企業(yè)防勒索病毒安全解決方案

企業(yè)防勒索病毒安全解決方案一、方案應(yīng)用背景勒索病毒是指：黑客通過鎖屏、加密文件等方式劫持用戶文件數(shù)據(jù)，并敲詐用戶錢財?shù)膼阂廛浖脨阂獯a干擾中毒者的正常使用，只有交錢才能恢復(fù)正常。自2017年5月WannaCry勒索病毒爆發(fā)以來，在短時間內(nèi)大范圍傳播，給企業(yè)、高校、醫(yī)院機(jī)構(gòu)、公共基礎(chǔ)設(shè)施造成了嚴(yán)重后果。硅谷網(wǎng)絡(luò)風(fēng)險建模公司Cyence的首席技術(shù)長GeorgeNg稱，僅“永恒之藍(lán)”網(wǎng)絡(luò)攻擊造成的全球電腦死機(jī)直接成本總計約80億美元。中國是勒索病毒攻擊受害最為嚴(yán)重的國家之一，WannaCry勒索病毒爆發(fā)時僅一天時間，國內(nèi)有近3W機(jī)構(gòu)被攻擊，覆蓋至全國各地，其中教育、醫(yī)療、大型企業(yè)是國內(nèi)被攻擊最為嚴(yán)重的三大行業(yè)。時隔一年后的2018年，勒索病毒威脅猶存。據(jù)相關(guān)機(jī)構(gòu)統(tǒng)計，Globelmposter、Crysis、GandCrab、Satan是2018年上半年最為活躍的四大勒索病毒家族，傳播量占到上半年勒索病毒傳播總量的90%以上。今年七月，針對Windows服務(wù)器的勒索病毒“撒旦”開始對大批企業(yè)服務(wù)器發(fā)起攻擊，病毒會將計算機(jī)中的數(shù)據(jù)庫文件進(jìn)行加密，同時還具備二次傳播能力，有可能入侵局域網(wǎng)內(nèi)的其他機(jī)器。專家預(yù)測，由于利潤豐厚、追蹤困難等原因，未來各種勒索軟件的攻擊將會更為頻繁，殺傷力也更大。方案應(yīng)對方法針對持續(xù)爆發(fā)的勒索病毒，應(yīng)當(dāng)通過構(gòu)建起從事前到事后全周期、全方位的安全防護(hù)體系，幫助各企事業(yè)單位及國家關(guān)鍵信息基礎(chǔ)設(shè)施部門抵御勒索病毒的侵害。在事前，從傳播、加密、擴(kuò)散三條路徑對勒索病毒進(jìn)行監(jiān)測，并從網(wǎng)絡(luò)異常、入侵、多引擎病毒、威脅變種基因等多方面進(jìn)行分析檢測，對未知威脅，采用沙箱檢測方式，檢測涵蓋已知未知高級威脅，檢測結(jié)果以預(yù)警方式發(fā)布，建立未知威脅預(yù)警體系。勒索病毒有以下傳播方式：1、通過郵件附件進(jìn)行傳播；2、通過釣魚郵件進(jìn)行群發(fā)下載URL傳播；3、企業(yè)用戶在惡意站點(diǎn)下載病毒文件進(jìn)行傳播；

就爆發(fā)的WannaCrypt勒索病毒來看，勒索病毒使用是通過隨機(jī)生成的AES密鑰、使用AES-128-CBC方法對文件進(jìn)行加密，然后將對應(yīng)的AES密鑰通過RSA-2048加密，再將RSA加密后的密鑰和AES加密過的文件寫入到最終的.WNCRY文件里。簡而言之，就是用一個非常非常復(fù)雜的鑰匙，把企業(yè)用戶文件鎖上了。能解開的鑰匙掌握在黑客手里，而以現(xiàn)在的企業(yè)用戶現(xiàn)有的計算能力，也基本沒有辦法強(qiáng)行破解。

