вторая часть видео фокусируется на защите Windows Server 2016. Поскольку файловый сервер должен продолжать предоставлять доступ к конфиденциальным данным, простое блокирование SMB не подходит. Для этого используется система обнаружения и предотвращения вторжений (IDP), которая контролирует трафик и блокирует вредоносные пакеты.
Для защиты сервера создается специальный профиль, который отслеживает все попытки проникновения через протокол SMB и, при обнаружении подозрительного трафика, блокирует его. В случае атаки трафик блокируется, и вредоносное ПО не может выполнить свои действия, предотвращая эксплуатацию системы.
Мониторинг событий и дальнейшие действия
После блокировки атаки администраторы могут использовать встроенные инструменты мониторинга для детального анализа инцидента. В VMware vDefend доступны такие данные, как IP-адреса источников, целевые машины, идентификаторы сигнатур атак и другие полезные сведения, которые можно передать в команду безопасности (SOC) для дальнейшего расследования.
Также можно экспортировать захваченные пакеты для их анализа в сторонних программах, таких как Wireshark, что позволяет точно выяснить, какие данные пытался отправить злоумышленник.
VMware vDefend предоставляет мощные инструменты для защиты рабочих нагрузок от небезопасных протоколов, предотвращая эксплуатацию уязвимостей, боковое перемещение злоумышленников в сети и утечку данных. В видео выше демонстрируется, как можно комбинировать функции брандмауэра и системы предотвращения вторжений для обеспечения всесторонней безопасности корпоративной инфраструктуры.
Недавно компания Veeam представила второй релиз бесплатного решения Veeam Hardened Repository ISO. Первая версия была выпущена еще в июне 2023 года, сейчас вышло ее обновление. Veeam Hardened ISO Repository (VHR) предназначен для облегчения создания защищённого Linux-репозитория для решения Veeam Backup and Replication, так как не каждый администратор имеет достаточный опыт работы с Linux для эффективной защиты операционной системы. Veeam предлагает инструмент, который позволяет сделать это быстро и легко. Скачивание доступно бесплатно, но поскольку это технологическое превью, этот инструмент пока не следует использовать в производственных средах. ISO позволит вам создать безопасный репозиторий с функцией неизменяемости данных (immutability).
Преимущества ISO
Главное преимущество ISO заключается в том, что вам не нужно выполнять дополнительные настройки или запускать скрипты (система уже защищена благодаря специальному установщику).
В системе нет пользователя root.
Благодаря использованию Rocky Linux в качестве основы, вы получаете 10 лет поддержки для ОС.
После выхода официальной версии вы также получите поддержку от Veeam.
Требования
Оборудование, поддерживаемое RedHat (для развертывания в производственной рекомендуется физический сервер, для лабораторных условий возможна виртуальная машина), сам ISO основан на Rocky Linux.
Те же требования к CPU и RAM, что и для Linux-репозиториев.
2 диска с объёмом не менее 100 ГБ каждый.
Поддерживается только внутреннее хранилище или напрямую подключаемое хранилище с аппаратным RAID-контроллером и кэшем записи.
UEFI должен быть активирован.
Минимальная версия Veeam - V12.2.
Veeam Hardened ISO — это загрузочный ISO-образ, разработанный для упрощения настройки Veeam Hardened Repositories. Этот новый метод доставки устраняет необходимость в глубоком знании Linux, делая его доступным для более широкой аудитории. Развертывая защищённые репозитории через этот ISO, пользователи могут значительно снизить затраты на постоянное управление и повысить безопасность своей инфраструктуры резервного копирования.
Одной из ключевых особенностей Veeam Hardened ISO является возможность создания безопасного и неизменяемого репозитория для резервного копирования. Это означает, что после записи данных в репозиторий их нельзя изменить или удалить, что защищает их от атак программ-вымогателей и других вредоносных действий. Такой уровень безопасности крайне важен в современном мире, где утечки данных и кибератаки становятся всё более частыми.
Вам предоставляется преднастроенная операционная система с автоматически применённым профилем безопасности DISA STIG. Также доступен инструмент настройки защищённого репозитория (Hardened Repository Configurator Tool), который упрощает настройку сети и позволяет изменить такие параметры, как настройки HTTP-прокси, имя хоста, пароль для пользователя vhradmin, временное включение SSH, обновление ОС и компонентов Veeam, сброс защиты от смещения времени, а также выполнять простые действия, такие как вход в систему, перезагрузка или выключение.
Ключевые особенности Veeam Hardened ISO
Упрощённое развертывание — Veeam Hardened ISO значительно упрощает процесс развертывания, позволяя пользователям настраивать защищённые репозитории без необходимости глубокого знания Linux. Эта простота в использовании гарантирует, что даже пользователи с ограниченными техническими навыками могут воспользоваться передовыми возможностями защиты данных от Veeam.
Повышенная безопасность — неизменяемость Veeam Hardened Repository гарантирует, что данные резервного копирования остаются защищёнными и не могут быть изменены. Это особенно важно в условиях атак программ-вымогателей, где целостность данных резервного копирования играет ключевую роль.
