勒索軟件防范與補丁管理

1、勒索軟件防范與補丁管理WannaCry 永恆之藍 ”危機介紹WannaCry 勒索軟體介紹惡意軟體仍然是一個全球性的問題.RansomwareSpywareXXXXware誰已受到影響？最初，攻擊似乎僅限於英國更具體說是英國國家衛(wèi)生署（National Health Service，簡稱 NHS，是一家公共政府機構(gòu)）但短短幾個小時內(nèi)就成為了全球性病毒，現(xiàn)已影響 150 個國家/地區(qū)的 200,000 家企業(yè)，包括俄羅斯、西班牙、德國和美國。FedEx、Renault、Nissan、Deutsche Bahn 和 Telefonica 等著名公司都報告了該攻擊。後門及其它影響：除了勒索之外，蠕蟲

2、還迴圈通過系統(tǒng)上的每個 RDP 會話，以該使用者的身份運行勒索軟體。它好像還會安裝 DOUBLEPULSAR 後門，可能允許未來的遠端代碼執(zhí)行，並且會損壞影子卷，加大恢復的難度。（注意：如果蠕蟲在執(zhí)行前未被捕獲，此影子卷副本損壞還會使下一代 AV 很難逆轉(zhuǎn)影響。）殺滅開關(guān)：一名惡意軟體研究人員意外發(fā)現(xiàn) WannaCrypt 上有一個“殺滅開關(guān)”。它與固定域 的檢測相關(guān)。 如果域成功返回 HTTP 回應，殺滅開關(guān)就會阻止蠕蟲傳播。請注意，如果受感染的機器無法到達此域（因網(wǎng)閘、防火牆的阻隔或被過濾），則不會觸發(fā)殺滅開關(guān)。它只會嘗試一次到達那裡。雖然殺滅開關(guān)減慢了此勒索軟體的擴散，為企業(yè)提供了一個修

3、補的時間窗，但可能等不了幾天又會出現(xiàn)新的變種。（僅僅周日一天就發(fā)現(xiàn)了三個新的變種在作祟。） 因此任何人都不可忽視修補的緊迫性。此勒索軟體的擴散“類似於瘟疫”WannaCry 勒索軟體介紹RANSOMWARE惡意軟體上升趨勢 它剛剛發(fā)展起來卻變得格外複雜.並且伴隨著更多.AV測試研究所現(xiàn)在每天註冊的勒索軟體有超過390K的變種出現(xiàn)！! 而很多AV軟體並不能徹底預防這類風險.在更廣的檔檢測規(guī)則測試中顯示，並沒有“銀色子彈”.在2016的測試結(jié)果, 19 個安全廠商都有不同程度的MISS平均長達 243 天未能發(fā)現(xiàn)平均60-90天才能修復如今那些有威脅的攻擊未被檢測到的威脅可修復的怎樣防範勒索軟體的

4、威脅常見的預防勒索軟體的9大措施11為關(guān)鍵作業(yè)系統(tǒng)和應用安裝補丁 確保殺毒軟體更新至最新版本，並已計畫定期掃描 管理特權(quán)帳戶的使用 實施以資料為重點的存取控制 制定、實施並執(zhí)行軟體規(guī)則 禁用來自 Microsoft Office 文件的巨集指令實施應用白名單 將用戶限定在虛擬化或集裝化的環(huán)境中 經(jīng)常備份關(guān)鍵文件Ivanti 2017 解決方案如何防範勒索軟體Ivanti 關(guān)於防範此勒索軟體及其它勒索軟體的建議保持系統(tǒng)在最新狀態(tài)：如果使用的 Windows 作業(yè)系統(tǒng)版本較舊但受支援，請保持系統(tǒng)在最新狀態(tài)?？紤]使用集中補丁管理解決方案來簡化部署，幫助確保部署已經(jīng)過補丁合規(guī)性全面檢測的補丁。 不支持

