防勒索解决方案

防勒索解决方案目录1勒索病毒概述勒索病毒简介................................................................................................................................1勒索病毒日益猖獗........................................................................................................................2勒索病毒趋势分析........................................................................................................................32国内防勒索病毒防护现状攻击原理分析................................................................................................................................4技术生态分析................................................................................................................................5主机系统安全防御技术.........................................................................................................5网络安全防御技术.................................................................................................................7数据恢复与备份技术.............................................................................................................8分析总结........................................................................................................................................93解决方案设计总体设计......................................................................................................................................解决方案......................................................................................................................................客户价值......................................................................................................................................优势分析......................................................................................................................................4配置清单防勒索解决方案1勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马等形式重的影响。2017WannaCry勒索病毒事件。5月12日晚，勒索病毒WannaCry（中文名称魔窟）爆发席卷全球，在短短一个月的时间内就席卷全球150多个国家，造成损失高达80亿美元，领域包括政府部门、医疗服务、公共交通、邮政、通信和汽车制造业，如下图所示勒索病毒导致业务中断。图：WannaCry病毒爆发导致业务系统瘫痪事件回顾如下：2017年3月，微软发布了月度安全补丁，其中包括了后续被WannyCry蠕虫利用的MS17-010漏洞。2017年4月14日黑客组织ShadowBrokers（影子经纪人）公布的1防勒索解决方案2017年5月12445端口传播扩散的SMB漏洞MS17-010，我国大量用户被感染。根据2018年CrowdStrike176个国家每天1000亿件事件的综合威胁数据发现，勒索和数据武器化已成为网络犯罪分子的主流，严重影响了政府、医疗以及其他行业。2017年5月12间了，目前仍有很多客户系统感染WannaCry病毒及变种。2017年6月27Petya病毒就像是WannaCry的升级版，与WannaCry相比，该病毒会加密NTFS分区和磁盘主引图：Petya病毒全球爆发2017年10月24日，俄罗斯、乌克兰等国遭到勒索病毒“坏兔子”攻击。土耳其等国随后也发现此病毒。2018年2月，多家互联网安全企业截获了MindLost勒索病毒。MindLost牟取更大利益。2018年2月，研究发现一款勒索达世币（DASH）的勒索软件GandCrab，这2防勒索解决方案为新的扩展名，加密完成后，样本调用默认浏览器弹出勒索信息页面，勒索1.5个达世币，价值约1200美元，在限定日期内没有交付相应的达世币，赎金会翻倍。近段时响极广。勒索病毒发展趋势分析如下：勒索病毒技术不断演进：目前最新发现的GandCrab勒索软件，采用了新兴的虚拟货币，同时在技术毒的防护也需要与时俱进。从个人电脑转型企业服务器：自从WannaCry爆发以后，勒索病毒的攻击重心已逐渐由个人电脑用户转向为常见。今年2月23日，湖北襄阳南漳县人民医院系统被植入GlobeImposter勒索病毒后瘫痪，黑客要求支付比特币才能恢复正常。2月24院多台服务器感染GlobeImposter于GlobeImposter家族使用了RSA2048勒索软件暂无解密工具。3防勒索解决方案图：医疗信息系统疑中勒索病毒业务瘫痪2勒索病毒本质是对数字资产的攻击，包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件，一旦勒索病毒攻击成功，用户重要文件将无法读取，关键数据被损毁，业务瘫痪。