*近,俄罗斯黑客 Darkside 搞了件大事。
这家去年8月才出道的“黑客新人”攻击了美国*成品油管道运营公司,直接导致美国东海岸8800公里汽油输送“大动脉”瘫痪,首都华盛顿和东部17州均受到严重影响,汽油期货直接飙升至三年新高。据*消息,该公司声称业务已恢复。
不过,据*消息,5月13日,美国成品油管道运营公司为此向黑客支付了500万美元的赎金。
图片
哪些行业会是勒索攻击的高发地区?
根据深信服千里目安全实验室发布的《2020勒索病毒年度报告》可知,如今网络攻击种类繁多,其中*令人恐惧的网络攻击之一便是勒索软件(勒索病毒攻击以防为主,目前大部分勒索病毒加密后的文件都无法解密)——通过加密主机数据文件从而勒索赎金的病毒程序。
各行业勒索病毒感染分布(图源深信服千里目实验室《2020年度勒索病毒报告》)
从行业来看,政企单位、科研教育、政府遭受的勒索攻击*多,总占比接近3/4;由于这些行业的业务对数据文件依赖较大,安全防护薄弱,系统设施脆弱等因素,极易成为勒索病毒的主要攻击目标。
因此,深信服认为有必要提供一个真实有效的安全解决方案,给予各行业一个清晰的防护思路,避免在遭遇勒索攻击时造成无法挽回的损失。
图片
打造一个全流程闭环的勒索防护解决方案迫在眉睫
深信服基于近1000个用户的*实践总结出勒索病毒的防护思路:在云网端的多层架构下,针对勒索病毒在突破边界、病毒投放、加密勒索、横向传播等各个环节,实现实时拦截、快速查杀、多重监测和有效处置,为客户提供全方位的勒索防护能力。
在勒索病毒防护方面,深信服已有一套完整的安全解决方案。
勒索防护方案思路
具体而言,这套安全解决方案包含四个层次,即拦截——查杀——监测——闭环处置。
一、拦截
拦截能力覆盖发起勒索攻击时和被勒索攻陷后,又细分为五个环节,即勒索预防、勒索专项防护、慢速爆破防御、RDP 登录二次拦截、进程控制。
1、在勒索预防环节,为确保终端安全性,必须安装杀毒软件、修复操作系统安全漏洞才能接入网络,减少终端中勒索病毒的风险,可采用网络准入类产品,如深信服全网行为管理AC(以下简称深信服AC)建立终端入网安全基线。
2、在勒索专项防护环节,由于漏洞修复成本极高导致内网*大量未修复漏洞,给攻击者预留了潜在的漏洞利用攻击机会,故需采用有效识别漏洞且维护便捷方式,业内常以网络串接防护设备,如采用深信服下一代防火墙(以下简称深信服AF)内置 8000+漏洞特征库,并基于攻击泛化的漏洞覆盖技术,从漏洞共性攻击与利用方式,打造具备泛化能力的漏洞语法检测引擎,同时通过云端全球共享情报5分钟完成同步,漏洞攻击有效拦截率 98.7%。
而针对勒索扩散行为,需快速缩小范围,隔离问题主机,可通过深信服终端检测响应平台(以下简称深信服EDR)则利用无文件攻击防护和勒索诱饵防护对勒索病毒进行实时扫描监测,防止病毒进一步加密扩散。
3、在慢速爆破防御环节:目前大部分勒索病毒为绕过各系统自带或安全设备的阈值破解防护,使用慢速爆破难以被安全设备检测的方式,这也是很多用户使用传统的IPS或防火墙仍中勒索病毒的原因。
对此,深信服AF自研口令暴破深度检测引擎,基于多时间窗口尺度异常登录检测和精细化日志审计分析算法结合,并通过多种特征综合判定登录成功或失败的状态,突破加密流量暴破、慢速/分布式暴破的检测盲区,跳出解密困局,检测率高达95%。
4、在 RDP 登录二次拦截环节:RDP 爆破作为*或者主流的感染方式,先通过钓鱼邮件/钓鱼网站/漏洞利用等,再 RDP 爆破,或者直接 RDP 爆破。
典型代表:LockCrypt、 Crysis 、Planetary、GlobeImposter 等,主要利用了远程桌面协议 RDP 应用的广泛性以及攻破后使用上的便捷性。
需针对远程访问服务器的行为进行二次密码验证,防止黑客远程登录服务器进行勒索病毒投放,减轻服务器资产损失的风险,可采用终端安全平台,如深信服EDR。
5、在进程控制环节:由于勒索形成前会利用系统进程进行伪装,故需针对服务器全系统进程进行可信识别与控制,如通过通过深信服EDR可信进程的加固防护技术,以进程学习、手动导入的可信进程的防护策略,阻止非可信的勒索进程运行与破坏可信进程。
二、查杀层面
预防之后,*重要的是要对勒索病毒保持时刻警惕,经常查杀。包含两个环节,即检测和查杀环节。
随着 AI 技术的诞生以及物联网应用的普及,勒索软件呈爆发式增长,据统计每14秒就会发生一次勒索攻击事件。因此,勒索病毒的种类也越来越多,单纯的检测方法无法*检测。
