遠為軟體：如何抵禦利用Windows遠程桌面協議傳播勒索軟體

來自知名安全技術提供商Sophos（中文名：守護使）的研究人員警告說，網路犯罪分子正在通過濫用Windows遠程桌面協議（RDP）來傳播勒索軟體。

這對於大多數小型企業來說是致命的，因為這樣的企業通常會將IT基礎架構建設及服務外包給第三方承包商，而這些承包商往往又會選擇通過RDP來訪問客戶企業的網路。Sophos在這次攻擊中觀察到的規模最大的企業也僅有120名員工。

Sophos解釋說，攻擊者使用了Shodan（被CNNMoney報道是「互聯網上最可怕的搜索引擎」）等網路搜索引擎來搜索RDP實例，然後利用NLBrute（一款暴力破解工具）對RDP發動暴力破解攻擊，然後登錄受害者企業網路系統並創建多個管理帳戶。

一旦建立了永久性訪問，攻擊者就會下載並安裝底層的系統調整軟體。然後，使用該軟體重新配置（或僅禁用）網路防禦系統、備份服務和資料庫服務。最後，將下載並運行勒索軟體。

Sophos安全研究員Mark Stockley 在博文中寫道：「因為攻擊者通過之前的操作已經獲取到了系統管理員許可權，並將系統的各種防禦軟體進行了重新配置或者禁用，這允許他們能夠使用老舊版本的勒索軟體，甚至是很多已經免費開源的勒索軟體來發起攻擊。」

「在一個攻擊實例中，我們在受害者企業系統的系統文件夾中看到了四種完全不同類型的勒索軟體的。」Stockley寫道。

根據StorageCraft對500多名IT決策者的調查結果顯示，51％的受訪者表示，雖然他們將從頻繁更新的數據備份中受益，但是他們現有的IT基礎架構並足以支撐這些操作。此外，51％的受訪者表示，他們對被攻擊後是否能夠即時恢複數據的表示沒有信心，43％的受訪者表示他們正在為數據增長而苦苦掙扎，並相信情況會變得更糟。

近年來，互聯網產業的發展如火如荼，對許多提供網路服務的軟體企業來說，可謂千載難逢的發展良機。但如同「硬幣的兩面」，網路安全問題也在不斷威脅廣大軟體企業。2017年上半年以來，「WannaCry」敲詐勒索病毒、「暗雲Ⅲ」變種木馬及「Petya」勒索病毒接連爆發，這是自「熊貓燒香」以來，網路安全屆遭遇的又一次大規模、連續性的病毒危機，由此也為當前的互聯網安全行業敲響了警鐘。專家表示，目前國內軟體行業對安全的思維模式急需轉變，從零散補救到注重全面、安全的軟體開發生命周期，不容忽視。

隨著全球信息步伐的加快，網路安全攻擊會愈加多樣化且頻繁，我們如何抵禦各類病毒對企業及個人的侵害呢？

由北京遠為軟體有限公司潛心多年自主研發的遠為多網安全隔離系統，通過先進、自有的終端虛擬化技術，在計算機終端上創建多個虛擬機。不同於其他的終端虛擬化產品，遠為多網安全隔離系統運行在操作系統之下。安裝了遠為多網安全隔離系統之後，系統首先創建虛擬機管理器。計算機在啟動引導時，會先啟動遠為虛擬機管理器，虛擬機管理器會接管計算機所有的硬體資源，再通過對原操作系統的安全封裝技術和復用技術，構建虛擬機。由於遠為虛擬機管理器接管了計算機的所有I/O、資源等，因此，通過遠為多網安全隔離系統在一台計算機上創建的多個虛擬機之間能夠做到完全的獨立、隔離，這種隔離是包括網路隔離、計算隔離、存儲隔離三個方面，能夠做到徹底的隔離；而且各個虛擬機之間是相互獨立的，任何一個虛擬機受損，不會對別的虛擬機造成任何影響。

