Термит — это оператор программ-вымогателей (шифрование, кража данных, вымогательство), который недавно заявил о нескольких жертвах во Франции, Канаде, Германии, Омане и США. Их атаки нацелены на такие секторы, как государственные учреждения, образование, нефтегазовая промышленность, водоочистка и автомобилестроение. Логотип группы представляет собой стилизованного синего термита с элементами, напоминающими электронные схемы.

Группа, по всей видимости, использует модифицированную версию печально известного вымогательского ПО Babuk. После запуска вируса на устройстве файлы шифруются, и к их названиям добавляется расширение .termite. Также оставляется записка с требованиями выкупа (How To Restore Your Files.txt) с кратким описанием действий. Преступники предоставляют ссылку на свой Onion-сайт, а также уникальный токен и адрес электронной почты для связи. На сайте жертвам предлагается форма для прямой коммуникации, в которой нужно указать название компании, описание ситуации, полное имя, адрес электронной почты и "токен поддержки".

Полный метод работы злоумышленников пока не раскрыт, но они, вероятно, используют типичные тактики и процедуры, применяемые большинством операторов программ-вымогателей. Это включает получение начального доступа через фишинг, эксплуатацию уязвимостей или покупку учетных данных, а также повышение привилегий для управления сетью. Они похищают конфиденциальные данные одновременно с шифрованием файлов и угрожают опубликовать украденную информацию, если выкуп не будет выплачен. Кроме того, преступники отключают резервные копии и средства защиты, чтобы усложнить восстановление данных. Коммуникация с жертвами осуществляется через записки, зашифрованные каналы и сайты в сети TOR. Выкуп обычно требуют в криптовалюте.

Компания Symantec, входящая в группу Broadcom, защищает от этой угрозы следующими способами:

• На основе решения VMware Carbon Black

Связанные вредоносные индикаторы блокируются и обнаруживаются существующими политиками в продуктах VMware Carbon Black. Рекомендуется как минимум заблокировать запуск всех типов вредоносных программ (известных, подозрительных и PUP) и включить задержку выполнения для проверки в облаке, чтобы максимально использовать преимущества службы репутации VMware Carbon Black Cloud.

• На основе файлов

Здесь должен отработать модуль Ransom.Babuk,

• На основе машинного обучения

Тут работает модуль Heur.AdvML.B.

Более подробно об этом можно узнать тут.

В середине весны компания Symantec выпустила обновление своего продукта для резервного копирования данных физических и виртуальных машин Symantec Backup Exec 15. Этот продукт стал одним из первых, кто поддержал все новые фичи VMware vSphere 6, такие как Virtual Volumes (VVols) и Virtual SAN 6.0. Теперь это действительно удобное комплексное решение как для резервного копирования ВМ в гетерогенной виртуальной среде (VMware vSphere и Microsoft Hyper-V), так и для бэкапа данных физической инфраструктуры с корпоративными приложениями, такими как Microsoft SQL Server или Sharepoint.

В прошлой статье мы рассказали об основах применения решения Symantec Data Center Security для защиты центров обработки данных. В этой статье пойдет речь о втором продукте из набора Data Center Security: Server Advanced. Ряд производителей безагентских антивирсуных решений для VMware, понимая ограничения возможностей API vShield Endpoint, - выпускают легкие агенты, которые позволяют лучше защищать виртуальные машины...

Мы начинаем рассказ о группе продуктов компании Symantec, входящей в семейство Data Center Security, как следует из названия -предназначенных для защиты центров обработки данных.

В этой статье пойдет речь о продукте Data Center Security: Server 6.0 который является безагентским антивирусом для сред VMware и использующий для управления платформу VMware NSX.

С точки зрения архитектуры все довольно традиционно: используется виртуальный аплайнс,содержащий в себе антивирусный движок, на каждом из хостов гипервизора и, используя VMware vShield Endpoint аплайнс получает доступ к файловой системе защищаемых виртуальных машин для их проверки, не используя агентов.

Естественно, продукту присущи все ограничения vShield Endpoint, такие как: поддерживаемые типы операционных систем (на данный момент только семейства Microsoft Windows), необходимость установки VMware Tools, невозможность защиты помяти в безагентском режиме и т.д. Так же новая версия vShield Endpoint, позволяет использовать использовать репутационные технологии при проверке файлов, что значительно снижает нагрузку на системы хранения.

Первое ключевое отличие от большинства безагентских решений в том, что развертывание виртуальных аплайнсов и назначение политик безопасности на группы производится через консоль VMware NSX. В консоли управления самого продукта политика только создается и, затем, публикуется на VMware NSX.