1、在检测环节,深信服 EDR 引入了5层多维度漏斗型检测框架,通过文件信誉检测引擎、基因特征引擎、人工智能引擎、行为检测引擎、云脑引擎五个维度检测勒索病毒。
2、在查杀环节,深信服 EDR 基于文件信誉引擎将病毒文件的md5特征值进行全网通报;也可针对md5特征,主动进行全网威胁定位,从而在全网进行围剿式查杀。
与此同时,配合深信服下一代防火墙采用流模式和启发式文件扫描技术,对 HTTP、 SMTP、 POP3、 IMAP、 FTP、 SMB 等多种协议类型的近百万种病毒进行查杀,以及可对多线程并发、深层次压缩文件等进行有效控制和查杀。
此外,还可利用人工智能引擎通过对数亿维的原始特征进行分析和综合,强大泛化能力,大幅提升对变种、未知勒索威胁的检出及查杀效果。
三、监测层面
查杀之后要做的工作时监测勒索病毒的活动路径。主要包含监测和告警两个环节。
在监测环节又细分为 C&C 非法通信检测、流量行为监测、攻击链监测、勒索诱捕监测。
由于病毒变种数量多,传统监测方式难免会存在漏网之鱼。
1、在勒索主机进行 C&C非法 通信时,常以动态域名进行隐藏,深信服 AF 创新引入 DGA 动态域名、DNS 隐蔽隧道等检测技术识别恶意连接。
2、在流量行为监测方面,则主要基于深信服安全感知平台SIP(以下简称深信服SIP)内置的勒索专项检测系统,采用业界独创的动态流检测技术(非规则漏洞检测、异常点检测、进程级网端检测、异常行为利用、多阶段攻击等APT场景检测点等)。
深信服态势感知平台SIP勒索专项检测页面
利用AI 2.0和UEBA2.0技术(涵盖13类攻击类别以及400+算法模型)进行综合分析,能够精准的识别不同的勒索软件家族,并通过专业分析识别出勒索病毒感染行为和加密特征,同时通过可视化界面为用户展示内网整体安全状况,*时间发现内网横向扫描、病毒扩散、非法外联等勒索病毒行为,全面分析新型勒索病毒的攻击面及其影响范围,帮助用户在勒索病毒大面积感染前及时发现。
3、在告警环节,利用微信告警通知用户,紧急事件会在2分钟内发出,其他事件在告警策略–*选项–告警频率处所设定的时间内发出。同类事件每日推送三次,超过三次不再推送告警提醒。每日8:00–22:00进行告警推送,其余时间段不主动推送*消息。
四、处置层面
包括三个环节,即联动响应、自动化响应、应急处置。
1、在联动响应环节,包括联动封锁、访问控制、一键查杀、进程取证、快照备份,并且可根据用户的需要,自由组合多项措施进行处置。
具体而言,当深信服SIP、AF在实时监测到勒索攻击事件后,基于主机实体行为分析引擎EBA、联动EDR快速定位出全网失陷主机,执行联动封堵,如禁止主机对外访问、清除病毒文件。
此外,深信服 EDR 还可对主机访问的恶意域名进行取证,定位访问该域名的子进程、父进程的详细信息。
此外,深信服“人机共智”MSS安全运营服务为用户提供勒索病毒预防与响应专项场景服务,服务专家基于安全运营中心百余项勒索病毒Checklist,定期开展风险排查,并协助用户加固;安全运营中心 7*24H持续监测确保*时间发现勒索攻击、感染、传播行为,*时间为用户精准预警,服务专家在线5分钟响应,高效闭环勒索病毒事件。
2、在自动化响应环节,针对勒索事件,配置自动响应策略,当SIP检测到勒索事件时,自动根据响应策略,执行封堵,如联动AF封锁该目标主机、联动EDR禁止主机对外访问、联动EDR清除病毒文件。
3、在应急处置环节,又细分为四个环节,即准备、检测&分析、遏制&消除&恢复、总结优化。
在准备环节,准备勒索病毒事件分析处理所需的资源,如通信保障、人员配合、工具等;
在检测&分析环节,通过查看系统日志、杀毒软件告警日志等对勒索攻击事件进行检测分析,并报告用户安全管理人员;
在遏制&消除&恢复环节,深信服分布式存储 EDS 尝试遏制勒索病毒软件,限制其影响或范围,同时收集证据、执行根本原因分析。在根因分析完毕后快速采取措施进行根除,帮助用户恢复业务正常运转;
在修复完成后,同用户一起回顾事件过程,对事件原因、处置过程等进行复盘,总结经验,并输出事件报告。
图片
综上,深信服认为只有通过拦截、查杀、监测、处置四个阶段对勒索病毒进行精准、快速的闭环处置,才能构建整体的勒索病毒免疫力。
IT解决方案:
移动办公安全解决方案 移动应用安全解决方案
