行业背景

近年來,隨着網絡的快速發展,大部分傳統行業逐漸實現了數字化、網絡化及智能化的轉型,在擁抱產業互聯網化的浪潮中,也暴露出一系列網絡安全問題。2017年開始勒索病毒大規模爆發,乘機發難,瘋狂斂財,影響日漸擴大。近幾年由勒索病毒攻擊造成的國內外大小事件層出不窮,全球範圍內的政府、交通、能源、醫療等社會基礎服務設施,成為了勒索病毒攻擊的目標。
根據奇安信《2019年網絡安全應急響應分析報告》得出:2019年全年政府機構、大中型企業安全事件遭受攻擊常見木馬排名前三的為勒索病毒、挖礦木馬以及一般木馬。攻擊政府機構、大中型企業的常見勒索病毒分別為GlobeImposter勒索軟件、Wannacry勒索軟件、Crysis勒索軟件、GandCrab勒索軟件等。
面對日益猖狂的勒索病毒,政企單位需要加強自身網絡安全防護建設,建立起完善的安全防護措施,構建防禦、檢測、響應和預測的自適應安全防禦體系,才能有效的檢測和防護勒索病毒,保證內部網絡及信息系統的安全。

业务挑战

近年來,隨着網絡的快速發展,大部分傳統行業逐漸實現了數字化、網絡化及智能化的轉型,在擁抱產業互聯網化的浪潮過程中,也暴露出一系列網絡安全問題。2017年開始,勒索病毒大規模爆發,瘋狂斂財,由勒索病毒攻擊造成的國內外大小事件層出不窮,全球範圍內的政府、交通、能源、醫療等社會基礎服務設施,成為了勒索病毒攻擊的目標。

奇安信《2019年網絡安全應急響應分析報告》顯示:2019年政府機構、大中型遭遇的病毒攻擊事件中,勒索病毒排名第一,以GlobeImposter、Wannacry、Crysis、GandCrab等居多。

解决方案

面對日益猖狂的勒索病毒,奇安信推出勒索病毒防護解決方案,幫助政企單位加強自身網絡安全防護建設,建立起完善的安全防護措施,構建防禦、檢測、響應和預測的自適應安全防禦體系,實現對勒索病毒的有效檢測和防護,保證內部網絡及信息系統的安全。

方案部署架構圖如下:


在針對勒索病毒防護安全建設過程中,方案關注以下關鍵能力建設:

1.防禦能力:通過一系列策略集、產品和服務,通過減少被攻擊面來提升攻擊門檻,並在受影響前攔截攻擊動作。

2.檢測能力:用於發現逃過防禦網絡的攻擊,從而降低威脅造成的“停擺時間”以及其他潛在的損失。

3.響應能力:目標是實現高效調查和補救被檢測分析功能(或外部服務)查出的安全事件,以提供入侵認證和攻擊來源分析,併產生新的預防手段來避免未來的安全事件。

4.預測能力:通過對外部黑客行動的學習,主動鎖定對現有系統和信息具有威脅的新型攻擊,並對漏洞劃定優先級和定位。該情報將反饋到預防和檢測功能,從而構成整個處理流程的閉環。


一、防禦能力建設

方案通過從網絡入口到需要防禦目標均設置防禦節點的方式,進行防禦能力建設:

1. 智慧防火牆

在互聯網接入區域及其他區域邊界處部署智慧防火牆,通過防火牆規則、威脅情報及雲端威脅情報中心對內部網絡失陷主機進行定位,實現網絡邊界處對失陷主機的檢測、發現和及時處理,防止因為失陷主機造成的信息外泄或者對外發起惡意攻擊,使政企單位面臨經濟損失及法律風險。

2. 終端安全管理系統

在網絡內部終端部署天擎終端安全管理系統,構建有效抵禦已知病毒、勒索病毒、漏洞、未知惡意代碼和高級威脅APT攻擊的終端安全防禦體系。

天擎能夠實現:

