醫(yī)療行業(yè)-勒索病毒的刨析與防范v22課件

勒索病毒剖析與防范勒索病毒原理01主機感染勒索病毒文件后，會在主機上運行勒索程序，遍歷本地所有磁盤指定類型文件進行加密操作，加密后文件無法讀取。然后生成勒索通知，要求受害者在規(guī)定時間內支付一定價值的比特幣才能恢復數據，否則會被銷毀數據。什么是勒索病毒？勒索病毒事件回顧WannaCry勒索病毒2017年5月12日WannaCry在全球爆發(fā)，勒索病毒使用MS17-010永恒之藍漏洞進行傳播感染。短時間內感染全球30w+用戶，包括學校、醫(yī)療、政府等各個領域Globelmposter勒索病毒首次出現在2017年5月，主要釣魚郵件傳播，期間出現多種變種會利用RDP進行傳播

。2018年2月中旬新年開工之際Globelmposter變種再度來襲。受害者勒索界面勒索病毒的發(fā)展和進化勒索即服務（RaaS）市場規(guī)模年增長25

倍無特定目標勒索手段粗糙AIDS木馬世界首例勒索病毒1989Archievus木馬首次采用非對稱加密LockerPin首例安卓勒索軟件WannaCry軍用級漏洞利用200620152017針對特定目標難以解密、追蹤15年損失約3.15億美元大規(guī)模破壞損失2年增長15倍2019每14秒一次勒索攻擊病毒數量指數級增加損失將達到115億美元利用機器學習物聯網設備……

勒索病毒傳播需要植入到受害者主機的常見四種方式釣魚郵件惡意代碼偽裝在郵件附件中，誘使打開附件典型案例：Locky、Petya變種主要對象：個人PC蠕蟲式傳播通過漏洞和口令進行網絡空間中的蠕蟲式傳播典型案例：WannaCry、Petya變種主要對象無定向，自動傳播都有可能ExploitKit分發(fā)通過黑色產業(yè)鏈中的ExploitKit來分發(fā)勒索軟件典型案例：Cerber主要對象：有漏洞的業(yè)務Server勒索病毒常見傳播方式暴力破解通過暴力破解RDP端口、SSH端口，數據庫端口典型案例：.java、Globelmposter變種主要對象：開放遠程管理的Server勒索病毒常見傳播方式

網閘

醫(yī)院外網

醫(yī)院內網

終端響應

邊界防護

邊界防護INTERNET

微信公眾號Web服務0Day漏洞暴力破解釣魚郵件社工攻擊移動存儲工具勒索病毒運行后對預定的文件類型進行加密文件加密完成文件加密后，彈出勒索對話框引起受害者注意彈框勒索對內部網絡主機進行弱點探測網絡探測對存在弱點的內網主機進行弱點利用并傳播勒索病毒內網傳播內網傳播感染勒索病毒內網傳播方式勒索病毒攻擊演示勒索病毒的特點和挑戰(zhàn)網絡勒索病毒變異虛擬貨幣傳播手段傳統(tǒng)殺軟難以檢驗難以人力收集樣本盈利方式直接難以監(jiān)管追蹤多種傳播手段單一防御檢測方法難以應對勒索病毒應急處置與加固02勒索病毒預防措施----安全管理制度建立完善的安全管理制度并嚴格執(zhí)行嚴格管理互聯網訪問權限，避免引入外部風險；嚴格控制內網終端接入移動存儲設備，避免引入安全風險；網絡管理員應該周期性的使用網絡檢查設備檢查網絡或關注和整理網絡安全設備生成的日志報表，了解網絡是否存在安全風險，及時整改；禁止人為關閉計算機終端防病毒軟件等安全軟件；私人計算機終端禁止接入醫(yī)院網絡；強制所有安全設備/軟件每天更新規(guī)則庫并每隔一段時間檢查更新情況；等等……勒索病毒預防措施----網絡層面根據院內網絡實際情況，重新規(guī)劃安全隔離區(qū)域，通過防火墻設備修改配置策略實現區(qū)域與區(qū)域之間的安全隔離，避免勒索病毒在內網擴散；嚴格配置外聯網絡的邊界訪問控制策略，例如互聯網接入區(qū)、外聯網絡接入區(qū)等（默認外聯機構的網絡都是不安全的）；關閉不必要的端口訪問，僅開放必須的業(yè)務端口；加強邊界安全防護設備的策略配置，重新檢查配置情況，避免因策略配置缺失帶來的安全風險；及時更新內外網所有安全設備/安全軟件的規(guī)則庫，目前絕大部分安全產品都是基于特征庫匹配的防護模式，更新到最新的規(guī)則庫有助于防御最新的安全風險；勒索病毒預防措施----邊界隔離

