5nine: рекомендации по защите от WannaCry

12 мая 2017 года мир захлестнула самая крупная в истории вирусная атака. Причиной паники в более чем 100 странах стала программа WannaCrypt, позднее иронично переименованная в WannaCry. Она инфицировала не только отдельные компьютеры, но целые сети через порт 445, зашифровывая все локальные диски и сетевые папки.

Сильнее всего пострадали логистические, телекоммуникационные и энергетические компании, а также транспортный сектор и сектор здравоохранения. Т.е. все те, чей простой может негативно отразиться на функционировании общества в целом. Причина кроется в особой уязвимости систем Windows XP, Windows Vista и Windows 7, которые по-прежнему широко используются в упомянутых секторах.

Вирус является интерактивным, что подразумевает отсутствие запрета из центра управления и выполнение определённых условий для его дальнейшего распространения. Эта этапность его внедрения вызывает небольшую задержку между активацией и началом распространения, именно в этот промежуток времени критически важно среагировать и защитить информацию.

На смену первому поколению WannaCry уже приходят его модификации. В данной ситуации наличие одного антивируса недостаточно, т.к., во-первых, его база может быть неполной, а во-вторых, под защитой оказывается только компьютер или виртуальная машина (ВМ) пользователя.

Одним из вариантов систем защиты информации для виртуализованной среды Windows Server является 5nine Cloud Security. Она представляет собой расширение Extensible Switch Hyper-V и обеспечивает безопасность Windows Server 2016/2012/2012 R2, Microsoft Hyper-V и Windows 8.

Благодаря широкому функционалу, система способна отразить атаку, подобную WannaCry. Выстраивание защиты происходит поэтапно:

  • Изоляция сегментов инфраструктуры препятствует распространению вируса по виртуальной сети.
  • Анализ сетевого трафика выявляет необычную активность на портах сети, идентифицирует источник атаки и блокирует его.
  • Сканирование http-трафика как внутри виртуальной среди, так и при обмене с физическими сетями выявляет вирус до начала заражения и обезвреживает его.
  • При обнаружении вируса в памяти ВМ он перемещается в карантин.

Технологии 5nine позволяют сделать это до 70 раз быстрее по сравнению с конкурентами за счёт инкрементального сканирования, основанного на анализе системы записи виртуальных дисков. Вирус не успевает выполнить операции проникновения и активации. Он детектируется и обезвреживается при помощи антивирусов ведущих вендоров, в том числе Bitdefender и Threat Track.

Интеграция 5nine Cloud Security с Windows Server на уровне гипервизора позволяет уменьшить нагрузку на сервер до 30%. Это поддерживает работу информационных систем предприятия даже при массированной атаке.

Протестировать продукт можно скачав пробную версию здесь или в виртуальной лаборатории.

Новость 5nine

Похожие новости