如今,WannaCry和Petya等蠕虫病毒在全球各地肆虐表明,企业通过更新系统补丁的方式已经远远不能保护其数据中心。
自从计算机时代到来,蠕虫病毒就已经存在。它们是一种没有任何人工干预即可传播的恶意软件——无需点击坏链接或打开受感染的附件。
但是,随着WannaCry和Petya的快速传播,给企业带来的相关费用损失,得到了人们的高度关注。
在 “SQL Slammer” 的蠕虫袭击韩国的互联网服务器之后,工程师检查系统
管理>安全
加利福尼亚安全服务提供商Fortanix公司的联合创始人兼首席执行官Ambuj Kumar表示:“传统的网络日志或行为分析工具可能无法检测到这种感染。企业在一定程度上保持系统补丁有所帮助,但是如果蠕虫利用零日漏洞,那么它们将是无用的。”
DCIM软件中的漏洞
数据中心需要有多个连接到互联网的接入点,但每个点都可能是恶意软件的潜在接入点。
Positive 技术公司网络安全弹性主管Leigh-Anne Galloway表示:“事实表明,如果通过互联网公开发现任何连接的设备或外围软件,它可能会有可能被恶意利用的漏洞。”
她补充说,这其中包括用于管理物理基础设施的设备。而这种病毒技术能够发现数据中心基础设施管理平台的缺点。
她说:“DCIM系统中的漏洞允许网络攻击者远程访问数据中心支持系统(如灭火,备用发电机等)的未加密信息。这能够用来进行有针对性的入侵或更广泛的攻击,并且可能使依赖数据中心的企业很难保护其具有关键功能的业务。”
限制访问
蠕虫病毒可以通过广泛开放的环境快速传播,而不仅仅是分割网络,访问受限,数据被锁定的环境。例如,WannaCry和NotPetya利用了像SMBv1这样的旧文件共享协议。
Gigamon公司的资深安全架构师Simon Gibson说:“如果企业禁用SMBv1,就会减少被感染的机会。他承认,要跟上数据中心的变化是很困难的。
他说:“网络安全的变化的速度是惊人的。大多数公司建立网络,而在部署之前,一些措施已经改变了。”
他说,“重要的是企业要了解他们的网络是如何工作的,他们如何运行的,以及它们是如何联系起来的。然而在病毒爆发时,企业将会了解其风险状况。然而做到这些并不容易”。
此外,Varonis Systems的现场工程副总裁Ken Spinner表示,组织应该跟踪哪些人访问什么数据,这类似于信用卡公司监控欺诈行为的方式。
“WannaCry改变了世界,证明安全边界的错觉已经结束了,”他说。 “Ransomware是煤矿中的金丝雀,为组织停止并评估他们的数据如何暴露出来。”
限制应用程序
数据中心服务器在桌面计算机上的一个安全优势是它们通常运行一组非常特定的应用程序。任何超出该组件的内容都可以被阻止,而不会损害用户的生产力。
如果一些数据中心运行内部开发的软件,那么这些数据中心将具有额外的优势。
ShiftLeft公司联合创始人兼首席执行官Manish Gupta说,例如,软件即服务提供商可以访问自己的源代码,并可以创建围绕该软件的特定安全需求设计的定制软件代理。
他说:“传统的安全解决方案是以威胁为基础的,因为保护应用程序的责任在于客户在其数据中心购买和部署第三方应用程序(如Microsoft Exchange或Oracle CRM)。”但是,如果没有无法访问软件的源代码,数据中心管理人员别无选择,只能将软件视为黑盒,并保护它免受已知病毒的威胁。这意味着新的攻击病毒可以进入。
他说:“采用基于威胁的安全工具继续保护这些SaaS应用程序的传统安全方法,浪费了宝贵的机会来重新思考如何实现安全。”
假设受到攻击
Fortanix公司的Kumar说,没有完美的安全防护措施,所以企业安全领导者需要从攻击者已经进入的假设开始。
“企业需要保持数据安全,即使系统已经感染了,”他说。这包括在运输和空闲时保持数据加密。
他说:“恶意软件或蠕虫可能会尝试通过读取文件或窥探网络流量来转储有价值的信息,但只能获取加密数据。”
另外,还可以使用数据加密的工具,他补充说,这样蠕虫病毒就不能窃听其内存进程。