Экономическая эффективность — благодаря снижению потребности в постоянном управлении и обслуживании, Veeam Hardened ISO помогает организациям экономить на операционных расходах. Такая эффективность делает решение привлекательным для компаний любого размера.
Обратная связь сообщества — поскольку Veeam Hardened ISO на данный момент находится в статусе Community Preview, пользователи могут предоставлять обратную связь и вносить свой вклад в его развитие. Такой совместный подход помогает создать продукт, который будет соответствовать потребностям и ожиданиям сообщества Veeam.
Скачать Veeam Hardened Repository ISO можно по этой ссылке. Дефолтный пароль - VHRISO.
Продолжаем рассказывать об анонсах новых продуктов и технологий, представленных на конференции VMware Explore 2024.
На мероприятии VMware представила последнюю версию своего пакета безопасности VMware vDefend 4.2, о котором мы рассказывали вот тут. Эта версия представляет собой значительный шаг вперёд и опирается на прочную основу, заложенную её предшественниками, предлагая улучшенную масштабируемость, более точное обнаружение угроз и упрощённое управление.
Улучшенная масштабируемость и производительность
Одним из наиболее заметных улучшений в vDefend 4.2 является значительное увеличение масштабируемости. Новая версия демонстрирует прирост производительности до 10 раз, что гарантирует защиту даже самых требовательных сред без ущерба для скорости или эффективности.
Функция распределённого брандмауэра в vDefend 4.2 теперь поддерживает защиту VLAN и распределённых порт-групп наряду с сегментами, поддерживаемыми NSX. Это дополнение дает администраторам большую гибкость в применении политик безопасности для различных сетевых сегментов, что упрощает защиту широкого спектра виртуализированных сред.
Продвинутая защита от угроз
В vDefend 4.2 появилось 14 детекторов сетевого трафика, использующих машинное обучение и AI для обнаружения аномалий. Эта возможность продвинутой защиты от угроз позволяет осуществлять проактивную защиту как от известных, так и от неизвестных угроз. Решение для обнаружения и реагирования на сетевые угрозы (NDR), управляемое AI, непрерывно мониторит сетевой трафик, изучая нормальные шаблоны, чтобы в реальном времени обнаруживать и реагировать на вредоносную активность.
Упрощённое управление и дополнительные функции
Управление обнаружением и предотвращением вредоносного ПО стало проще в vDefend 4.2 благодаря новой функции упрощённого управления жизненным циклом Malware SVM. Эта функция устраняет необходимость в ручной установке веб-серверов, позволяя развертывать служебные виртуальные машины (Service VM) напрямую через API-вызовы. Кроме того, vDefend 4.2 поддерживает файлы OneNote, расширяя возможности обнаружения вредоносного ПО. Решение также вводит настраиваемую пользователем функцию обхода избыточной переподписки, которую можно применить глобально или для отдельных правил, что обеспечивает эффективное управление конкуренцией ресурсов без ущерба для безопасности.
Централизованное управление политиками и мониторинг
vDefend 4.2 предлагает централизованное управление политиками как для виртуальных машин, так и для контейнеров. Новая панель управления операциями брандмауэра полностью настраивается, позволяя пользователям мгновенно просматривать основные правила, вычислительные ресурсы и группы. Эти улучшения предоставляют администраторам более глубокие сведения о состоянии безопасности и облегчают применение единых политик безопасности во всей инфраструктуре.
Интеллектуальная безопасность и интеграция
Интеллектуальная безопасность была ключевым аспектом в разработке vDefend 4.2. Решение теперь беспрепятственно интегрируется с инструментами сторонних разработчиков, такими как SPLUNK и vLog Insight, что позволяет осуществлять комплексное логирование и анализ событий безопасности. Эта интеграция поддерживает более быстрое реагирование на инциденты и более эффективное ограничение угроз.
Как работает система обнаружения и реагирования на сетевые угрозы (NDR)?
Системы Network Detection & Response (NDR) непрерывно мониторят и анализируют огромные объёмы сетевого трафика и событий безопасности по различным элементам и сегментам сети. Эти системы собирают данные как с периметра сети, охватывая трафик «north-south», так и с внутренних сетевых сенсоров, которые отслеживают трафик «east-west». Используя AI и машинное обучение, инструменты NDR устанавливают базовую линию нормальной сетевой активности. Эта базовая линия позволяет системе идентифицировать и отмечать любые отклонения, которые могут указывать на вредоносное поведение.
Инструменты NDR, основанные на AI, разработаны для того, чтобы эволюционировать вместе с новыми угрозами, постоянно обучаясь на новых данных для улучшения своих возможностей обнаружения. Когда атака идентифицирована, решения NDR могут предоставить всестороннюю криминалистическую информацию, описывая всю хронологию атаки — от начального проникновения до латеральных перемещений внутри сети. Кроме того, эти системы могут автоматически инициировать процессы предотвращения и смягчения последствий для локализации и нейтрализации угрозы.
