愈演愈烈的勒索病毒
这是勒索病毒肆虐的时代,无数勒索病毒的变种滋生而起。民众和政企深受勒索病毒的侵扰,苦不堪言。
一方面,勒索病毒攻击有增无减。利用勒索病毒的成本非常低,在暗网等黑市仅需几千元就可以购买一个未知的勒索病毒,而一次成功的勒索就可以得到十几倍到上百倍的利润,这让不少游走在法律之外的狂徒趋之若鹜。另一方面,勒索病毒难防。传统以静态特征防御为主的保护方式无法应对各式各样的勒索病毒变种,且不少勒索病毒具备蠕虫性质,能够在网络中快速传播扩散,防范难度增大。
勒索病毒实用对抗指南
那么,面对勒索病毒的威胁,应该怎么做?
从攻击者的角度来看,无论发起多么复杂的勒索攻击,在网络中经历多少环节,采用多少高级技术,这些攻击动作必须通过某一个或多个终端才能完成。因此,勒索病毒应对离不开对终端的安全防护:
-
及时明确终端安全基线,实现主机安全加固;
-
及时对终端间的访问关系进行梳理,实现终端间细粒度访问控制;
-
及时选用具备未知威胁防护的终端安全产品,实现对于勒索病毒频繁变种的有效防护;
-
及时对内网各类型资产进行全面防护,实现对于勒索病毒入侵的全面防范;
-
及时具备内网终端的应急隔离机制,实现将已感染主机迅速采取隔离措施防止病毒扩散蔓延;
-
及时对终端进行漏洞扫描并更新安全补丁,防止勒索病毒实现漏洞传播。
深信服EDR,主动防御无惧勒索
深信服服在对国内用户进行了大量调研与洞察之后,推出了基于适应国内终端网络安全现状的下一代终端安全产品深信服EDR。值得注意的是,该产品不同于传统杀毒产品及国外所定义的狭义EDR产品,而是围绕用户终端资产安全生命周期,通过预防、防御、检测、响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。在应对高级威胁的同时,通过云网端联动协同、威胁情报共享、多层级响应机制,帮助用户快速处置终端安全问题,帮助用户构建轻量级、智能化、响应快的下一代终端安全系统。
深信服EDR
值得一提的是,作为目前热点威胁的勒索病毒,传统的被动防御往往无法有效阻止勒索加密进程。而应用于EDR的主动防御模式,不同于被动防御,可在勒索病毒入侵行为对信息系统发生影响的初期甚至之前,能够及时精准预警,实时构建弹性防御体系,避免、转移、降低信息系统面临的风险。
基于AI的多维度智能检测机制
在终端对所有文件行为进行监控,在关键的访问时机触发文件检测,当发现是勒索病毒文件时,即进行阻断并清除。
基于文件的检测,深信服EDR构建了一个多维度、轻量级的漏斗型检测框架,包含文件信誉检测引擎、基因特征检测引擎、基于AI 技术的SAVE安全智能检测引擎、行为引擎、云查引擎等。通过层层过滤,检测更准确、更高效,资源占用消耗更低。
多维度漏斗型检测框架
其中,强力打造基于AI的SAVE安全智能检测引擎,作为已知和未知勒索病毒的克星,具体的能力包括:
(1) 基于人工智能技术,拥有强大的泛化能力,能够识别未知病毒或者已知病毒的新变种。
(2)对勒索病毒检测效果达到业界领先,包括影响广泛的 WannaCry、BadRabbit、GandCrab、Globelmposter等勒索病毒家族,SAVE可以全部检出和查杀。
轻量级人工智能检测引擎SAVE
基于勒索病毒攻击链的主动防御
-
安全基线检查及修复
定期对终端进行身份鉴别、访问控制、入侵防范、恶意代码防范等策略进行合规性审查,提供修复或修复建议,从而实现主机加固,做好安全防范,防止暴力破解等方式被勒索病毒所入侵。
基线检查
-
防爆破检测和防御
终端上持续监控密码爆破行为,发现爆破行为,可以设置对特定IP 进行一段时间的自动封停,避免终端被爆破成功,从而阻止勒索病毒的入侵或传播。
-
微隔离与降低威胁影响面
通过对不同终端的精细化安全隔离,实现对不同部门间,不同角色间,不同业务系统间的安全域进行完善的安全隔离与细粒度的访问控制。
微隔离
-
勒索诱捕方案
装载在终端系统上的EDR客户端,在系统关键目录及随机目录放置诱饵文件,当勒索病毒调用加密进程对终端文件加密,当加密到诱饵文件时,诱饵文件将加密进程反馈至EDR客户端,EDR客户端立即杀掉加密进程阻止加密,并根据调用进程的病毒源文件进行查杀。
勒索诱捕方案
对用户信息资产的全面保护
任一终端若无有效的保护措施,均有可能成为整体网络安全短板,作为突破口对全网终端造成严重的安全威胁。深信服EDR可有效保护桌面云,传统PC,笔记本,私有云,服务器,私有云,公有云等各类型终端,并且终端系统兼容性广阔,适配包括Windows,CentOS,Ubuntu,redhat,SuSE,Debian,云环境下与底层虚拟化解耦,适配全部虚拟化底层平台。
深信服EDR适配全类型资产