在线业务优化解决方案 在线业务安全解决方案
企业数据安全解决方案
分支组网优化解决方案
业务容灾备份解决方案
互联网安全管控解决方案
新型智慧城市解决方案
政务数据中心建设方案 政务专网建设解决方案
互联网安全优化方案 政务移动安全接入方案
业务全网等级保护三级整改建设案例 业务内网等级保护三级整改建设案例
电子政务专网应用加速及传输优化解决方案
政府信息中心上网行为管理解决方案
企业办公无线解决方案 电子商务网站优化解决方案
企业办公桌面云解决方案 数字校园解决方案
桌面云解决方案 数字图书馆解决方案
业务与支撑系统安全 随势而变的ICT
云资源池安全与优化 广电网络解决方案
网络安全等级保护(等保2.0)解决方案
等保一体机解决方案 云安全解决方案
产品应用场景:
终端安全建设 办公网安全建设 数据中心安全建设
移动安全建设 构建网端云敏捷安全架构
关键业务上云 涉密虚拟化建设 私有云建设
分支云建设 容器云建设 托管专属云建设 同架构混合云建设
数据中心容灾备份 云数据中心建设 改善网络访问体验
服务器负载均衡 双活数据中心 IPv6改造
替换传统PC终端 云数据中心统一存储 海量非结构化数据存储
多分支组网 全球访问加速
企业级数据中心新建/改造
业务系统新建/改造
关键应用上云 容灾备份云
开发测试云 容器云
IT价值:
运维 稳定 安全
安全品类:
边界安全 云安全 终端安全 威胁检测
身份与访问安全 安全审计与运营
RDP爆破检测、文件实时检测、全网威胁定位
科研云、随身桌面云、智慧校园私有云
容灾备份、云内安全防护
云产品HCI超融合一体机:
配置管理
资源监控
分布式防火墙
异构虚拟化管理
CDP及数据备份
集成docker
集成aSEC
产品方向:
安全类
云镜YJ 下一代防火墙NGAF 上网行为管理AC SSL VPN 终端检测响应EDR 合规类产品 EMM 安全感知平台 XSEC WEB应用防火墙WAF 云眼/云盾 /云图 上网安全服务平台ISSP 等级保护 安全服务
云计算类
超融合 HCI 超融合云管平台aCMP 监控中心aMC 涉密虚拟化sCloud
基础架构类
桌面云aDesk 应用交付AD SDWAN-WOC SDWAN-MIG 集中管理平台SC&BBC SDWAN-aBOS SD-WAN 企业级分布式存储EDS SDW-R
云产品核心优势:
架构更简单
扩容更便捷
应用部署更简单
数据更可靠
稳定高效承载关键业务
多维度的安全防护能力
更高效的安全策略管理
可视化极简运维
产品:国行原装*, 深信服科技官网
深信服官网:sangfor.com , 深信服科技官网
产品分类:
企业级安全
边界安全 下一代防火墙AF
云安全 信服云盾 信服云眼
重构入云业务安全边界 威胁检测 安全感知平台SIP
安全解决方案
网络安全等级保护(等保2.0)解决方案 云安全解决方案
网端云敏捷安全架构
终端安全
终端检测响应平台EDR 企业移动管理EMM
身份与访问安全
上网行为管理AC SSL VPN 硬件VPN EasyConnect
SSL VPN*版本443端口未授权RCE
行为感知系统BA
安全审计与运营
数据库安全审计DAS
云计算
企业级云aCloud 超融合aCloud
新型智慧城市解决方案 服务器虚拟化
云管平台aCMP 大数据智能平台
超融合软件 超融合一体机
基础架构
桌面云aDesk 应用交付AD
软件定义统一存储系统EDS
一体化网关MIG 广域网优化WOC 安全SD-WAN2.0
深信服*(深信服经销商/深信服代理商):
四川深信服:德阳深信服 绵阳深信服,攀枝花深信服,西昌深信服,雅安深信服,内江深信服,资阳深信服,南充深信服,眉山深信服,乐山深信服,自贡深信服 泸州深信服 广元深信服 遂宁深信服 宜宾深信服 广安深信服 达州深信服 雅安深信服 巴中深信服 资阳深信服 攀枝花深信服 凉山彝族自治州深信服 甘孜藏族自治州深信服 阿坝藏族羌族自治州深信服
企业级无线方案适用机型:
无线AC控制器
千兆无线控制器NAC-6100
千兆无线控制器NAC-6200
千兆无线控制器NAC-6300
千兆无线控制器NAC-6380
千兆无线控制器NAC-6600
万兆无线控制器NAC-7100
万兆无线控制器NAC-7200
万兆无线控制器NAC-7300
万兆无线控制器NAC-7600
小型无线控制器HG-2005-P
软件控制器SAC-1000
