勒索病毒實用對抗指南
那么,面對勒索病毒的威脅����,應(yīng)該怎么做?
從攻擊者的角度來看����,無論發(fā)起多么復(fù)雜的勒索攻擊,在網(wǎng)絡(luò)中經(jīng)歷多少環(huán)節(jié)�,采用多少高級技術(shù),這些攻擊動作必須通過某一個或多個終端才能完成�。因此,勒索病毒應(yīng)對離不開對終端的安全防護:
1.及時明確終端安全基線�,實現(xiàn)主機安全加固;
2.及時對終端間的訪問關(guān)系進行梳理���,實現(xiàn)終端間細粒度訪問控制����;
3.及時選用具備未知威脅防護的終端安全產(chǎn)品,實現(xiàn)對于勒索病毒頻繁變種的有效防護�;
4.及時對內(nèi)網(wǎng)各類型資產(chǎn)進行全面防護,實現(xiàn)對于勒索病毒入侵的全面防范��;
5.及時具備內(nèi)網(wǎng)終端的應(yīng)急隔離機制���,實現(xiàn)將已感染主機迅速采取隔離措施防止病毒擴散蔓延;
6.及時對終端進行漏洞掃描并更新安全補丁���,防止勒索病毒實現(xiàn)漏洞傳播���。
深信服服在對國內(nèi)用戶進行了大量調(diào)研與洞察之后�,推出了基于適應(yīng)國內(nèi)終端網(wǎng)絡(luò)安全現(xiàn)狀的下一代終端安全產(chǎn)品深信服EDR。值得注意的是����,該產(chǎn)品不同于傳統(tǒng)殺毒產(chǎn)品及國外所定義的狹義EDR產(chǎn)品,而是圍繞用戶終端資產(chǎn)安全生命周期���,通過預(yù)防���、防御�����、檢測�����、響應(yīng)賦予終端更為細致的隔離策略����、更為精準(zhǔn)的查殺能力���、更為持續(xù)的檢測能力��、更為快速的處置能力�。在應(yīng)對高級威脅的同時�,通過云網(wǎng)端聯(lián)動協(xié)同、威脅情報共享���、多層級響應(yīng)機制���,幫助用戶快速處置終端安全問題��,幫助用戶構(gòu)建輕量級���、智能化、響應(yīng)快的下一代終端安全系統(tǒng)�。
▲深信服EDR
值得一提的是,作為目前熱點威脅的勒索病毒�,傳統(tǒng)的被動防御往往無法有效阻止勒索加密進程。而應(yīng)用于EDR的主動防御模式��,不同于被動防御�,可在勒索病毒入侵行為對信息系統(tǒng)發(fā)生影響的初期甚至之前�,能夠及時精準(zhǔn)預(yù)警,實時構(gòu)建彈性防御體系����,避免、轉(zhuǎn)移����、降低信息系統(tǒng)面臨的風(fēng)險。
1. 基于AI的多維度智能檢測機制
在終端對所有文件行為進行監(jiān)控���,在關(guān)鍵的訪問時機觸發(fā)文件檢測��,當(dāng)發(fā)現(xiàn)是勒索病毒文件時�����,即進行阻斷并清除���。
基于文件的檢測�,深信服EDR構(gòu)建了一個多維度�、輕量級的漏斗型檢測框架,包含文件信譽檢測引擎���、基因特征檢測引擎��、基于AI 技術(shù)的SAVE安全智能檢測引擎�����、行為引擎�����、云查引擎等���。通過層層過濾����,檢測更準(zhǔn)確�����、更高效���,資源占用消耗更低����。
▲多維度漏斗型檢測框架
其中�����,強力打造基于AI的SAVE安全智能檢測引擎����,作為已知和未知勒索病毒的克星�����,具體的能力包括:
(1) 基于人工智能技術(shù)��,擁有強大的泛化能力,能夠識別未知病毒或者已知病毒的新變種�。
(2)對勒索病毒檢測效果達到業(yè)界領(lǐng)先,包括影響廣泛的 WannaCry���、BadRabbit����、GandCrab����、Globelmposter等勒索病毒家族,SAVE可以全部檢出和查殺����。
▲輕量級人工智能檢測引擎SAVE
2. 基于勒索病毒攻擊鏈的主動防御
安全基線檢查及修復(fù)
定期對終端進行身份鑒別、訪問控制�、入侵防范、惡意代碼防范等策略進行合規(guī)性審查�����,提供修復(fù)或修復(fù)建議�,從而實現(xiàn)主機加固,做好安全防范,防止暴力破解等方式被勒索病毒所入侵��。
▲基線檢查
防爆破檢測和防御
終端上持續(xù)監(jiān)控密碼爆破行為��,發(fā)現(xiàn)爆破行為���,可以設(shè)置對特定IP 進行一段時間的自動封停����,避免終端被爆破成功����,從而阻止勒索病毒的入侵或傳播。
微隔離與降低威脅影響面
通過對不同終端的精細化安全隔離���,實現(xiàn)對不同部門間���,不同角色間,不同業(yè)務(wù)系統(tǒng)間的安全域進行完善的安全隔離與細粒度的訪問控制��。
▲微隔離
勒索誘捕方案
裝載在終端系統(tǒng)上的EDR客戶端�,在系統(tǒng)關(guān)鍵目錄及隨機目錄放置誘餌文件����,當(dāng)勒索病毒調(diào)用加密進程對終端文件加密���,當(dāng)加密到誘餌文件時,誘餌文件將加密進程反饋至EDR客戶端���,EDR客戶端立即殺掉加密進程阻止加密����,并根據(jù)調(diào)用進程的病毒源文件進行查殺����。
▲勒索誘捕方案
3. 對用戶信息資產(chǎn)的全面保護
任一終端若無有效的保護措施,均有可能成為整體網(wǎng)絡(luò)安全短板�,作為突破口對全網(wǎng)終端造成嚴重的安全威脅。
深信服EDR可有效保護桌面云�,傳統(tǒng)PC,筆記本�����,私有云���,服務(wù)器�,私有云,公有云等各類型終端��,并且終端系統(tǒng)兼容性廣闊����,適配包括Windows,CentOS��,Ubuntu����,redhat,SuSE�,Debian,國產(chǎn)化操作系統(tǒng)等等����,云環(huán)境下與底層虛擬化解耦,適配全部虛擬化底層平臺�。
▲深信服EDR適配全類型資產(chǎn)
當(dāng)您的終端出現(xiàn)勒索病毒或其他安全威脅時,可以聯(lián)系我們幫助您解決當(dāng)前終端安全問題���,讓下一代終端安全EDR為您的業(yè)務(wù)保駕護航�!
掃碼關(guān)注公司抖音號 
客服QQ
18123591892
282180126@qq.com