Обновления продукта в будущем
В будущем VMware намерена развивать vDefend в рамках стратегических обновлений, которые соответствуют ключевым направлениям инноваций компании. План будущих разработок включает:
Gen AI Intelligent Assist: VMware планирует интегрировать интеллектуальную помощь на базе GenAI для защиты от угроз, что улучшит сортировку оповещений и предоставит контекстные данные о кампаниях угроз. Эта функция также будет предлагать рекомендации по устранению проблем, что упростит управление и реагирование на инциденты безопасности.
Продвинутая защита от угроз: ожидаются значительные улучшения производительности распределённых систем IDS/IPS, с увеличением производительности до 3 раз по сравнению с текущими уровнями. VMware также представит настраиваемые сигнатуры для IDS/IPS, возможности быстрой оценки угроз и улучшенные меры по предотвращению вредоносных программ для локальных сред. Кроме того, будут развернуты новые датчики NDR для защиты физических серверов, что расширит возможности обнаружения угроз vDefend.
Упрощение операций: предстоящие обновления упростят операции безопасности за счёт интеграции рабочих процессов с нативной функциональностью VPC в VCF 9. VMware также планирует ввести поддержку федерации для политик IDS/IPS и улучшить анализ правил брандмауэра, что сделает управление политиками более эффективным.
Более подробно о продукте VMware vDefend можно почитать здесь.
Менеджеры ИТ-инфраструктуры все яснее осознают важность защиты данных и приложений от постоянно растущих угроз. Программы-вымогатели (ransomware), в частности, становятся всё более разрушительными, требуя надёжных и инновационных решений.
На VMware Explore 2024 в Лас-Вегасе Broadcom представила значительные улучшения VMware Live Recovery, комплексного решения, разработанного для защиты среды VMware Cloud Foundation как от атак вымогателей, так и от традиционных катастроф.
Быстрота и уверенность в условиях кризиса - VMware Live Recovery предлагает и то, и другое. Когда случаются атаки вымогателей или катастрофы, скорость и уверенность являются решающими факторами для успешного восстановления.
Унифицированный подход к киберустойчивости - VMware Live Recovery отвечает потребностям в восстановлении как после атак вымогателей, так и при катастрофах. Используя комбинацию механизмов безопасного восстановления, защиты east-west и укрепленной (hardened) инфраструктуры, VMware гарантирует, что критически важные рабочие нагрузки защищены в вашей среде VMware vSphere.
Ускоренное восстановление и упрощённое использование - VMware Live Recovery предоставляет мощную киберустойчивость и устойчивость данных для VMware Cloud Foundation. Это решение обеспечивает восстановление после атак вымогателей и катастроф в унифицированной системе управления, с ускоренным процессом восстановления и упрощенным потреблением, с гибким лицензированием для различных сценариев и облаков.
Защита вашей виртуальной среды VMware - с помощью VMware Live Recovery вы можете защищать свою среду VMware на различных платформах: в вашем локальном датацентре, в VMware Cloud на AWS или другом облачном провайдере. Это гарантирует защиту от широкого спектра угроз, включая ransomware, аппаратные сбои и природные катастрофы.
Какие новые возможности были представлены на VMware Explore 2024:
Локальное восстановление vSAN
Удалённая репликация снимков vSAN
Изолированная среда восстановления в собственном датацентре (On-Premises Isolated Recovery Environment, IRE)
Локальное восстановление vSAN
Теперь вы можете применять ускоренное до 16 раз обратное восстановление (failback) из VMware Cloud на AWS, используя локальные снимки VMware как основу для процесса восстановления, восстанавливая только проверенные изменения. Это приводит к 75%-му сокращению времени простоя, минимизируя сбои в работе.
Удалённая репликация снапшотов vSAN
Теперь расширены возможности локальных снимков vSAN для создания удалённых снимков, что позволят сохранять более глубокую историю неизменяемых снимков (до 200) с помощью унифицированного виртуального модуля (Virtual Appliance) для управления. Эта новая функция обеспечивает репликацию vSAN-to-vSAN и позволяет достичь следующих результатов:
Повышенная устойчивость данных: до 200 точек восстановления на ВМ.
Снижение простоев, благодаря опыту VMware в оркестрации восстановления.
Повышенная масштабируемость и эффективность: использование кластеров хранения vSAN улучшает производительность.
Преимущества локальной изолированной среды восстановления (IRE)
Теперь у вас есть гибкость и возможность выбора изоляции VCF (VMware Cloud Foundation) как на локальной инфраструктуре, так и в облаке, что обеспечивает суверенитет данных и соответствие нормативным требованиям. Новая локальная изолированная среда восстановления предоставляет возможности кибервосстановления там, где вам удобно — в изолированной среде восстановления, размещенной в VMware Cloud на AWS, или для клиентов, желающих хранить данные локально, на собственной площадке.
Особенности:
Гибкость и выбор: выбирайте изолированные "чистые комнаты" VCF локально или в облаке.
Суверенитет данных: сохраняйте контроль над своими данными и обеспечивайте соответствие требованиям конфиденциальности и местонахождения данных.
Интеграция полного стека: раскройте потенциал интегрированной киберустойчивости VCF для защиты рабочих нагрузок в любом месте.
