Войти Регистрация

Выберите страну

  • События
  • О компании
  • Вакансии
  • Карта вендоров
  • События
  • О компании
  • Вакансии
  • Карта вендоров
News

Остановим WannaCry микросегментацией с помощью VMware NSX

News | 18.05.2017

Ниже приведены рекомендации в порядке приоритетности, чтобы создать микросегментированную среду, которая может прервать жизненный цикл атаки WannaCry.

  1. Мониторьте трафик на порту 445 с распределенным брандмауэром NSX. Это обеспечит видимость трафика SMB, который может включать в себя трафик атаки или попытки оной. После определения заражения конечной точки, Allow или Block, журналы из NSX можно скоррелировать или проанализировать в SIEM, анализаторе журнала или анализаторе поведения сети.
  2. Включите правила перенаправления в NSX, чтобы любой трафик, предназначенный для критически важных систем, направлялся на интегрированные с NSX решения IPS для обнаружения сетевых индикаторов этой атаки. Даже если периметр не обнаружил вредоносное ПО, можно проанализировать трафик east-west в среде, чтобы обнаружить индикаторы атаки.
  3. Создайте группу безопасности NSX для всех виртуальных машин, работающих под управлением операционной системы Windows, для идентификации потенциально уязвимых компьютеров. Это очень просто сделать в NSX, поскольку вы можете группировать виртуальные машины на основе таких атрибутов, как операционная система, независимо от их IP-адреса.
  4. Включите мониторинг конечных точек (функция NSX 6.3+) на виртуальных машинах, которые являются частью операционной системы Windows, для обнаружения mssecsvc2.0. Если обнаружено, определите и проверьте с какими виртуальными машинами он начал связываться на порту 445.
  5. Создайте распределенное правило брандмауэра, чтобы немедленно блокировать и контролировать весь трафик с портом назначения 445 в подсети /24 на любой ВМ, которая находится в этом списке.
  6. Используйте Контроль конечных точек, чтобы определить, запущен ли mssecssvc2.0 в системах, которые не пропатчены, чтобы NSX мог обнаружить начало новой атаки.
  7. Дополнительные меры предосторожности включают в себя блокирование RDP-связи между системами и блокировку всех соединений между настольными ПК и ПК в средах VDI. С NSX этот уровень принуждения может быть достигнут с помощью единого правила.

Оригинал статьи здесь>>

Заказать консультацию
О компании