После регистрации продукта во вкладе Services вы получаете дополнительный сервис безопасности, который вы можете установить для определенных групп кластеров и датацентров, устаналивая виртуальные аплайнсы только для тех групп ипервизоров, которые вы указали.

VMware NSX предоставляет механизм создания групп безопасности, в которые могут быть включены виртуальные машины по определенным критериям. При этом группы могут быть статическими, где виртуальные машины в них добавляются вручную, так и динамические, когда в группы включаются виртуальные машины, соответствующие определенным криетериям, например тип операционных системи т.д. Самое интересное - это возможность изменять членство виртуальных машин в группах динамически, на основании тегов.

Один из примеров использования тэгов – перемещение виртуальных машин, на которых было обнаружено вредоносное ПО, в специальную карантинную группу. На группу карантина может быть назначена, например, отдельная политика межсетевого экрана (встроенного от VMware или стороннего), предотвращая распространение вредоносного ПО по сети до момента ее удаления. После удаления вредоносного ПО виртуальная машина будет возвращена в стандартную группу и продолжит функционирование.

Разумеется, теги на виртуальных машинах могут быть изменены, помимо вышеописанного решения, и с помощью продуктов сторонних компаний, например IPS систем от PaloAlto Networks, систем управления уязвимостями от Rapid7 и т.д. Таким образом можно не только назначать различные политики на группы виртуальных машин, но и интегрировать между собой различные решения от разных производителей.

В скором времени ожидается выход новой версии продукта DCS: Server 6.5, в котором будет добавлен функционал сетевого IPS.

Получить тестовую версию продукта вы можете по ссылке http://www.symantec.com/data-center-security/trialware/

С развитием ИТ инфраструктуры организации нередко приходят к идее перевода физических рабочих станций в виртуальную среду VDI (Virtual Desktop Infrastructure), т.к. это позволяет более эффективно и гибко использовать имеющиеся ресурсы, а так же быстро реагировать на возникающие потребности. При этом приходится решать ряд вопросов, на которые ранее обращалось мало внимания. Большинство из них связано с нагрузками, возникающими при одновременном выполнении действий на большом количестве виртуальных машин. Но есть и вопросы, связанные со способом создания и управления жизненным циклом машин...

Пару дней назад мы опубликовали статью компании Symantec "Использование Symantec Endpoint Protection для виртуальных инфраструктур" о том, как следует обеспечивать безопасность виртуальной среды VMware vSphere. А сегодня мы рады объявить, что компания Symantec стала очередным спонсором и партнером VM Guru (список всех наших спонсоров можно найти вот тут).

Как вы знаете, Symantec - признанный эксперт в области обеспечения информационной безопасности корпоративной инфраструктуры. Это мировой лидер по разработке и продаже продукции, помогающей пользователям и предприятиям обеспечивать безопасность, доступность и целостность своих информационных ресурсов.

Корпорация имеет представительства в более чем 40 странах мира. Решения Symantec построены на основе открытых стандартов и поддерживают все основные СУБД и корпоративные приложения, операционные системы и аппаратные средства для хранения данных. Они включают в себя решения для защиты данных (резервное копирование и восстановление после сбоев), для обеспечения высокой доступности приложений (кластерные системы и репликация), для повышения производительность приложений (оптимальная настройка СУБД Oracle, DB2 и Sybase), а также средства автоматизации хранения данных, управления серверами и сервисами (администрирование и управление гетерогенными средами).

Наших читателей, конечно же, будут интересовать средства для резервного копирования и восстановления виртуальных машин, а также средства для защиты виртуальных инфраструктур, о чем, собственно, мы и будем публиковать статьи и заметки.

Оставайтесь с нами, и вы узнаете много интересного о продуктах Symantec.

Symantec Endpoint Protection 12.1 представляет из себя корпоративное решение по защите конечных точек от различных угроз: вирусов, сетевых атак и атак нулевого дня. В состав технологий защиты входят антивирус, сетевой экран, система предотвращения вторжений, контроль устройств и контроль приложений. Одной из ключевых особенностей решения является...

Как вы знаете, на рынке резервного копирования виртуальных машин есть не только Veeam Backup and Replication (недавно мы писали о новой версии тут), но и несколько других продуктов, которые, правда, находятся далеко позади решения от Veeam. Но самое близкое к Veeam Backup решение - это, пожалуй, продукт от Symantec. Совсем недавно вышла его обновленная версия - Symantec Backup Exec 2014.

