勒索病毒防護

醫藥行業的勒索病毒防護解決方案是一種防止醫藥相(xiàng)關的數據和系統被惡意加密或鎖定的方法。

需求分(fēn)析

全網終端資産的全面盤點,包含業務服務器的終端和用戶 PC 的終端。盤點每台終端設備的名稱、IP 地址、MAC 地址、所屬組織、責任人(rén)、資産編号、資産位置等。每一台終端上的資産信息清晰,每一件(jiàn)安全事(shì)件(jiàn)責任到人(rén),使得(de)安全管理(lǐ)能落實到位。

終端資産全管理(lǐ)

通過安全基線檢查以及修複,明确檢查安全基線是否達到預期,确保接入終端規範。通過微隔離(lí)技術(shù)明确内網應用角色之間的訪問(wèn)控制關系,可(kě)視化安全訪問(wèn)策略配置,在發生(shēng)病毒感染的情況下,阻斷病毒在内網的傳播路(lù)徑,将威脅放(fàng)置在可(kě)控範圍内,從(cóng)而有效提高安全防護水平。同時,采用創新的勒索誘捕方案,在關鍵目錄及随機(jī)目錄放(fàng)置誘餌文件(jiàn),當病毒加密進程對誘餌文件(jiàn)進行加密時,EDR客戶端能夠及時發現并殺掉進程,阻止勒索病毒進一步擴散,保障内網安全。

采用微隔離(lí),勒索誘捕主動防禦

EDR采用自(zì)主研發的基于深度學習的輕量級人(rén)工(gōng)智能殺毒引擎進行病毒檢測,人(rén)工(gōng)智能引擎SAVE從(cóng)海量的樣本數據中學習,提煉出高維特征,具備很強的泛化能力,能夠應對更多的未知威脅。這些高維特征數量極少,讓SAVE在保持高性能,高效查殺率的同時解決了病毒特征庫急劇(jù)增的問(wèn)題。擁有強大(dà)的威脅情報平台,每天實時分(fēn)析來(lái)自(zì)互聯網和安全産品的海量數據,通過威脅情報平台中集成的關聯分(fēn)析與智能算法,能在第一時間發現潛在威脅,并向EDR推送防禦能力。

基于AI的智能檢測,全網威脅情報

EDR完全滿足Gartner自(zì)适應閉環模型,能夠聯動其他(tā)産品,形成涵蓋雲、邊界、端點上中下立體(tǐ)防護架構,實時共享内部威脅情報。當發生(shēng)威脅時,可(kě)通過統一管理(lǐ)平台的一鍵處理(lǐ),網端智能協同,将終端域風(fēng)險迅速隔離(lí),并在網絡域自(zì)動生(shēng)成聯動封鎖規則,全面封鎖惡意威脅,做到安全風(fēng)險一鍵處置。

縱深防禦,快(kuài)速響應威脅

痛點

當前的終端管理(lǐ)方式落後,傳統終端解決方案在兼容性與普适性不達标,對終端的管理(lǐ)多數采用分(fēn)裂式管理(lǐ),不同系統主機(jī)采用不同的防護方案,導緻管理(lǐ)維護工(gōng)作(zuò)量大(dà),面對威脅難以做出快(kuài)速響應。

雖然已經在網絡邊界設置了重重防禦,但(dàn)是并沒有帶來(lái)真正的安全。主要體(tǐ)現在:

  • 内網的潛藏威脅:黑(hēi)客一旦進入到内網,如(rú)通過社會工(gōng)程學、釣魚等欺騙手段進入到内部,位于邊界的防禦便失效了。
  • 内網的橫向攻擊:發生(shēng)在内網的橫向移動攻擊邊界防禦無法進行檢測,如(rú)通過失陷主機(jī)向内網業務資産發起的橫向移動或者跳(tiào)闆攻擊。
  • 内部人(rén)員(yuán)惡意攻擊:内部員(yuán)工(gōng)不滿或者内外勾結進行攻擊滲透,這部分(fēn)人(rén)員(yuán)既熟悉業務又有合法身(shēn)份,防不勝防。