勒索病毒通常有如下感染方式：邮件传播：攻击者以广撒网的方式大量传播垃圾邮件、钓鱼邮件，一旦收件式在后台静默安装，实施勒索；漏洞传播：当用户正常访问网站时，攻击者利用页面上的恶意广告验证用户的浏览器是否有可利用的漏洞。如果存在，则利用漏洞将勒索软件下载到用户的主机；捆绑传播：与其他恶意软件捆绑传播；僵尸网络传播：一方面僵尸网络可以发送大量的垃圾邮件，另一方面僵尸网络为勒索软件即服务(RaaS)的发展起到了支撑作用；可移动存储介质、本地和远程的驱动器（如C盘和挂载的磁盘）传播：恶意属性的可执行文件；4防勒索解决方案文件共享网站传播：勒索软件存储在一些小众的文件共享网站，等待用户点击链接下载文件；网页挂马传播:当用户不小心访问恶意网站时，勒索软件会被浏览器自动下载并在后台运行；社交网络传播:勒索软件以社交网络中的.JPG图片或者其他恶意文件载体传播。从病毒攻击原理分析，典型勒索软件包括以下几部分：蠕虫病毒传播模块，寻找漏洞目标传播和释放病毒。蠕虫病毒是一种常见的计算机病毒，通过网络和电子邮件等方式进行传播，具有自我复制和传播迅速等特点。WannaCry病毒制造者正是利用了美国国家安全局(NSA)泄漏的WindowsSMB远程漏洞利用工具“永恒之蓝”来进行传播的。勒索病毒加密模块，对数据进行非法加密。勒索病毒文件一旦进入本地，就会自动运行，同时删除勒索软件样本，以躲等类型为主，对常规依靠特征检测的安全产品是一个极大的挑战。其他模块，更改桌面，索取赎金。从技术维度分析，目前国内安全技术生态有三类防护方式：2.2.1主机系统安全防御技术主机系统安全防御技术主要有：终端杀毒软件、终端管控软件、操作系统补丁升级三种典型防护方式。终端杀毒软件：使用基于特征码的杀毒软件，是目前应用最广发的终端防护方式之一，这种方式存在两个约束条件：5防勒索解决方案于总库1%。所以，很多杀毒软件采取云查杀的方式，弥补这两种不足。图：某杀毒软件扫描结果终端安全管控软件：终端安全管理软件可以关闭系统漏洞、端口，这种管控方式针对已知病毒和封堵能力不足，依赖于特征库持续更新。图：终端管控软件操作系统补丁升级：操作系统补丁升级是非常重要的防护手段，但受限于操作系统版本、升级对WannaCry通过MS17-0106防勒索解决方案传播，而微软在17年3月发布了该漏洞的补丁，但仍有大量用户未安装补丁，导致医院、企业、机构以及个人的大量计算机在这次网络攻击中被感染。2.2.2网络安全防御技术网络安全防御体系包括：网络出口病毒过滤、核心网络层安全防护、交换机关闭端口等方式。网络出口病毒过滤：从下图所示，这是一个典型的局域网网络拓扑，一般在网络出口处会部署防火墙或IPS新，因为病毒库主要是基于特征的，在病毒未规模爆发之前，很难生成病毒库。终端终端终端终端图：典型局域网网络结构核心网络层防护技术，如防火墙/IPS/沙箱/蜜罐等：大部分客户在网络出口部署安全设备，而在内网很少部署安全产品；对于跨核心交换机的勒索病毒攻击，一些网络可能会在核心层部署防火墙、IDS、堡垒IDS能是监控，不能防御；沙箱和蜜罐等可以发现未知病毒，但需要专业人员投入。交换机关闭服务端口：病毒在终端运行之后，就会内网中大量扩散，可能会在接入交换机内部或者7防勒索解决方案于人工操作，费时费力、且只能事后处理。2.2.3数据恢复与备份技术卡巴斯基宣称，勒索病毒使用的加密算法目前无解，不要使用网站流传的工当遭受到勒索病毒攻击，数据被非法加密后，业内大多采用数据恢复技术进行恢复，主流数据恢复技术有：在线恢复技术：研究发现，对于感染了勒索软件WannaCry的操作系统，在没有重新启动的前提下，勒索软件的加密私钥仍可以在内存获取，从而实现解密文件。但这种恢复技术的前提条件是：对于已感染WannaCry勒索软件的操作系统不能重启，如果系统已重启或关机，可能将无法恢复文件数据。磁盘数据恢复技术：当删除一个文件时，为了提高执行效率并减少磁盘损耗，操作系统只是在文为什么数据恢复软件可以找到已经删除的文件并且恢复出来。WannaCry勒索蠕虫的执行逻辑，加密后生成的文件不会覆盖掉原文件本身，但是下一个或第N个被加密的文件，复。8防勒索解决方案图：某数据恢复工具另外，一些厂商推出数据备份方案，一但主系统遭受攻击，保障备份业务系作，辟免主系统和备份系统同时被感染、被攻击。综上所述，目前主流的网络安全技术体系在某一方面发挥着重要作用，同时也存在其技术局限性，总结如下：界，防御体系则无能为力。滞后病毒变种。（3）事后数据恢复技术：当数据被非法加密后，数据恢复技术是仅有的一种处盖等条件。总结：网络安全防御体系主要解决“进不来”的问题，而对病毒进来之后，病毒对数据“防破坏”的关注较少。所以，针对勒索病毒及快速变种，现有网络安全技术体系需要与数据安全技术优势互补，才能更有效的解决勒索病毒问题。9防勒索解决方案3方案设计需要考虑如下问题：勒索病毒本身是对数据的非法损毁，属于数据安全范畴，单一的网络安全技术无法彻底解决问题。案设计要从这两种攻击方式入手，方案才能更加有效。解决未知病毒爆发到有效防御的时间差难题。智能算法等技术，打造安全可控的防勒索防御体系。图：防勒索解决方案典型拓扑图如上图所示，本方案包括四大安全组件：1、服务器防勒索软件：部署在服务器上，对数据库文件和共享文件进行保护，防止勒索病毒对数据应用服务、业务系统服务等）的程序和文件进行保护，防止因攻击导致的服务中断，保证业务的连续性和可靠性；10防勒索解决方案2、防勒索基础平台：部署在服务器前，支持串接部署和旁路部署，对访问服务器的网络请求进行安全保护，防止已知漏洞攻击服务器；基于AI智能算法技术，通过攻击行为画像、病毒防控深度学习系统对已知和未知病毒进行识别、告警、阻断；作为整个WEB表帮助决策，实现安全可视化；独立自主硬件设计，防止自身被攻击。3、PC防勒索软件：删除受保护文件时自动备份的功能；对访问用户终端的网络请求进行安全保护，防止已知漏洞攻击用户终端；高强度自我保护能力，防止自身被攻击。4、防勒索预警平台：旁路部署于网络核心处，与防勒索基础平台及全网软件系统联动，实现可视化和预警，在病毒爆发前，提供预警服务。防勒索解决方案包括如下4大核心功能：1、数据防损毁防加密：通过计算机运行控制技术，对信息系统数据库、文件服务器上的数据及用户数据，提供数据免疫功能；覆盖文件类型包括：数据库服务器、文件服务器、其他重要服务器系统及终端上的照片、图片、文档、压缩包、音频、视频文件、可执行程序等文件；支持windows、linux、分布式文件等系统。2、主机勒索病毒管控：Mindlost等。通过预置策略，防止被感染主机向本机传播勒索病毒，禁止勒索病毒启动，使病毒无法入侵；基于数据免疫功能，发现疑似勒索病毒进程，通过AI让勒索病毒无处可逃。11防勒索解决方案3、防病毒内网扩散：技术，实现服务器之间、服务器和终端之间、以及终端之间