Новые возможности Backup Exec 2014:

• Полная поддержка ОС Windows Server 2012 и 2012 R2.
• Вернулся Backup Exec job monitor. Теперь можно отслеживать статус задач резервного копирования из единого представления. Кроме того, упростился процесс создания задач РК, позволяющий управлять несколькими серверами в рамках одной задачи.
• Упрощенный процесс миграции с прошлых версий. Если вы используете Backup Exec 12.5, 2010 или 2012, вы можете проапгрейдить продукт на новую версию с сохранением всех настроек и созданных задач резервного копирования.
• Возможность гранулярного восстановления Exchange 2013 и SharePoint 2013. Технология Granular Recovery Technology (GRT) теперь доступна для Exchange 2013 и SharePoint 2013. Она позволяет восстановить отдельные объекты этих приложений, такие как почтовые ящики, письма или отдельные документы Sharepoint, из резервных копий Backup Exec.
• Оптимизированная производительность - на внутренних тестах Symantec продукт Backup Exec 2014 показывает до 100% прироста производительности при резервном копировании. Кроме того, была также существенно улучшена эффективность дедупликации.
• Поддержка облачных решений Riverbed Whitewater Appliance и Quantum Q-Cloud.

Как видно из списка новых возможностей, продукту Backup Exec все еще очень далеко до Veeam Backup and Replication в плане резервного копирования виртуальных машин. Взгляните хотя бы на этот внушительный список технологических нововведений Veeam в последней версии своего продукта (а также тут про версию 7.0 R2).

Бесплатную пробную версию Symantec Backup Exec 2014 на 60 дней можно скачать по этой ссылке.

Вчера мы писали об архитектуре VMware PSA, позволяющей встраивать в VMware ESXi ПО для управления путями, а сегодня расскажем еще об одном продукте, совсем недавно анонсированном компанией Symantec - Veritas Dynamic Multi-Pathing for VMware vSphere 6.0.

Ключевые особенности продукта от Symantec - возможность динамической балансировки запросов ввода-вывода с хоста по нескольким путям одновременно, поддержка работы с основными дисковыми массивами, представленными на рынке, и возможность учитывать характеристики хранилищ (RAID, SSD, Thin Provisioning).

Как можно узнать из нашей статьи про PSA, Veritas Dynamic Multi-Pathing (DMP) - это MPP-плагин для хостов ESXi:

Veritas DMP позволяет интеллектуально балансировать нагрузку с хостов ESXi в SAN, обеспечивать непрерывный мониторинг и статистику по путям в реальном времени, автоматически восстанавливать путь в случае сбоя и формировать отчетность через плагин к vCenter обо всех хранилищах в датацентре. Что самое интересное - это можно будет интегрировать с физическим ПО для доступа по нескольким путям (VxVM) в единой консоли.

Всего в Veritas DMP существует 7 политик для балансировки I/O-запросов, которые могут быть изменены "на лету" и позволят существенно оптимизировать канал доступа к хранилищу по сравнению со стандартным плагином PSP от VMware. Кстати, в терминологии Symantec, этот продукт называется - VxDMP.

Стоимость этой штуки - от 900 долларов за четырехъядерный процессор хоста (цена NAM). Полезные ссылки:

• Hardware Compatibility List
• Veritas™ Dynamic Multi-Pathing for VMware Administrator's Guide 6.0
• Veritas™ Dynamic Multi-Pathing for VMware Release Notes 6.0
• Veritas™ Dynamic Multi-Pathing for VMware Installation Guide 6.0

Скачать Symantec Veritas Dynamic Multi-Pathing можно по этой ссылке, но только обладая ключиком.

Те из вас, кто следил за развитием функциональности платформы VMware vSphere, наверняка помнят, что в версии vSphere 4.1 появился такой компонент как Application Monitoring в настройках VMware High Availability (HA):

Этот компонент был реализован с помощью API, который был доступен сторонним разработчикам приложений, и позволял производить мониторинг доступности отдельных приложений в виртуальных машинах, работающих на платформе vSphere 4.1. В случае проблем с приложением (оно не обновляет Heartbeat - сигнал доступности), виртуальная машина перезагружалась.

То есть, эта технология была доступна только партнерам VMware, один из которых, компания Symantec, реализовала эту функциональность в своем продукте ApplicationHA и добавила поддержку распространенных Windows-приложений:

Теперь компания VMware в новой версии платформы VMware vSphere 5.0 решила пойти дальше и сделать механизм Application Monitoring доступным для всех.