行而有效的手段是在勒索事件的事前、事中、事后三個主要節(jié)點(diǎn)進(jìn)行安全防護(hù)，針對勒索病毒生效的每個環(huán)節(jié)進(jìn)行監(jiān)控、阻止、查殺。病毒防護(hù)方案：多點(diǎn)防控檢篇點(diǎn)W【防再堵珥題】，陋止橫向干和：+檢篇點(diǎn)W【防再堵珥題】，陋止橫向干和：+幽S全周聯(lián)配司S平臺［琴野的期】*全局吃染超玲+匪暗聯(lián)罰下理*墟的愷演關(guān)聯(lián)帝M單困日掃描】■，t對圉漏性星期far,?程前次版巳麗曲松濯點(diǎn)1【博知NGFW邊界】+需同利用精覆仍則戶+祥本理豳利冊注k￡ME445掃福卜MS17-8席府利用■橫向超葫■釋放篇毒■力岫立杵.在社會工程學(xué)攻擊或者黑客投遞病毒前，通過部署在互聯(lián)網(wǎng)出口和園區(qū)網(wǎng)出口的高性能防火墻、入侵檢測產(chǎn)品進(jìn)行檢測。主要有兩個生效功能：漏洞利用檢測防護(hù)、樣本投遞檢測防護(hù);.在勒索病毒從跳板主機(jī)向內(nèi)網(wǎng)主機(jī)感染中，利用網(wǎng)絡(luò)交換機(jī)中的防病毒插卡進(jìn)行防護(hù)檢測，防止橫向擴(kuò)散，并采取策略全局聯(lián)動進(jìn)行整體防護(hù);.通過網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的漏洞掃描設(shè)備針對系統(tǒng)和架構(gòu)的脆弱性進(jìn)行定期掃描，提前發(fā)現(xiàn)并做好預(yù)警;.建立統(tǒng)一的網(wǎng)絡(luò)安全平臺和調(diào)度系統(tǒng)指揮中心安全態(tài)勢感知，感知全局感染趨勢、策略聯(lián)動下發(fā)、并利用威脅情報有效定位攻擊事件，全方位打造自適應(yīng)的安全防護(hù)能力。H3CSecPathF50X。系列超萬兆下一代防火墻情報有效定位攻擊事件，全方位打造自適應(yīng)的安全防護(hù)能力。H3CSecPathF50X。系列超萬兆下一代防火墻面向UPM接入、敵據(jù)中心.大型企業(yè)出口安全,萬兆及以上應(yīng)用場杲H北 品期■機(jī)S&cBgdeNGFWM水唱WfiHH北 品期■機(jī)S&cBgdeNGFWM水唱WfiH晚HiC寫帝里，。g基gRI阿凱森工低陣MGFWWiklfl<VKRI<H3CSecBhdeForEnterprise企業(yè)級安全插卡為了避免類似病毒的再次入侵，企業(yè)用戶通過積極地做好以下防范措施，也可以達(dá)到防護(hù)效果:H3C 廟劭洗哺處靠也收1.微軟已經(jīng)對部分操作系統(tǒng)停止安全更新，請盡快升級操作系統(tǒng)到最新版本。.對重要文件進(jìn)行定期非本地備份。.始終保持Windows防火墻的開啟狀態(tài)。.及時安裝操作系統(tǒng)的最新安全更新。.在網(wǎng)絡(luò)邊界、防火墻設(shè)備上配置阻止訪問135/137/139/445端口的安全策略.關(guān)注新華三發(fā)布的網(wǎng)絡(luò)安全提示以及IPS特征庫升級提示三、方案效果收益通過專業(yè)的勒索病毒防護(hù)方案，可以有效的為企業(yè)客戶打造一下能力，有效的防止勒索病毒的感染，降低企業(yè)重要數(shù)據(jù)被加密勒索的風(fēng)險：第一，強(qiáng)化了現(xiàn)有網(wǎng)絡(luò)的基礎(chǔ)架構(gòu)，通過對內(nèi)部網(wǎng)絡(luò)進(jìn)行更加精細(xì)的分段和隔離，構(gòu)建內(nèi)網(wǎng)的塔防體系。同時，通過提升對安全策略執(zhí)行效果的感知能力，及時發(fā)現(xiàn)訪問控制的疏漏，避免安全設(shè)備成為“擺設(shè)”，維持網(wǎng)絡(luò)的結(jié)構(gòu)堅固；第二，構(gòu)建統(tǒng)一管理平臺和安全態(tài)勢感知系統(tǒng)，加強(qiáng)安全設(shè)備維護(hù)管理，依靠自動化、半自動化的手段提升應(yīng)急處置的效率與準(zhǔn)確性，企業(yè)