本文重点

近些年，勒索病毒攻击事件频发，由于其“难发现、难阻止、难破解”的特点，不少用户——尤其是使用虚拟化的金融、医疗、制造、公共服务等重要行业用户——已遭受严重数据与经济损失。
勒索攻击的防控是一项系统性工程，除了进行病毒防御与检测，用户也需要关注，如何在虚拟化环境下阻止病毒传播（如使用下一代防火墙、入侵检测、沙盒、基于微分段的零信任网络与安全产品），以及如何减轻病毒攻击带来的影响（如使用数据备份与恢复产品）。
企业在进行事前网络隔离和事后数据恢复等防护工作的同时，应兼顾解决方案的高效性、灵活性与运维简便性（如使用 SmartX 的 Everoute 网络与安全软件用于攻击前防护、“SMTX 备份与恢复”产品用于攻击后数据恢复）。

数字化转型的浪潮为企业带来了更多机遇，也让网络安全的态势愈发严峻。勒索病毒作为一种极具传播性与破坏性的恶意攻击，一旦成功加密甚至破坏企业的关键数据库和服务器，将严重影响业务的正常开展，造成巨大的经济损失。

而一些企业在实践防勒索病毒解决方案时，并未充分考虑勒索病毒的攻击特点，没有采用针对性的预防措施；一些企业即使进行了勒索病毒的防控，但由于病毒攻击具备长期性、隐蔽性、灵活性等特点，防御体系的效率不高，反而增加了基础架构与应用复杂度，使得用户经常面临系统难以操作、安全策略难以执行等问题，徒增运维压力。虚拟化环境下，如何高效开展勒索病毒防护加固，在被防护的数据价值和加固防护所付出的综合成本之间找到平衡点，是每个企业信息化进程中都要解决的难题。

这篇文章中，我们将深入讨论勒索病毒的攻击特点及其对企业数据安全保护的特殊要求。此外，通过分析现有防护方案，我们也将从网络隔离和数据备份的角度给出双重加固方案，帮助企业在病毒侵入与事后恢复等多个阶段都能做到高效应对，层层保护数据安全。

一、为什么企业需要重视勒索病毒

攻击事件加速攀升，企业损失日趋扩大

近年来，勒索病毒攻击事件数量持续走高。根据中国信通院发布的《勒索病毒安全防护手册》（以下简称“安全防护手册”），仅 2021 年上半年，全球公开的勒索病毒攻击事件就高达 1200 起，而这一数字是 2020 年全年的累计数量。此外，据统计，2022 年上半年全球发生的 40 起重大网络安全事件中，27% 的事件是由勒索病毒引起的（如果仅统计已明确攻击类型的事件，这一数字可达 1/3）。

数据来源：2022 上半年全球 40 大网络安全事件回顾

同时，由于勒索病毒会通过文件加密、数据窃取、磁盘加密等方式“劫持”企业的关键数据库，造成的损失将不仅局限于赎金，还包括因数据泄漏、业务停滞、数据恢复等带来的一系列经济影响。

勒索病毒特点：难发现，难阻止，难破解

勒索病毒事件频发源于其特殊的攻击特点。《安全防护手册》指出，勒索病毒感染一般分为四个阶段：探测侦察、攻击入侵、病毒植入和实施勒索。

犯罪者会先进行漏洞扫描，在发现未及时修补漏洞的设备后，利用漏洞“一点突破”网络安全防线。对于很多新发现的漏洞，边界防火墙往往难以察觉，主机防护软件也很难区分究竟是攻击者还是合法用户在对系统进行修改。在成功获取访问权限后，犯罪者会进入“潜伏”阶段，让病毒/木马程序沿着当前被感染主机所在的内部网络横向扩散，这种威胁的扩散很难被普通的“南北向”防火墙发现和阻止。

在收集到足够多的数据后，犯罪者会从受害者的网络中传出或加密窃取到的数据，并以此对用户进行勒索。由于犯罪者会采用多种加密算法加密用户数据，一旦被加密，很难进行破解和数据恢复。正是这些特点让很多大公司在面对勒索攻击时也防不胜防。

勒索病毒攻击流程

图片来源：How to Prepare for Ransomware Attacks, Gartner

重灾区：使用虚拟化的金融、医疗等重要行业用户

勒索病毒攻击还有另一个特点：犯罪者受利益驱动，常常瞄准医疗、教育、金融、科技等重点行业的承载重要数据资源的信息系统进行攻击。一旦受到感染，这些行业用户将面临更大的经济损失。同时，虚拟化环境也极易成为勒索病毒的攻击跳板，一台虚拟机受到感染，极易导致病毒在虚拟世界内部的加速扩散和渗透。因此，基于虚拟化环境支撑关键数据库与业务系统的用户更应重视勒索病毒的防护。

二、虚拟化环境中勒索病毒防控方案评估

现有方案不足：未做到“预防与加固并重”

目前，不少用户采取的勒索病毒应对方案集中在预防阶段，具体包括制定管理策略与应急预案，以及部署具有防御和查杀功能的网络安全产品，例如边界防火墙、网络防病毒/入侵检测/入侵防御产品、漏洞扫描产品、查杀软件、破坏攻击模拟工具（breach attack simulation）等。