安全訪問應用交付下代防火墻萬兆網絡千兆網絡交換機上網行為管理

PACS大容量區(qū)域

OA、手麻、財務常規(guī)區(qū)域

HIP、HIS、EMR、LIS高性能區(qū)域安全感知

網絡總體出口

放射科住院部門診部急診樓

災備數據中心

生產數據中心ISP1ISP2ISP1

WEB、手機APP互聯網業(yè)務區(qū)域

醫(yī)聯體-村鎮(zhèn)鄉(xiāng)醫(yī)院醫(yī)聯體醫(yī)院-N分支云分支云醫(yī)聯體醫(yī)院-1網閘

內網交換/無線控制器

外網交換網絡

外網交換網絡容災內網容災區(qū)域網閘

醫(yī)聯體-區(qū)縣醫(yī)院醫(yī)聯體醫(yī)院-N醫(yī)聯體醫(yī)院-1

醫(yī)聯體區(qū)域

安全資源池

醫(yī)聯體云深信服——醫(yī)院整體數據中心拓撲圖

PACS大容量區(qū)域

OA、手麻、財務常規(guī)區(qū)域

HIP、HIS、EMR、LIS高性能區(qū)域

網絡總體出口放射科住院部門診部急診樓ISP1ISP2

醫(yī)聯體-村鎮(zhèn)鄉(xiāng)醫(yī)院醫(yī)聯體醫(yī)院-N分支云分支云醫(yī)聯體醫(yī)院-1網閘

內網交換/無線控制器

外網交換網絡

醫(yī)聯體-區(qū)縣醫(yī)院醫(yī)聯體醫(yī)院-N醫(yī)聯體醫(yī)院-1

醫(yī)聯體區(qū)域

安全資源池

醫(yī)聯體云

安全訪問應用交付下代防火墻萬兆網絡千兆網絡交換機上網行為管理

PACS大容量區(qū)域

OA、手麻、財務常規(guī)區(qū)域

HIP、HIS、EMR、LIS高性能區(qū)域

網絡總體出口放射科住院部門診部急診樓ISP1ISP2ISP1網閘

內網交換/無線控制器

外網交換網絡

外網交換網絡容災內網容災區(qū)域網閘

災備數據中心

生產數據中心

HIPHISEMRPACS其他系統(tǒng)RTO=0RPO=0RTO=0RPO=0RTO=5mRPO=0RTO=15mRPO=0RTO=15RPO=0

安全訪問應用交付下代防火墻萬兆網絡千兆網絡交換機上網行為管理

PACS大容量區(qū)域

OA、手麻、財務常規(guī)區(qū)域

HIP、HIS、EMR、LIS高性能區(qū)域安全感知

網絡總體出口

放射科住院部門診部急診樓ISP1ISP2

WEB、手機APP互聯網業(yè)務區(qū)域網閘

內網交換/無線控制器

外網交換網絡

災備數據中心

生產數據中心

安全訪問應用交付下代防火墻萬兆網絡千兆網絡交換機上網行為管理安全感知

網絡總體出口

放射科住院部門診部急診樓ISP1ISP2網閘

內網交換/無線控制器

外網交換網絡

PACS大容量區(qū)域

OA、手麻、財務常規(guī)區(qū)域

HIP、HIS、EMR、LIS高性能區(qū)域勒索病毒預防措施----系統(tǒng)及應用層面避免使用弱口令，口令強度要符合規(guī)范，并且定期更換，禁止多個終端/服務器使用同一口令；關閉Windows共享服務、遠程桌面控制等不必要的服務，僅開放服務器所必需的服務；定期對主機/服務器執(zhí)行打補丁的操作，確保操作系統(tǒng)時刻處于最新的狀態(tài)；對重要系統(tǒng)及數據進行定期非本地備份或組建異地災備平臺；不要點擊來歷不明的郵件正文鏈接及查看或下載附件信息；勒索病毒應急處置“中招”怎么辦?1.隔離感染主機2.切斷傳播途徑3.查找攻擊源4.查殺病毒修復漏洞已中毒計算機盡快隔離，關閉所有網絡連接，禁用網卡；