Наверняка вы слышали о недавнем обновлении программного обеспечения CrowdStrike для Microsoft Windows, которое вызвало беспрецедентный глобальный сбой по всему миру (а может даже вы были непосредственно им затронуты). Несколько дней назад ИТ-администраторы работали круглосуточно, чтобы восстановить работоспособность тысяч, если не десятков тысяч систем Windows.
Текущий рекомендуемый процесс восстановления от CrowdStrike определенно болезненный, так как он требует от пользователей перехода в безопасный режим Windows для удаления проблемного файла. Большинство организаций используют Microsoft Bitlocker, что добавляет дополнительный шаг к уже и так болезненному ручному процессу восстановления, так как теперь необходимо найти ключи восстановления перед тем, как войти в систему и применить исправление.
Вильям Лам написал об этой ситуации. В течение нескольких часов после новостей от CrowdStrike он уже увидел ряд запросов от клиентов и сотрудников на предмет наличия автоматизированных решений или скриптов, которые могли бы помочь в их восстановлении, так как требование к любой организации вручную восстанавливать системы неприемлемо из-за масштабов развертываний в большинстве предприятий. Ознакомившись с шагами по восстановлению и размышляя о том, как платформа vSphere может помочь пользователям автоматизировать то, что обычно является ручной задачей, у него возникло несколько идей, которые могут быть полезны.
Скрипты, предоставленные в этой статье, являются примерами. Пожалуйста, тестируйте и адаптируйте их в соответствии с вашей собственной средой, так как они не были протестированы официально, и их поведение может варьироваться в зависимости от среды. Используйте их на свой страх и риск.
Платформа vSphere обладает одной полезной возможностью, которая до сих пор не всем известна, позволяющей пользователям автоматизировать отправку нажатий клавиш в виртуальную машину (VM), что не требует наличия VMware Tools или даже запущенной гостевой операционной системы.
Чтобы продемонстрировать, как может выглядеть автоматизированное решение для устранения проблемы CrowdStrike, Вильям создал прототип PowerCLI-скрипта под названием crowdstrike-example-prototype-remediation-script.ps1, который зависит от функции Set-VMKeystrokes. В настройке автора работает Windows Server 2019 с включенным Bitlocker, и он "смоделировал" директорию и конфигурационный файл CrowdStrike, которые должны быть удалены в рамках процесса восстановления. Вместо загрузки в безопасный режим, что немного сложнее, автор решил просто загрузиться в установщик Windows Server 2019 и перейти в режим восстановления, что позволило ему применить тот же процесс восстановления.
Ниже представлено видео, демонстрирующее автоматизацию и шаги, происходящие между PowerCLI-скриптом и тем, что происходит в консоли виртуальной машины. Вручную никакие действия не выполнялись:
В зависимости от вашей среды и масштаба, вам может потребоваться настроить различные значения задержек, и это следует делать в тестовой или разработческой среде перед развертыванием поэтапно.
В качестве альтернативы, автор также рекомендует и немного другой подход. Один из клиентов создал кастомный WindowsPE ISO, который содержал скрипт для удаления проблемного файла CrowdStrike, и всё, что им нужно было сделать, это смонтировать ISO, изменить порядок загрузки с жесткого диска на CDROM, после чего ISO автоматически выполнил бы процесс восстановления, вместо использования безопасного режима, что является довольно умным решением.
В любом случае, вот пример фрагмента PowerCLI-кода, который реконфигурирует виртуальную машину (поддерживается, когда ВМ выключена) для монтирования нужного ISO из хранилища vSphere и обновляет порядок загрузки так, чтобы машина автоматически загружалась с ISO, а не с жесткого диска.
$vmName = "CrowdStrike-VM"
$isoPath = "[nfs-datastore-synology] ISO/en_windows_server_version_1903_x64_dvd_58ddff4b.iso"
$primaryDisk = "Hard disk 1"
$vm = Get-VM $vmName
$vmDevices = $vm.ExtensionData.Config.Hardware.Device
$cdromDevice = $vmDevices | where {$_.getType().name -eq "VirtualCdrom"}
$bootDevice = $vmDevices | where {$_.getType().name -eq "VirtualDisk" -and $_.DeviceInfo.Label -eq $primaryDisk}
# Configure Boot Order to boot from ISO and then Hard Disk
$cdromBootDevice = New-Object VMware.Vim.VirtualMachineBootOptionsBootableCdromDevice
$diskBootDevice = New-Object VMware.Vim.VirtualMachineBootOptionsBootableDiskDevice
$diskBootDevice.DeviceKey = $bootDevice.key
$bootOptions = New-Object VMware.Vim.VirtualMachineBootOptions
$bootOptions.bootOrder = @($cdromBootDevice,$diskBootDevice)
# Mount ISO from vSphere Datastore
$cdromBacking = New-Object VMware.Vim.VirtualCdromIsoBackingInfo
$cdromBacking.FileName = $isoPath
$deviceChange = New-Object VMware.Vim.VirtualDeviceConfigSpec
$deviceChange.operation = "edit"
$deviceChange.device = $cdromDevice
$deviceChange.device.Backing = $cdromBacking
$deviceChange.device.Connectable.StartConnected = $true
$deviceChange.device.Connectable.Connected = $true
$spec = New-Object VMware.Vim.VirtualMachineConfigSpec
$spec.deviceChange = @($deviceChange)
$spec.bootOptions = $bootOptions
$task = $vm.ExtensionData.ReconfigVM_Task($spec)
$task1 = Get-Task -Id ("Task-$($task.value)")
$task1 | Wait-Task | Out-Null
Чтобы подтвердить, что изменения были успешно применены, вы можете использовать интерфейс vSphere или следующий фрагмент PowerCLI-кода:
Остается только запустить виртуальную машину, а затем, после завершения восстановления, можно отменить операцию, размонтировав ISO и удалив конфигурацию порядка загрузки, чтобы вернуть исходное поведение виртуальной машины.