Теперь у Application Monitoring есть свой SDK, в котором есть следующая утилита:

C:\VMware-GuestAppMonitorSDK\bin\win32>vmware-appmonitor.exe

У нее есть несколько параметров:

• Enable - включить механизм.
• Disable - выключить.
• markActive - это функция, вызываемая со стороны приложения, которая вызывается каждые 30 секунд, что говорит о том, что приложение еще "живет". Если она прекратит вызываться, это будет означать что виртуальную машину надо перезагрузить.
• isEnabled - проверить статус Application Monitoring.
• getAppStatus - проверить статус защищаемого приложения.

То есть, теперь ваши разработчики, используя Java или C++, могут сами написать модуль для работы с VMware Application Monitoring в своем приложении, используя следующие функции:

• VMGuestAppMonitor_Enable()
  
• VMGuestAppMonitor_MarkActive()
  
• VMGuestAppMonitor_Disable()
  
• VMGuestAppMonitor_IsEnabled()
  
• VMGuestAppMonitor_GetAppStatus()
  
• VMGuestAppMonitor_Free()

Ну и, само собой, можно писать свои скрипты, которые могут мониторить состояние служб и других компонентов. Это отличная новость и хорошая возможность добавить еще один важный уровень высокой доступности в своей виртуальной инфраструктуре.

Дополнительная информация у Duncan'а Epping'а.

Компания Microsoft продолжает освещение технических подробностей платформы виртуализации Microsoft Hyper-V. С выходом Microsoft Data Protection Manager (DPM) стало доступным резервное копирование виртуальных машин от самой Microsoft. Но помимо этого, есть также несколько продуктов, не только поддерживающих Hyper-V и тома CSV, но и возможности инкрементального резервного копирования, восстановления отдельных объектов приложений и даже Disaster Recovery-техники.

В новой презентации Microsoft "Hyper-V Backup: A Look Under the Hood" можно узнать о том, как именно работают решения для резервного копирования виртуальных машин на Hyper-V, и какие продукты можно использовать:

Презентация доступна как онлайн, так и в виде pptx-файла.
Таги: Microsoft, Hyper-V, Backup, Symantec, VMachines, DPM, CSV, CA, BackupExec

Резервное копирование виртуальных машин Microsoft Hyper-V R2.

Проблема резервного копирования виртуальных машин в среде виртуализации особенно актуальна. Поскольку виртуализация на базе Microsoft Hyper-V R2 и System Center Virtual Machine Manager позиционируются именно как недорогие средства консолидации серверов, пользователи ищут также недорогие вспомогательные решения для управления виртуальными машинами. В частности, одной из самых острых проблем является резервное копирование виртуальных машин на серверах Microsoft Hyper-V.

Давайте рассмотрим, какие продукты на данный момент есть для создания бэкапов ВМ на Hyper-V R2.

1. Microsoft Data Protection Manager 2010.

Этот продукт позволяет создавать резервные копии виртуальных машин Hyper-V, но, к сожалению, находится пока в стадии Release Candidate. Он умеет следующее:

• Поддержка сценариев Live Migration, с использованием томов cluster-shared volumes (CSV).
• Восстановление виртуальных машин на альтернативные хосты Hyper-V.
• Возможность восстановления отдельных файлов диска VHD для host-based backup.

2. HyperV Backup Tool

Утилита от пользователя rex_3 на форуме sysadmins.ru. Скрипт по отзывам работает неплохо, но многое еще нужно дорабатывать и тестировать. Что умеет:

• Поддерживает Windows Server 2008 R2 и Hyper-V R2.
• Делает "горячие" бэкапы виртуальных машин без их остановки.
• Восстанавливает виртуальные машины из бэкапов.

3. Symantec Backup Exec 2010

Одно из первых решений для резервного копирования, которое стало поддерживать бэкап виртуальных машин серверов Microsoft Hyper-V R2. Поддерживает тома CSV, Live Migration и дедупликацию хранимых резервных копий. Также поддерживается восстановление отдельных файлов и папок из образов резервных копий.

Коллеги с издания virtualfuture.info выпустили отличный документ, в котором приведено сравнение возможностей ПО для виртуализации приложений от различных производителей. В отчет попали:

• Citrix XenApp 5.0 (включая Feature Pack)
• InstallFree Bridge 1.9
• Microsoft App-V 4.5 CU1
• Symantec Endpoint Virtualization Suite 6.1
• VMware ThinApp 4.0.3
• Xenocode Virtual Application Studio 2009 SP1

Обзор хороший, поэтому тем, у кого есть потребность в сокращении эксплуатационных издержек за счет виртуализации приложений- Must Read.