5、的 Windows 和 WannaCrypt 版本：（Windows XP、Vista、Windows 8、Server 2003 和 Server 2008）：Microsoft 發(fā)佈了緊急補丁，可在此處查找。更新：Ivanti 發(fā)佈了“補丁與合規(guī)性”定義更新，用於檢測和修補 XP 和 Server 2003 的這一脆弱性。 更多資訊請參閱：https:/docs/DOC-47847如果使用的是 Ivanti 端點管理（以前的 Landesk 管理套件）或 Ivanti 端點安全（以前的 Landesk 安全套件），請參閱補丁與合規(guī)性登錄頁面。對於 Ivanti SCCM 補丁外掛程式 /

6、Windows 伺服器補?。ㄒ郧暗?Shavlik Protect）/ OEM 客Protect 和 SDK：將 XML 更新到 417 並部署 MS17-010，確保舊作業(yè)系統(tǒng)都已部署最新的補丁包。 SCCM 補丁外掛程式：部署三月份星期四補丁日發(fā)佈的安全包和補丁以修補漏洞。 上述作業(yè)系統(tǒng)在 2017 年 3 月及以後的任意安全月度品質(zhì)匯總中也會修補此漏洞在端點處採取更積極主動的方法Blacklistingas the coreZero day3rd-party application riskMalware-as-a-serviceConsumerizationof IT深層次的主動防禦傳

7、統(tǒng)的安全新興的端點安全框架防病毒設備控制軟體使用控制補丁DEVICE CONTROLAPPLICATION CONTROLPATCH管理許可權(quán)/控制補丁,補丁,補丁Ivani對最新的勒索軟體補丁的更新自動匹配對應的系統(tǒng)，下載對應的修補程式靈活的修復任務臨時任務建立一個組無人值守自動修復設置步驟6：分發(fā)過程中如果有機器關(guān)機，當重新開機後會從伺服器同步任務，自動開始分發(fā)任務，無需管理員干預20LANDesk 伺服器ROUTERROUTERSite-to-SiteWAN步驟1：管理員開始軟體分發(fā)任務步驟2：在每個子網(wǎng)智慧（人工）選擇子網(wǎng)代表終端步驟3：每檯子網(wǎng)代表機開始下載套裝軟體步驟4：其它目的機

8、器從已經(jīng)下載的本地機器上開始獲取套裝軟體步驟5，如果子網(wǎng)代表機關(guān)閉或失敗，其它機器將自動成為新的子網(wǎng)代表ONONONONONONONOFFOFFOFFOFFOFFOFFOFF分支機搆本地網(wǎng)路補丁分發(fā)過程示意圖補丁管理可以引入自動專案部署機制一個專案中可以集成多個不同任務計畫可以給專案中每個階段任務，定義內(nèi)容，執(zhí)行方式和任務時間，任務物件，完成標記等屬性任務在完成每個階段時，會郵件提醒以觸發(fā)下一階段任務更適合企業(yè)管理時的場景，基於流程的專案觸發(fā)機制，更高效的管理支持郵件通知和提醒補丁管理專案式部署阻斷不安全的Web流覽器的使用? (NEW)阻斷不安全的Web流覽器的使用? (NEW)2017.1

9、 版本新增：使用此版本可以檢測未修補的流覽器，將訪問僅限於預先批準的網(wǎng)站防病毒白名單25易於定義和維護可從全球安全網(wǎng)站獲取.可以審核資料夾和供應商自動學習獲取軟體資訊使用檔規(guī)則進行過濾支援用戶式回應外設控制什麼是無檔攻擊？2017.1 版本新增：防範最新的無文件攻擊趨勢，我們新的檔案保護規(guī)則將緩解腳本和無文件攻擊多層式無檔攻擊的保護(NEW)31三層式勒索軟體防護檢測並阻止.保護開機記錄.保護資料.自動阻止勒索軟體加密行為(NEW)自動檢測帶有加密特徵的主機行為，遇到非法勒索加密動作自動進行阻止獲取並定義主機上執(zhí)行的程式資訊35修復可以立即隔離遇到安全風險的主機多自動隔離有風險主機(NEW)修