Современным предприятиям приходится противостоять постоянным атакам вредоносных программ и программ-вымогателей, чтобы защитить свои главные ценности – приложения и данные. Все рабочие нагрузки частного облака – как критические, так и некритические – должны быть одинаково защищены, чтобы затруднить проникновение злоумышленника. В случае проникновения важно ограничить латеральное (east-west) движение вредоносного кода и быстро обнаружить и устранить угрозы.
Комплексная стратегия защиты частного облака требует многогранного подхода: видимость приложений и угроз, многоуровневая сегментация и защита от атак. VMware vDefend для безопасности нулевого доверия при латеральном движении (zero trust lateral security) предоставляет интегрированное решение безопасности полного стека, включая передовую защиту от угроз (advanced threat prevention, ATP), и является plug-and-play решением для платформы VMware Cloud Foundation (VCF). Предприятия могут реализовать многоуровневую глубокую защиту рабочих нагрузок приложений, используя возможности vDefend, приведенные на диаграмме ниже:
С помощью единой консоли vDefend, одного звонка в поддержку, встроенной облачной операционной модели и управляемого AI/ML интеллекта, команды безопасности могут значительно упростить защиту рабочих нагрузок приложений (виртуальные машины, контейнеры и физические серверы) и ускорить обнаружение и устранение угроз. Им больше не нужно сталкиваться с затратами и сложностью управления множеством отдельных продуктов.
Сегодня VMware еще больше укрепляет свой портфель vDefend для безопасности нулевого доверия с помощью следующих улучшений:
Улучшения масштабируемости брандмауэра
Увеличение масштаба правил и групп брандмауэра от 1,5 до 10 раз для расширения безопасности на все рабочие нагрузки VCF (критические и некритические).
Расширенная защита от Ransomware для east-west трафика
Многоконтекстный NDR теперь доступен on-oremise для соблюдения требований и в регулируемых средах, особенно в государственных, финансовых и медицинских секторах. Также появилась интеграция коррелированных событий угроз многоконтекстного NDR с SIEM сторонних производителей для быстрого обнаружения угроз.
Упрощение операций с брандмауэром для восток-западного трафика:
Существенно упростились операции с брандмауэром с помощью новых панелей управления. Ускорилось устранение неполадок для рабочих нагрузок Kubernetes с новыми улучшениями трассировки. Появилось централизованное управление политиками брандмауэра, которое теперь включает рабочие нагрузки Kubernetes, предоставляя единое окно управления политиками для всех рабочих нагрузок.
Оптимизированное развертывание средств безопасности
Инструмент для сайзинга позволяет команде безопасности точно планировать мощности, особенно в больших средах, и значительно сокращает время развертывания для достижения полной видимости VM-to-VM.
Обеспечение безопасности east-west трафика в масштабе облака
Значительное увеличение масштабируемости правил и групп распределенного и шлюзового сетевого экрана
Современное предприятие состоит из тысяч приложений, которые необходимо защищать с помощью политик управления доступом, применяемых к группам приложений. Архитектура распределенного брандмауэра и шлюзового брандмауэра vDefend была улучшена для поддержки значительно большего масштаба правил и группировки – от 1,5 до 10 раз. Теперь предприятия могут обеспечить равную защиту всех рабочих нагрузок – критических и некритических – и таким образом сделать проникновение для злоумышленников крайне сложным.
Расширенная защита от Ransomware для east-west трафика
Многоконтекстное обнаружение и реагирование на угрозы в сети (NDR) теперь доступно on-premise
У многих клиентов VMware есть высокочувствительные рабочие нагрузки, которые требуют строгого соблюдения конфиденциальности данных и их суверенитета. С внедрением локального решения vDefend Network Detection and Response (NDR) решаются проблемы клиентов, связанные с конфиденциальностью данных. vDefend NDR продолжает обнаруживать известные угрозы и угрозы нулевого дня, используя многоконтекстные коррелированные инсайты (по данным от распределённых IDS/IPS, распределённых NTA и контекстов предотвращения вредоносных программ, учитывающих специфику виртуальных машин) для выявления пакетов угроз с высокой точностью. Команды сетевой безопасности и безопасности операций получают всесторонний обзор попыток латерального вторжения в среде приложений.