但在虚拟化环境中，虚拟机数量庞大、移动性强，仅仅通过部署具有防御效果的勒索病毒防控产品，难以做到对整个虚拟化环境的严密保护。同时，由于勒索病毒进化速度快、预测难度大，一旦病毒突破边界防火墙、病毒及漏洞扫描的防线，依旧难以阻止病毒扩散。

因此，正如 Gartner 在《如何为勒索病毒攻击做好准备》（How to Prepare for Ransomware Attacks）中强调的，勒索攻击的整体防控是一项系统性工程，需要多种安全策略与技术互相配合，确保能够覆盖到攻击的不同阶段。也就是说，除了进行病毒防御与检测，用户也需要关注，如何在虚拟化环境下阻止病毒传播，以及如何减轻病毒攻击带来的影响。

我们根据《安全防护手册》对于勒索病毒防控的阶段划分（事前预防、事中应急与事后加固），将各阶段适用的技术产品进行了总结（如下图）。其中，事中应急阶段主要涉及隔离设备、排查隔离范围、研判攻击方式、尝试破解等运维措施，主要要求企业具备充分的应急方案、运维人员具备足够的应急能力，因此不具体展开。

可行加固方案：微分段与数据备份产品

这些解决方案中，我们关注到《安全防护手册》与 Gartner 报告都提到了两项能够有效应对勒索病毒传播与攻击的技术产品：基于微分段（网络隔离）的网络安全产品，和数据备份与恢复产品。

微分段是一种基于“零信任”原则的安全策略，通过“明确允许、默认拒绝”的白名单模式，微分段能够实现，“只需明确允许对几个协议端口的访问，便可满足虚拟服务器正常工作的要求，而其他端口上的通信‘默认拒绝’”，从而阻止勒索病毒在虚拟化环境的横向扩散。

欲了解更多关于微分段技术与零信任实践的信息，欢迎阅读：

如何通过技术实践真正实现零信任｜SmartX 趋势分享
一文了解微分段的三种实现方案（附实践建议）｜SmartX 趋势分享

而如果勒索病毒突破了层层防护，取得了数据访问权限，甚至已经对数据完成了加密，为了应对这种情况，企业就需要使用数据备份与恢复产品，定期地将工作负载的配置文件和数据文件备份到集群外部的存储设备，并做到在灾难发生时能够快速地恢复数据。同时，企业也可通过快照等方式对数据进行多重备份。

三、对 SmartX 超融合实现虚拟化勒索病毒防护加固

为了更好地支持企业应对勒索病毒等恶意攻击，SmartX 为企业提供超融合环境下的病毒防护加固方案：基于微分段的网络与安全产品——Everoute 网络与安全软件，和数据保护产品——SMTX 备份与恢复。通过“事先备份数据、事前隔离虚机、事后恢复数据”，该方案能够在完善企业现有虚拟化系统和数据安全保障的同时，为技术人员带来简单、智能、灵活的运维体验。

Everoute 有效防止病毒快速扩散

在防止病毒扩散阶段，Everoute 通过零信任模型下的网络隔离技术，为虚拟化环境下的每个 APP/VM 提供独立的分段。

灵活的细粒度隔离：在 SMTX OS（SmartX 超融合软件）环境中，管理员可以通过简单、灵活的策略精细控制出入虚拟机的流量，有效隔绝病毒传播。
“一键式”运维管理：支持对异常虚拟机的“一键式”隔离，防止病毒的进一步扩散。排查 / 修复过程中，管理员还可通过设置 “诊断隔离白名单”，与虚拟机进行临时单点通信。故障 / 安全漏洞修复后，还可以 “一键式” 恢复虚拟机的正常运行状态，隔离之前已经应用在这个虚拟机上的安全策略无需调整。
智能策略粘性：同一个应用，可能被分布在不同服务器上，安全策略可以跟随虚机位置进行移动，实现了“位置无关”的无缝连接和平滑迁移。

SMTX 备份与恢复防范数据丢失，降低损失

用户还可搭配 SMTX 备份与恢复，通过可靠的数据备份防止因勒索软件攻击导致大规模数据丢失，同时帮助用户快速重建遭到破坏的虚拟机，防范业务停机，保护数据安全。该产品具有以下优势：

SmartX 原生，无代理：部署 SMTX 备份与恢复时，用户无需在虚拟机内安装代理，减少了安装、运维和管理的复杂性，且备份过程对虚拟机性能无影响；同时，SMTX 备份与恢复可广泛兼容主流操作系统。
单一平台统一管理：SMTX 备份与恢复使用 CloudTower 作为管理界面，用户可通过单一平台统一管理备份和集群资源，实现备份服务的一键部署和升级，并通过可视化的执行记录快速了解备份的执行结果，提升运维效率。
灵活的备份和恢复选项：SMTX 备份与恢复支持全量备份和增量备份两种备份类型，支持原机恢复和重建两种恢复模式，用户可以根据业务对数据保护的需求自定义备份周期、备份窗口和保留策略。