比如，我們利用多網安全隔離系統在辦公用、個人用計算機上創建兩個完全獨立、隔離的虛擬機（或多個虛擬機，根據業務需要），假設這兩個虛擬機分別為「工作虛擬機」和「互聯網虛擬機」。分別針對這兩個虛擬機設置不同的安全策略和網路訪問策略。工作虛擬機主要用來處理重要、敏感或關鍵性的工作，存儲或保存所有的工作文檔、信息、數據等，通過策略設置，可以限制工作虛擬機只能訪問內部的辦公資源、伺服器等，禁止任何的外部連接或數據傳輸，採用嚴格的安全管控策略。而互聯網虛擬機則主要用於處理與互聯網相關的業務或個人娛樂使用，可以保存或處理敏感性、重要性等相對不重要的文檔、信息、數據等，互聯網虛擬機不允許訪問任何內部的辦公資源、伺服器等。工作虛擬機和互聯網虛擬機相互獨立，兩個虛擬機之間設置嚴格的數據交換策略，禁止一切非授權的數據交換或訪問行為。

這樣，通過遠為多網安全隔離系統，我們可以做到完全阻止病毒勒索軟體的侵害，按照上面的設置，我們的工作或重要業務均通過工作虛擬機處理，所有的文檔也都保存在工作虛擬機或內部的伺服器中，阻斷一切未授權的互聯網連接行為。而互聯網虛擬機同時又能夠滿足我們業務的多樣性，滿足我們所有與互聯網相關的業務訪問需要。工作虛擬機和互聯網虛擬機內置的軟體防火牆，能夠對虛擬機自身的完整性、可用性進行保護，如果真的因為各種原因中招病毒勒索軟體，其侵害行為也僅限於互聯網虛擬機中，而不會對我們正常工作、辦公使用的工作虛擬機以及內部的各種辦公資源、伺服器等造成任何影響，對組織、單位、個人而言最重要的各種工作文檔、商業秘密、敏感信息、重要信息、個人信息等，不會受到任何破壞或侵害。實際上，利用遠為多網安全隔離系統，我們不僅可以做到對病毒勒索軟體的預防和阻斷，對於其他任何病毒軟體，無論是針對數據本身還是針對系統可用性進行侵害的攻擊行為，我們都可以做到完全的「事前阻斷、事中控制」。同時，利用多網安全隔離系統，還可以幫助企業或個人構建嚴格的「數據隔離邊界」，除非使用系統提供的專門的數據安全傳輸通道，任何數據無法在未授權的情況下擅自外發、外泄，無論是操作人員有意無意，還是木馬病毒等，都無法將文檔、數據帶離工作虛擬機，這也為組織、單位、個人提供了一個非常好的數據防泄漏解決方案。

秒級無損恢復，快速修復中毒的文件資料

另外，遠為多網安全隔離系統，採用遠為自主開發、特有的磁碟快捷備份和快速恢復技術，能夠在秒級的時間內，完成系統以及用戶數據的快速備份和恢復。這個備份恢復較之其他虛擬化技術的「鏡像還原」或「數據備份」，其最大優點是能夠做到「數據無損恢復」，且備份文件佔用空間小（500G硬碟其備份空間僅需幾M），備份和恢復速度快（備份僅需秒級時間，恢復過程就是系統重啟的過程）。

通過遠為多網安全隔離系統，我們可以設置自動方式、手動方式以及系統智能等方式創建備份點，對操作系統以及用戶數據進行完整備份。自動方式，系統可周期性的按照策略設置，定期創建備份點；手動方式，可以隨時指定創建備份點。由於採用獨有的備份技術，所有創建備份點的過程完全可以用戶無感知的情況下，在後台自動完成。系統智能創建備份點則是遠為獨有的技術，當因為某個原因導致系統及數據被損壞，比如文檔被病毒勒索軟體強制加密，在這一刻，系統會自動創建備份點，然後通過還原功能，將系統還原至之前正常、尚未感染病毒或尚未被攻擊之前的狀態。這樣，通過這種「事後恢復」機制，就能夠為組織、單位、個人的文檔、數據建立第二道安全防線。

北京遠為軟體有限公司，為您提供最專業、最為精準的商業秘密保護整體解決方案、信息安全防護解決方案及豐富可靠的信息安全類產品，讓商業秘密在互聯網大數據時代安全地流轉！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！