Интеграция vDefend NDR с внешними SIEM для эффективного обнаружения и оценки угроз
Команды безопасности часто полагаются на системы SIEM (Security Information and Event Manager) как на отправную точку для обнаружения и реагирования на угрозы в их среде приложений. Прямолинейный подход к экспорту предупреждений NDR, связанных с трафиком east-west, может перегрузить SIEM. Вместо этого vDefend NDR регистрирует полностью коррелированные кампании вторжений и отдельные события обнаружения угроз в SIEM, что позволяет операторам SOC эффективно проводить оценку и быстро реагировать на угрозы. Журналирование событий угроз также позволяет организациям выполнять требования комплаенса. Полный захват пакетов (PCAPS) для связанных событий обнаружения IDS также доступен для помощи в расследовании угроз.
Упрощение операций с фаерволом для east-west трафика приложений
Усовершенствованная аналитика операций фаервола с новыми панелями управления
В рамках постоянных усилий по автоматизации и упрощению операций с брандмауэром VMware предоставляет агрегацию и корреляцию данных трафика east-west для принятия эффективных оперативных решений по микросегментации. Новая панель управления решает очень острую проблему отсутствия видимости такого трафика в аналитике безопасности внутри частного облака.
Операционные панели управления предоставляют информацию о наиболее часто срабатывающих правилах фаервола, самых активных участниках сети и наиболее инспектируемом трафике, а также классификацию источников, назначений и объема трафика. Эта новая панель управления упрощает корреляцию различных событий безопасности и обогащает отчеты о сетевом трафике для повседневных операций. Она также помогает выявлять проблемы с безопасностью или эксплуатацией на основе шаблонов.
Упрощение устранения неполадок распределенного фаервола для рабочих нагрузок Kubernetes
Поскольку клиенты внедряют модели нулевого доверия для своих рабочих нагрузок Kubernetes (в дополнение к рабочим нагрузкам виртуальных машин), важно, чтобы команды сетевой безопасности могли обнаруживать и устранять неполадки сетевых путей. VMware добавила информацию о правилах фаервола к трассировке потоков, что может помочь обнаружить и понять роль фаервола в конкретном типе сетевого потока. Это дает командам сетевой безопасности единый инструмент, который учитывает микросегментацию, развернутую для рабочих нагрузок виртуальных машин, а также для подов Kubernetes в их датацентре.
Централизованное управление политиками для нативных политик безопасности Kubernetes
С ростом популярности приложений на базе Kubernetes, использование нативных сетевых политик Kubernetes стало повсеместным. vDefend предоставляет единое окно для централизованного управления как политиками, установленными администраторами безопасности, так и политиками, созданными разработчиками. Политики безопасности Kubernetes, созданные разработчиками, больше не являются "черным ящиком" для администратора сетевой безопасности. Это значительно помогает упростить аудит, устранение неполадок, связанных с несоответствиями политик, и сортировку инцидентов, связанных с угрозами.
Безопасность и аналитика – упрощенное развертывание
Утилита для сайзинга обеспечивает точное планирование емкости для видимости трафика east-west
Видимость трафика east-west на уровне виртуальных машин критически важна для обеспечения безопасности — видеть трафик необходимо для его защиты. Безопасность и аналитика предоставляют детальную видимость трафика между виртуальными машинами и рекомендуют правила безопасности для распределённого фаервола. Из-за большого объема трафика east-west и связанных с ним потоков клиентам часто трудно определить правильный размер узлов для безопасности и аналитики. Новый инструмент для сайзинга позволяет точно планировать емкость, позволяя клиентам развертывать безопасность и аналитику в нужном масштабе.
С описанными инновациями vDefend для безопасности нулевого доверия VMware продолжает укреплять защиту рабочих нагрузок VCF для противостояния постоянно меняющемуся ландшафту угроз. Уникальное сочетание контроля фаервола, видимости на уровне виртуальных машин и передовой защиты от угроз для трафика приложений east-west обеспечивает истинную многоуровневую защиту. Инициатива VMware Project Cypress – помощник по защите от угроз на основе GenAI – должна еще больше упростить и ускорить сортировку и устранение угроз. VMware поделится новыми улучшениями vDefend на конференции Explore 2024 в Лас-Вегасе (26–29 августа 2024 года).
На днях компания VMware в составе Broadcom выпустила очередной пакет обновлений своей флагманской платформы виртуализации - VMware vSphere 8.0 Update 3. vSphere 8 Update 3 улучшает управление жизненным циклом, безопасность и производительность, включая поддержку двойных DPU и улучшенную настройку виртуального оборудования.
В блоге Angry Admin появилась интересная статья, посвященная новому варианту основанного на Linux ПО, которое использует пакет TargetCompany Ransomware для атаки серверов VMware ESXi.
Важное событие в сфере кибербезопасности: исследователи Trend Micro выявили новый вариант Linux из печально известного семейства программ-вымогателей TargetCompany.
