勒索病毒解决方案

PAGE2深信服科技勒索病毒应急解决方案深信服科技股份有限公司2018年2月背景近期变种勒索病毒再度来袭，短短几天已经有数家医疗机构中招，服务器关键数据被勒索病毒加密导致业务系统无法被访问，从而使关键业务系统无法对外提供服务。勒索病毒的出现无论对医院还是对患者来说都造成了很大的影响。针对目前勒索病毒的现状，深信服科技针对广大行业用户提供应急解决方案，帮助广大用户对抗勒索病毒，保护网络及数据资产。一、由勒索病毒反思网络安全建设首先需要指出的是勒索病毒一旦感染并生效后，即使能够清除病毒，也无法还原被加密的数据。因此针对勒索病毒的防御，主要集中在事前预防、事中防护为主。勒索病毒并非APT攻击，仅仅是病毒攻击行为，并不是不可防御的。导致大量用户受到影响，甚至包括一些与互联网物理隔离的专网，究其原因主要是以下几点：1、基础安全体制薄弱，安全制度执行不严格；大部分用户都部署了一定数量的安全设备，使得用户在拥有安全设备后就放松了对内网终端及服务器的安全管理。大量不必要的高危端口开放，简单重复的弱口令导致服务器安全防御体系形同虚设。2、缺乏全过程保护的安全保护体系；大部分用户的安全建设仅仅是在事中堆叠防御设备，缺乏事前风险预知的能力，使其在危险来临前没有提前部署好安全防护手段；在威胁爆发后，又不具备持续检测和响应的能力。最终使得这些客户在勒索病毒爆发前没有预防手段、爆发中没有防御措施、爆发后没有及时检测和解决问题的办法。3、过于复杂的安全体系，没有发挥应有作用勒索病毒影响的用户中也不乏安全投入比较高、设备购买比较齐全的用户。但是过于复杂的体系，使得安全设备安全策略并没有及时修改，安全规则库并没有及时更新，也缺乏及时获取到安全事件信息的能力等。4、监测预警能力的缺失用户大量部署的都是防御类型的安全设备，缺乏统一有效的网络异常事件监控手段及动态的全网风险感知手段。而网络安全防护的重点显然已经从以防为主过渡到以预防为主，提前发现并整改网络中的风险点才能够做到从容面对各种网络安全威胁；二、深信服解决之道吸取这次勒索病毒事件的经验，我们重新审视网络安全建设，提供深信服的解决之道。因此该解决方案基于事前、事中、事后全过程设计，通过下一代防火墙NGAF、EDR、安全感知平台和云端威胁情报检测等产品实现：事前风险预知、事中有效防御、以及事后持续检测和快速响应，为用户提供全程的安全保护能力，让安全更简单更有效。部署示意图全过程安全保护1.事前预知通过事前预知，用户可以及时了解现有网络存在的各类潜在风险，包括用户的业务资产识别，业务资产脆弱性识别以及现有安全策略的有效性识别，在安全事件发生前帮助用户及时发现并修复潜在业务威胁风险。2.事中防御通过事中防御，用户可以拥有L2-7层完整的安全防护能力，确保安全防护不存在短板，同时还能通过安全联动功能加强防御体系的时效性和有效性，实现用户业务系统全面的安全加固。3.事后检测通过事后检测及快速响应技术，即使在黑客入侵之后，也能够帮助用户及时发现入侵后的恶意行为，如检测被病毒感染的主机，并快速推送告警事件，协助用户进行响应处置。4.薄弱环节安全加固此次勒索病毒事件不仅仅在互联网区域爆发，也在局域网、广域网等与互联网相对隔离的区域泛滥。建议还需要重点加固传统安全建设的薄弱区：在广域网分支、局域网和数据中心内部等区域，在传统ACL控制策略的基础上，通过增加系统层和应用层的安全防护技术，提升防御有效性。建议采用网络分级分区防护措施，下一代防火墙会过滤边界中应用层威胁流量，防止病毒、木马等威胁在网络内部横向扩散，有效避免分支机构因薄弱的安全建设成为黑客入侵的短板，同时实现安全投资最大化。通过安全感知平台分析收集各个节点NGAF的网络流量、异常情况，使用户运维人员实时了解掌握全网中的安全风险和分布状况，便于用户及时部署更新安全策略。同时用户通过集中管理平台实现全网各节点NGAF的统一管理和统一策略推送，帮助用户做到管理集中化和运维自动化。5.简单有效的安全运营鉴于传统安全体系过于复杂，用户在面对勒索病毒的攻击无用武之地，深信服提出“融合安全”安全解决方案，帮助用户快速感知到网络的安全现状，实现简单有效的安全运营：首先，通过将事前，事中，事后各个阶段防御和检测到的风险和资产进行关联，帮助用户能够直观的了解当前信息资产的安全状态，并对攻击过程进行回溯举证；其次，通过深信服NGAF的配置向导功能，借助场景化的部署优势，减