圖1 政府、大中型企業、醫療遭受攻擊常見木馬分析
2017年5月12日,WannaCry蠕蟲在全球範圍大爆發,引爆互聯網行業的“生化危機”。藉助“永恆之藍”高危漏洞傳播的WannaCry在數小時內影響近150個國家,一些政府機關、高校、醫院的電腦屏幕都被“染”成了紅色,致使多個國家政府、教育、醫療、能源、通信、交通、製造等諸多關鍵信息基礎設施遭受前所未有的破壞,勒索病毒也由此事件受到空前的關注。
醫院數據都是患者的就醫信息,一旦出現問題,將會帶來極其嚴重的後果,按照衞健委對醫院安全的要求,其數據的重要程度可以與銀行相媲美,對數據和業務的實時性要求很夠;另外醫療信息系統安全建設能力相對其他行業薄弱;結合以上兩點,醫院成為不法分子的首要攻擊目標。如果數據被加密,無論面對焦慮等待就醫的患者,還是面對上級部門的問責,都讓醫院壓力倍增,因此各醫院對勒索病毒的防控工作刻不容緩。
• 及時發現、及時處理:眾多資產資產暴露在互聯網,存在弱口令且Windows遠程桌面服務(3389端口) 開啓狀態。
• 終端安全管理:內網終端未部署或殺毒軟件不能及時更新;另外終端數量多、分佈範圍廣,運維工作難度大。
• 數據中心虛擬化安全防護:醫院的業務系統80%部署於虛擬化環境,缺乏東西向安全防護,業務系統持續、安全運行無法得到保障。
• 未知威脅感知:客户對自己現有安全建設能力模糊,不確定信息系統是否存在其他未知威脅,一旦被攻擊後,無法對受害目標和攻擊者溯源。
方案內容
綜合上述需求需求分析,需要建設一套自適應安全體系,自適應安全模型構建安全體系是當前安全業界推薦的主流建設模型。自適應防護架構的關鍵能力包括如下:
圖2 自適應防護架構
1. “防禦能力” 是指一系列策略集、產品和服務可以用於防禦攻擊。這個方面的關鍵目標是通過減少被攻擊面來提升攻擊門檻,並在受影響前攔截攻擊動作。
2. “檢測能力”用於發現那些逃過防禦網絡的攻擊,該方面的關鍵目標是降低威脅造成的“停擺時間”以及其他潛在的損失。檢測能力非常關鍵,因為企業應該假設自己已處在被攻擊狀態中。
3. “響應能力”用於高效調查和補救被檢測分析功能(或外部服務)查出的事務,以提供入侵認證和攻擊來源分析,併產生新的預防手段來避免未來事故。
4. “預測能力”使系安全系統可從外部監控下的黑客行動中學習,以主動鎖定對現有系統和信息具有威脅的新型攻擊,並對漏洞劃定優先級和定位。該情報將反饋到預防和檢測功能,從而構成整個處理流程的閉環。
智慧防火牆
“失陷主機”是指被攻擊者成功侵入,行為特徵符合“受到控制”或“發起惡意行為”的主機。根據拓撲網絡分析目前網絡安全情況,部署智慧防火牆, 對內部失陷主機進行定位。終端安全管理系統
以大數據技術為支撐、以可靠服務為保障,終端安全管理系統能夠為用户精確檢測已知病毒木馬、未知惡意代碼,有效防禦APT攻擊,並提供終端資產管理、漏洞補丁管理、安全運維管控、網絡安全准入、移動存儲管理、終端安全審計、XP盾甲防護諸多功能。虛擬化安全管理系統
虛擬化安全管理系統提供對宿主機、虛擬機、虛擬機應用的三層防護能力,採用低耗的技術架構,全面兼容企業物理和虛擬環境,保障企業業務系統的穩定性和連續性,為用户提供一套可跨多種虛擬化平台、具備強大防護能力的虛擬化安全解決方案。未知威脅感知系統
網神新一代威脅感知系統(以下簡稱“天眼”)可基於奇安信集團自有的多維度海量互聯網數據,進行自動化挖掘與雲端關聯分析,提前洞悉各種安全威脅,並向用户推送定製的專屬威脅情報。同時結合部署在客户本地的大數據平台,進行本地流量深度分析。天眼能夠對未知威脅的惡意行為實現早期的快速發現,並可對受害目標及攻擊源頭進行精準定位,最終達到對入侵途徑及攻擊者背景的研判與溯源,幫助用户防患於未然。完善安全應急服務
做好網絡安全應急工作,首先要建立統一協調機制,健全安全運維的技術覆蓋範圍和標準體系;第二,建立與國家網信部門工作體系、國家應急保障體系的銜接,完善行業外合作機制;第三,建立安全考核責任制,督促各層級做好安全保障責任落實;第四,減少不必要的業務出口以及不恰當的信息系統外圍入口。• 建立邊界+終端+威脅情報多層次智慧防禦體系;
• 建立基於威脅情報的預警服務,解決預警不及時的問題;
• 建立通過特徵+行為分析+威脅情報多維檢測精準告警;
• 建立大數據驅動的自動化+人工有效響應機制。
網絡部署方案
反勒索解決方案部署架構如下圖所示:
客户場景:辦公網及數據中心防禦勒索蠕蟲病毒。