Этот вариант специально нацелен на среды VMware ESXi, используя сложный пользовательский shell-скрипт для доставки и выполнения вредоносных программ. Известный под несколькими псевдонимами, включая Mallox, FARGO и Tohnichi, ветка TargetCompany представляет собой постоянную угрозу с момента ее появления в июне 2021 года, в основном сосредотачиваясь на атаках на базы данных в Тайване, Южной Корее, Таиланде и Индии.
Эволюция вымогателя TargetCompany
Вымогатель TargetCompany первоначально привлек внимание своими агрессивными атаками на различные системы баз данных, такие как MySQL, Oracle и SQL Server. В феврале 2022 года антивирусная компания Avast сделала значительный прорыв, выпустив бесплатный инструмент для расшифровки, который мог противодействовать известным на тот момент вариантам вымогателя. Однако к сентябрю 2022 года группа вымогателей восстановила свои позиции, переключив внимание на уязвимые серверы Microsoft SQL и используя Telegram в качестве платформы для угроз жертвам утечками данных.
Новый Linux-вариант вымогателя: подробный обзор
Недавно компания Trend Micro сообщила о новом варианте вымогателя TargetCompany для Linux, что является заметным изменением в стратегии выбора целей вымогателя. Этот новый вариант убеждается в наличии административных привилегий перед началом своих вредоносных действий. Пользовательский скрипт используется для загрузки и выполнения вредоносного кода, который также способен извлекать данные на два отдельных сервера. Эта избыточность гарантирует, что данные остаются доступными, даже если один сервер столкнется с техническими проблемами или будет скомпрометирован.
После проникновения в целевую систему, вымогатель проверяет наличие среды VMware ESXi, выполняя команду uname и ища строчку "vmkernel". Затем создается файл "TargetInfo.txt", который отправляется на сервер управления и контроля (C2). Этот файл содержит важную информацию о жертве, такую как имя хоста, IP-адрес, сведения об операционной системе, зарегистрированные пользователи и их привилегии, уникальные идентификаторы и подробности о зашифрованных файлах и каталогах.
Скрытные операции и атрибуция
Операции вымогателя разработаны так, чтобы оставлять минимальные следы. После завершения своих задач, shell-скрипт удаляет полезную нагрузку с помощью команды ‘rm -f x’, эффективно уничтожая любые доказательства, которые могли бы помочь в расследованиях после инцидента. Аналитики Trend Micro приписали эти атаки актору по имени «vampire», который также был упомянут в отчете Sekoia в прошлом месяце. IP-адреса, связанные с доставкой полезной нагрузки и получением информации о жертве, были отслежены до интернет-провайдера в Китае, хотя этого недостаточно для точного определения происхождения атакующего.
Влияние и рекомендации
Исторически вымогатель TargetCompany в основном нацеливался на машины под управлением Windows. Появление варианта для Linux и акцент на средах VMware ESXi подчеркивают эволюционирующую тактику и расширяющийся вектор угроз этой заразы. В отчете Trend Micro подчеркивается важность надежных мер кибербезопасности для противодействия этой растущей угрозе. Основные рекомендации включают включение многофакторной аутентификации (MFA), регулярное резервное копирование (в том числе на immutable хранилища) и поддержание обновленными всех систем. Кроме того, исследователи предоставили список индикаторов компрометации, включая хэши для версии вымогателя для Linux, пользовательского shell-скрипта и образцы, связанные с актором «vampire».
Заключение
Появление нового варианта вымогателя TargetCompany для Linux подчеркивает неустанную эволюцию киберугроз и необходимость бдительных и проактивных мер кибербезопасности. Организации должны оставаться информированными и подготовленными к защите от этих сложных атак, обеспечивая реализацию комплексных мер безопасности для защиты своих систем и данных. По мере того, как угрозы вымогателей, такие как TargetCompany, продолжают развиваться, организациям и частным лицам необходимо предпринимать проактивные меры для защиты своих систем и данных. Вот несколько основных советов и рекомендаций для предотвращения атак вымогателей:
1. Включите многофакторную аутентификацию (MFA)
Внедрите MFA для всех учетных записей и систем. Это добавляет дополнительный уровень безопасности, затрудняя злоумышленникам несанкционированный доступ даже при компрометации паролей.
2. Отключите доступ по SSH
Отключите доступ по SSH на системах, где он не требуется. Это уменьшает поверхность атаки, предотвращая несанкционированный удаленный доступ.
3. Используйте режим блокировки (lockdown mode)
Включите режим блокировки на критически важных системах, таких как VMware ESXi, чтобы ограничить административные операции и дополнительно защитить среду от потенциальных угроз.
4. Регулярное резервное копирование
Регулярно выполняйте резервное копирование всех критически важных данных и храните резервные копии оффлайн или в безопасной облачной среде. Это гарантирует возможность восстановления данных в случае атаки вымогателя без уплаты выкупа.
5. Обновляйте системы
Убедитесь, что все программное обеспечение, включая операционные системы, приложения и антивирусные программы, регулярно обновляются для защиты от известных уязвимостей и эксплойтов.