10、復禁止其網(wǎng)路訪問遠程桌面通道執(zhí)行你的腳本或程式遠端查殺進程重新部署系統(tǒng)關(guān)機Ivanti 全平臺補丁管理技術(shù)LANDESK Shavlik PATCH 資料中心作業(yè)系統(tǒng)以及協(xié)力廠商應用軟體的補丁管理虛擬化伺服器無代理技術(shù)Hypervisor 虛擬控制程式的補丁線上或是離線補丁鏡像以及回滾操作物理伺服器支援無代理 傳統(tǒng)代理模式漏洞發(fā)現(xiàn)以及修復39Shavlik PROTECT簡介複合網(wǎng)路環(huán)境普通工作站Shavlik Protect 功能特點易於使用直觀的介面20分鐘完成安裝配置在一個介面裡管理所有設備的資產(chǎn)和補便捷視覺化的報表多樣的報表選項常用的IT管理腳本支援作業(yè)系統(tǒng)補丁以及協(xié)力廠商補丁 可選的

11、安裝代理以及無代理技術(shù)自動化的補丁管理可選的自訂補丁重啟的控制綜合的補丁管理 虛擬化支持可以修復線上或離線狀態(tài)的 VM虛擬主機可以修復VM虛擬範本的補丁修復前自動鏡像虛擬機器從 vCenter中獲取虛擬機器資訊可修復 hypervisors管理臺補丁Shavlik Protect 對軟體的補丁支援 Shavlik ProtectMicrosoftPatch Coverage支援所有微軟的補丁以及常見的協(xié)力廠商軟體的補丁and many moreComprehensive Patch Management Shavlik Protect工作過程42ON-NETWORK WORKSTATIONS/

12、SERVERSPROTECTSHAVLIKCLOUD在企業(yè)環(huán)境裡部署Shavlik伺服器1被測試的補丁已放在雲(yún)端供客戶下載2用戶端進行掃描並檢查需要修復的漏洞3補丁從廠商網(wǎng)站下載並保存在中心端4向目標物件或組推送安裝補丁5XMLSCANComprehensive Patch Management Shavlik Protect 的易用性4320分鐘內(nèi)完成安裝配置很短的時間內(nèi)就能體現(xiàn)價值多樣化的發(fā)現(xiàn)手段可管理的網(wǎng)路部署憑據(jù)，支援遠端推送安裝配置內(nèi)置多樣的可用報告範本高級補丁狀態(tài)的匯總報告針對主機的補丁明細報告自訂報告直觀的報告支援不安裝用戶端對主機進行掃描和漏洞修復可查看缺失的補丁簡單的“右鍵”

13、修復漏洞的操作可選的自動化修復補丁補丁分發(fā)方式Ease of Use無代理資產(chǎn)設備的發(fā)現(xiàn)與管理44在你的環(huán)境中自動快速的發(fā)現(xiàn)設備可選的多樣的發(fā)現(xiàn)手段可用給每個組或主機設備憑據(jù)，進行遠端系統(tǒng)管理 Ease of Use補丁的發(fā)現(xiàn)與修復狀態(tài)跟蹤45發(fā)現(xiàn)主機 查看漏洞掃描狀態(tài)查看修復結(jié)果資訊 無用戶端補丁分發(fā)46查看已掃描的機器查看缺失補丁的主機右鍵快速設置修復漏洞可計畫任務的自動分發(fā)和自動修復任務Ease of Use生成並定制符合您需要的報告47創(chuàng)建可以發(fā)佈的補丁報告查看高級匯總報表或單臺明細報告可自訂的報告或集成協(xié)力廠商報表工具來展現(xiàn)Ease of UseVirtual Support48虛擬化補丁管理通過與虛擬化vCenter集成獲取來自虛擬機器的資產(chǎn)資訊虛擬化無代理補丁管理 - 保持 VM虛擬主機的效能 - 無需安裝用戶端 - 發(fā)現(xiàn)“非法”VM虛擬機器修復線上虛擬機器 -修復前