目前采用的基于病毒特征庫的查殺方式,在高級威脅持續(APT)發展的大(dà)環境下,已經無法适應全新的網絡趨勢,主要體(tǐ)現在以下幾點:

  • 基于特征匹配殺毒無法有效抵禦新型病毒:面對APT定制化的攻擊以及變種病毒的挑戰,基于特征匹配的殺毒方式呈現被動、後知後覺等特點,無法及時有效防禦新型病毒。
  • 病毒特征庫數量增長加重主機(jī)運算資源:已知病毒樣本不斷增加,本地病毒特征庫的數量也日(rì)益增多,現已嚴重加劇(jù)終端存儲、運算資源成本,查殺病毒過程會出現卡頓、假死等現象,嚴重影(yǐng)響員(yuán)工(gōng)辦公。

傳統殺毒軟件(jiàn)在檢測響應機(jī)制上明顯不足,雖然在網絡邊界部署了網絡端防護産品,但(dàn)始終沒有形成一套完整閉環的應急響應系統,無法及時檢測處理(lǐ)威脅,對文件(jiàn)隔離(lí)處置措施較爲單一,應急響應速度慢(màn),導緻威脅駐留時間長,對業務影(yǐng)響大(dà)。同時由于終端分(fēn)布廣泛,威脅一旦在某點爆發将快(kuài)速影(yǐng)響到面,現階段依靠人(rén)工(gōng)響應成本大(dà)。

基于上述分(fēn)析,終端安全建設需要立足事(shì)前、事(shì)中、事(shì)後三階段,通過預防、防禦、檢測、響應賦予計(jì)算機(jī)終端更爲細緻的隔離(lí)策略、更爲精準的查殺能力、更爲持續的檢測能力、更爲快(kuài)速的處置能力,從(cóng)而構建輕量級、智能化、響應快(kuài)的終端安全系統。

分(fēn)析信息系統的價值貢獻,如(rú)支持業務流程、提高工(gōng)作(zuò)效率、增加收入、降低成本、提升競争力等,以及它們的評估和優化。

客戶收益

終端資産的全面管理(lǐ)

實時掌握全網終端信息,提供管理(lǐ)依據。

勒索病毒的實時防禦

勒索病毒通過加密文件(jiàn)的方式,要求中招者支持一定數額的贖金,這種攻擊方式越來(lái)越流行。 EDR 采用多維度的病毒檢測機(jī)制,能夠非常精準地識别不同的勒索軟件(jiàn),并通過專業分(fēn)析識别出各種勒索病毒感染行爲和加密特征,對最新的勒索軟件(jiàn)進行有效的查殺,防止用戶受到影(yǐng)響。

入侵攻擊的主動檢測

終端主機(jī)被入侵攻擊,導緻感染勒索病毒或者挖礦病毒,其中大(dà)部分(fēn)攻擊是通過暴力破解的弱口令攻擊産生(shēng)的。的 EDR 主動檢測暴力破解行爲,并對發現攻擊行爲的 IP 進行封堵響應。針對 Web 安全攻擊行爲,則主動檢測 Web 後門(mén)的文件(jiàn)。針對僵屍網絡的攻擊,則根據僵屍網絡的活躍行爲,快(kuài)速定位僵屍網絡文件(jiàn),并進行一鍵查殺。

面對威脅快(kuài)速響應

安全雲腦通過全球的大(dà)數據安全分(fēn)析,提供熱(rè)點事(shì)件(jiàn)的 IOC 情報,推送情報數據給 EDR 産品。EDR 産品能根據 IOC 情報數據快(kuài)速的全網威脅定位分(fēn)析,及時發現和響應最新的熱(rè)點事(shì)件(jiàn),同時通過雲網端協同聯動的方式,一鍵安全處置威脅,将威脅限制在可(kě)控範圍内。

訪問(wèn)關系的策略控制

當前各種感染性病毒大(dà)部分(fēn)都(dōu)是通過網絡進行傳播,影(yǐng)響範圍較廣。EDR的微隔離(lí)支持網絡訪問(wèn)關系策略的配置,可(kě)以實現業務域之間或者終端之間的網絡隔離(lí),從(cóng)源頭上杜絕病毒的傳播,減少數據資産損失,進一步保證終端的安全。