6. Сегментация сети
Сегментируйте сети, чтобы ограничить распространение вымогателей. Изолируя критические системы и данные, вы можете сдержать инфекцию и предотвратить ее влияние на всю сеть.
7. Обучение сотрудников
Проводите регулярные тренинги по кибербезопасности для сотрудников, чтобы информировать их о опасностях вымогателей, фишинговых атак и безопасных практиках в интернете.
8. Внедрите сильные политики безопасности
Разработайте и соблюдайте надежные политики безопасности, включая использование сложных уникальных паролей, ограниченный контроль доступа и регулярные аудиты для обеспечения соблюдения требований.
9. Развертывание передовых решений безопасности
Используйте передовые решения безопасности, такие как обнаружение и реагирование на конечных точках (Endpoint Detection and Response, EDR), системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS), чтобы обнаруживать и смягчать угрозы в режиме реального времени.
10. Мониторинг сетевого трафика
Постоянно контролируйте сетевой трафик на предмет необычной активности, которая может указывать на атаку вымогателя. Раннее обнаружение может помочь смягчить последствия атаки.
11. План реагирования на инциденты
Разработайте и регулярно обновляйте план реагирования на инциденты. Убедитесь, что все члены команды знают свои роли и обязанности в случае атаки вымогателя.
12. Ограничение привилегий пользователей
Ограничьте привилегии пользователей только теми, которые необходимы для выполнения их ролей. Ограничение административных привилегий может предотвратить распространение вымогателей по сети.
Следуя этим советам и оставаясь бдительными, организации могут значительно снизить риск стать жертвой атак вымогателей и защитить свои критически важные системы и данные.
Слишком большое количество оповещений и ложных срабатываний является одним из ключевых препятствий, мешающих организациям наладить эффективный мониторинг и противодействие угрозам в области информационной безопасности.
VMware Advanced Threat Prevention в составе решения VMware NSX предоставляет уникальную распределенную архитектуру, которая не требует перестройки сети, использования зеркалирования портов и ТАР (Traffic Access Point) или сенсоров для получения полной видимости горизонтального трафика. Решение дает полную видимость потока, а также контекст эндпоинтов, с использованием искусственного интеллекта и машинного обучения для обнаружения аномалий. Кроме того в VMware ATP есть система оценки и анализа корреляции для проведения аудита безопасности с набором согласованных и готовых к применению кампаний, позволяющих организациям сосредоточиться на угрозах, которые действительно влияют на их среду и игнорировать фоновый шум.
В этом демонстрационном видео рассматривается, как система безопасности VMware NSX (с встроенными функциями предотвращения продвинутых угроз и возможностями обнаружения и реагирования в сети) может обнаруживать и локализовывать сложные угрозы, использующие множество тактик и техник, применяемых в современных кампаниях по вымогательству и взлому.
Определенные типы организаций обязаны настраивать протоколы безопасности своих конечных точек в соответствии с определенными стандартами и бенчмарками, такими как Standards and Technology (NIST) и Center for Internet Security (CIS). Некоторые организации выбирают соответствие этим стандартам просто потому, что это хорошая проверенная практика.
Проект macOS Security Compliance Project (mSCP) является инструментом с открытым исходным кодом, который позволяет администраторам создавать профили безопасности на основе этих стандартов, настраивать их в соответствии с конкретными потребностями их организации, чтобы дальше импортировать их в решение Workspace ONE. Используя эту интеграцию, администраторы могут упростить развертывание и управление своими профилями безопасности, увеличивая общую защищенность их парка устройств на базе macOS.
Преимущества использования mSCP
mSCP предоставляет полный набор руководств по безопасности на основе объединенных знаний и лучших практик отрасли, а также собственной документации по безопасности Apple. Инструмент включает поддерживаемые базовые настройки от организаций, включая упомянутые NIST и CIS, а также Defense Information Systems Agency (DISA) и Committee on National Security Systems Instruction (CNSSI). Используя mSCP, организации могут установить базовую конфигурацию безопасности, которая соответствует стандартам, тщательно разработанным этими структурами для защиты их устройств macOS от угроз и уязвимостей.
Некоторые из ключевых преимуществ mSCP - гибкость и надежность. Поскольку администраторы могут задавать различные настройки базовых уровней, им относительно легко найти правильный баланс между более высоким уровнем безопасности и удобством использования для конкретных потребностей их компании. Что касается надежности, mSCP регулярно обновляется для имплементации последних руководств по безопасности от Apple, помогая организациям опережать появление новых угроз.
Улучшение развертывания с помощью Workspace ONE
Workspace ONE предлагает простой способ развертывания и управления профилями безопасности, сгенерированными с помощью mSCP. Функциональность загрузки профиля в Workspace ONE позволяет администраторам напрямую загружать профили .mobileconfig от mSCP через консоль Workspace ONE.
Эта интеграция упрощает процесс развертывания, позволяя администраторам быстро и эффективно применять конфигурации безопасности к своим устройствам macOS. Более того, Workspace ONE предоставляет мощные возможности управления, такие как проверки соответствия и возможности удаленного стирания контента, обеспечивая безопасность устройств на протяжении всего их жизненного цикла.
RSS