關閉潛在終端的SMB，RDP端口。關閉異常的外聯訪問。抓包分析攻擊源，網內查找其他受感染的終端及服務器查殺病毒，如有漏洞及時打補丁修復漏洞，修改管理員權限帳號口令；勒索病毒數據恢復加密原理1.勒索工具遍歷加密文件2.刪除原始文件，只留下加密文件找到被刪除的源文件恢復1.不同勒索病毒可能采用不同加密算法2.針對大文件勒索病毒為了提升加密效率只加密文件頭3.具體加密步驟如下數據恢復方法方案一：嘗試用數據恢復軟件找到被刪除的源文件；方案二：通過解密工具破解，解密文件；方案三：通過winhex對比歷史文件分析文件頭內容恢復方案四：支付贖金恢復數據，部分勒索病毒即便支付攻擊者贖金也未必可以解密被勒索文件勒索病毒的數據恢復難度較大，防范應以預防為主，如下提供幾個思路嘗試勒索病毒給我們的啟示安全體系人工智能持續(xù)對抗快速響應事件第一時間響應風險隔離緊急處置持續(xù)待命構建安全體系嚴格執(zhí)行實時監(jiān)控防護策略落地識別未知風險自動化檢測防御提高準確率持續(xù)進化勒索時代前赴后繼的黑客新的家族、變種新的攻擊方式深信服的安全實踐03攻擊投放阻斷擴散傳播阻斷阻斷病毒傳播的漏洞流量漏洞阻斷安全防御----流量防御對郵件附件進行查殺，識別惡意的郵件附件郵件查殺對下載的可執(zhí)行文件進行云查殺，阻斷勒索病毒的下載病毒查殺勒索病毒阻斷阻斷弱口令攻擊嘗試暴力破解防護安全防御----威脅感知數據中心探針STA辦公區(qū)探針STA安全感知系統(tǒng)SISEDR插件EDR插件EDR插件端點聯動針對大型醫(yī)療機構全網自動發(fā)現受害主機及服務器，發(fā)現潛伏威脅主機，提供安全決策依據；內網終端及服務器的訪問關系梳理，及時發(fā)現異常訪問流量訪問關系梳理自動發(fā)現內網服務器及終端存在的漏洞，避免勒索病毒通過漏洞傳播內網漏洞感知感知內網是否存在弱口令，避免通過弱口令入侵植入勒索病毒弱口令安全防御----人工智能分析異常訪問行為感知通過機器學習及大數據人工智能算法，分析內網異常行為，應對未知勒索病毒的攻擊行為；使用安全感知探針方案分析流量可以發(fā)現內部潛伏的安全問題。威脅主機檢測當新型勒索病毒爆發(fā)時快速響應，進行針對性的檢測與防護快速響應阻斷勒索病毒攻擊中的各個階段，將勒索病毒御敵于網絡之外流量防御通過本地、遠程手段掃描可能傳播勒索病毒或被勒索病毒利用的漏洞或口令脆弱性，事前預防勒索病毒的植入途徑勒索風險安全評估全方位安全服務安全防御----應急安全服務災備服務----CDP技術實時數據備份生產服務器客戶端軟件離線存儲前置服務器災備管理平臺云端業(yè)務驗證本地接管服務器本地數據中心IPSecVPNIPSecVPNXYCloudsCDP復制本地CDP復制：秒級數據保護，輕松應對系統(tǒng)中毒、數據被鎖云端離線存儲：本地系統(tǒng)無法訪問，避免云端備份快照被感染應用級別容災：恢復系統(tǒng)到中毒之前，最大限度還原系統(tǒng)狀態(tài)云端隔離驗證：驗證系統(tǒng)安全性，避免已中毒系統(tǒng)再次感染內網VPC災備服務----異地災備生產服務器客戶端軟件災備云前置服務器災備管理平臺云端業(yè)務接管正常的業(yè)務訪問切換后的業(yè)務訪問本地接管服務器本地數據中心IPSecVPNIPSecVPNXYClouds外網用戶內網用戶正常的業(yè)務訪問切換后的業(yè)務訪問內網應用在本地切換VPC域名訪問：DNS解析切換感染C&C通信加密勒索橫向傳播下一代防火墻端點檢測響應安全感知平臺郵件勒索病毒檢測惡意域名DGA勒索病毒檢測進程阻斷病毒查殺SMB解析勒索病毒檢測漏洞修復下一代防火墻EDRSIP勒索病毒NGAFNGAF全網勒索情報云災備服務人工智能引擎安全專家值守響應檢測防御能力生成安全云腦持