終端木馬、病毒查殺

勒索病毒檢測和防護

違規終端接入管控

終端違規軟件管控

終端漏洞的及時修復

終端安全狀況的統一管控

目前,天擎可以對大部分勒索病毒進行檢測和查殺,並通過敲詐先賠服務免除客户後顧之憂。

此外,天擎EDR模塊能夠與天眼威脅感知系統聯動,準確檢測內部的失陷主機,並通過天擎進行響應處置;天擎還可以與智慧防火牆聯動,實現對內部風險主機或失陷主機進行安全管控。

3. 終端安全准入系統

在內部網絡部署終端安全准入系統,實現終端發現、訪客註冊、認證授權、合規檢查、隔離修復、訪問控制、入網追溯等“一站式”的入網控制管理流程。所有終端接入網絡,訪問核心區域資源,都必須進行身份認證,同時進行入網安全檢查,對不符合安全要求的終端,根據事先設置的策略進行隔離和修復,直到達到合規入網的管理規範要求為止。而且,終端安全准入系統還可以提高天擎客户端的部署率,保障入網終端是在安全可控範圍內,保證內網的安全。

4. 服務器安全管理系統

在物理服務器系統上部署天擎,通過內核級加固、強制訪問控制、應用自保護、沙盒等技術等提高服務器操作系統對抗黑客攻擊及惡意代碼的能力,有效檢測及攔截已知和未知安全威脅,全方位保障服務器操作系統、業務系統和數據內容的安全。系統支持主流的硬件平台、操作系統和應用,同時支持物理機和虛擬化架構(xen、vmware、hyper-v等),支持異構網絡部署,實現跨平台的統一管理。


二、檢測能力建設

方案主要通過在內部網絡中部署奇安信天眼威脅感知系統,進行檢測能力建設。天眼可基於自有的多維度海量互聯網數據,進行自動化挖掘與雲端關聯分析,提前洞悉各種安全威脅,並向客户推送定製的專屬威脅情報。同時,天眼還能實現未知威脅的早期快速發現,並可對受害目標及攻擊源頭進行精準定位,實現入侵途徑及攻擊者背景的研判與溯源。

天眼能夠實現:

檢測發現傳統防護手段漏過的未知威脅

在隔離網絡環境下檢測未知威脅

對企業內的海量數據進行安全分析

對企業內已發現的問題進行攻擊回溯

精準及時地處理通過威脅情報發現的終端的安全威脅


三、響應能力建設

方案通過產品之間的聯動響應以及應急響應服務機制,實現響應能力建設。

1. 天擎&天眼、防火牆&天眼聯動響應

天擎通過EDR模塊與天眼聯動,構建對未知漏洞(0day)利用、未知惡意代碼植入、勒索病毒、APT等攻擊過程從精確檢測到深度防禦的縱深防範閉環體系,實現終端的安全防護。

智慧防火牆通過NDR模塊與天眼聯動,構建網絡層面的已知威脅與未知威脅的發現,並通過防火牆聯動實現有效的網絡層安全防護。

2. 應急響應服務機制建立

建立安全事件應急響應機制,對安全事件進行檢測、分析、協調、處理,保護資產安全屬性的活動,並協同建立有效的防禦策略來抵禦網絡安全威脅。


四、預測能力建設

方案通過將奇安信雲端海量數據的分析成果定期同步至方案中涉及到產品,實現對APT攻擊、勒索病毒、新型木馬、特種免殺木馬的規則化描述。同時通過威脅情報解讀定期推送分享服務,向政企單位分享APT攻擊行為和事件情報、攻擊團伙情報、惡意代碼和漏洞利用情報、攻擊團伙活躍態勢情報等,建立預測預警能力。

客户价值

1. 協助客户建立有效的自適應安全防禦體系,有效實現勒索病毒防護。

2. 為客户提供覆蓋“邊界+終端+雲端”、基於威脅情報的多層次智慧檢測、防禦措施。

3. 為客户建立數據驅動的“自動化+人工響應”的有效處置機制。

4. 為客户建立“雲端威脅情報+本地威脅檢測”的安全預測預警能力。

应用场景