室内无线AP
11n型SMB无线接入点NAP-1500
11ac型无线接入点NAP-1600
11ac wave2型无线接入点NAP-1700
11n型SMB无线接入点NAP-2400-S
11ac wave2双频无线NAP-3600(MU)
11ac wave2双频无线接入点NAP-3700
11ax 高性能无线接入点NAP-3720-X
11ac蓝牙无线接入点NAP-4650
11ac wave2智能天线无线NAP-5600
11ax 高性能无线接入点NAP-5820-X
11ac wave2智能天线无线接入点SDU-1800
室外无线AP
11ac无线接入点NAP-8000
11ac无线接入点NAP-8000(L)内置天线
11ac无线接入点NAP-8000(L)外置天线
11ac wave2无线接入点NAP-8100
11ac wave2无线NAP-8100(L)内置天线
11ac wave2无线NAP-8100(L)外置天线
11ax 高性能无线接入点NAP-8220-X
面板无线AP
802.11n面板NAP-2800-P
802.11ac面板NAP-3500-P
802.11ac wave2面板NAP-3560-P
802.11ac wave2面板NAP-3600-P(MU)
特殊无线AP
NAP-1720-LTE室内wave2无线接入点
室外4G全网通无线接入点NAP-8100(L)-LTE
NAP-4100V全网通移动车载无线AP
NAP-3620电子书包场景专用无线AP
NAP-3620(R3)高密环境专用三频无线AP
NAP-3680医疗场景零漫游无线AP
11ac wave2高密定向无线NAP-3700(D)
NAP-8100工业级防爆无线AP
无线网络相关配件:
网口防雷器
天馈防雷器
室内专用美化天线
室外专用定向天线
室外专用全向天线
超远距离中继天线
四川 成都 深信服 代理:
深信服成都渠道代理商有哪些;深信服渠道代理商有哪些;深信服nat代理上网;深信服代理商资质查询;深信服总代怎么样;深信服的渠道有哪些;深信服*代理;深信服成都*经销商;深信服四川*经销商;深信服*代理商;深信服* 成都深信服科技有限公司
深信服科技成都分公司 深信服成都区主管是谁 深信服成都
深信服成都办事处 深信服成都网络安全
深信服成都代理商有哪些 深信服成都防火墙
深信服 防火墙 上网行为管理 具体型号:
深信服 AC-1000-A400 深信服 AF-1520 深信服 AC-1000-B400
深信服 AC-1000-C600 深信服 NGAF-1000-D420
深信服 VPN-2050 深信服防火墙NGAF-1000 深信服 AC-1400
深信服 AF-1300 深信服 NGAF-1000-D440 深信服 AC-1000-D600 深信服 NGAF-1020
深信服 NGAF-1120 深信服 AC-1700 深信服 VPN-2150 深信服 VPN-1100 深信服VPN-6050
深信服 AC-1000-A200 深信服 AC-1000-A300
深信服 NGAF-1000-B400 深信服 防火墙 NGAF-1020
深信服SANGFOR AC-550 深信服 AC-1000-B400
深信服 NGAF-1000-E800 防火墙 深信服AF-1800
深信服 VPN-1000-I440 深信服VPN网关 VPN-1000-I440
深信服VPN网关管理软件V7.0 深信服短信模块软件V2.0
深信服EMM企业 移动管理软件 V2.0 深信服SSL VPN授权软件 V6.0
适用于1001-2000个授权使用 深信服AF-3020
深信服多线路系统软件V1.0 深信服网关杀毒软件V6.0
深信服AD-1000-G642 深信服应用交付网关
深信服应用交付软件V7.0
深信服下一代防火墙
深信服EDC存储
深信服维修(sanfor维修),以及更多产品和详情请咨询:
成都科汇科技有限公司 — 专业企业级安全、云计算与IT基础架构服务商
无论您是解决企业级安全、云计算,还是IT基础架构,都可以使您的IT更简单、更安全、更有价值
成都科汇科技有限公司(深信服官方授权代理商)
地址:成都市人民南路四段1号时代数码大厦18F
电话:400-028-1235
QQ: 1325383361
手机:180 8195 0517(微信同号)