防勒索解決方案

防勒索解決方案目錄1勒索病毒概述勒索病毒簡介................................................................................................................................1勒索病毒日益猖獗........................................................................................................................2勒索病毒趨勢分析........................................................................................................................32國內(nèi)防勒索病毒防護(hù)現(xiàn)狀攻擊原理分析................................................................................................................................4技術(shù)生態(tài)分析................................................................................................................................5主機(jī)系統(tǒng)安全防御技術(shù).........................................................................................................5網(wǎng)絡(luò)安全防御技術(shù).................................................................................................................7數(shù)據(jù)恢復(fù)與備份技術(shù).............................................................................................................8分析總結(jié)........................................................................................................................................93解決方案設(shè)計(jì)總體設(shè)計(jì)......................................................................................................................................解決方案......................................................................................................................................客戶價(jià)值......................................................................................................................................優(yōu)勢分析......................................................................................................................................4配置清單防勒索解決方案1勒索病毒，是一種新型電腦病毒，主要以郵件、程序木馬、網(wǎng)頁掛馬等形式重的影響。2017WannaCry勒索病毒事件。5月12日晚，勒索病毒W(wǎng)annaCry（中文名稱魔窟）爆發(fā)席卷全球，在短短一個(gè)月的時(shí)間內(nèi)就席卷全球150多個(gè)國家，造成損失高達(dá)80億美元，領(lǐng)域包括政府部門、醫(yī)療服務(wù)、公共交通、郵政、通信和汽車制造業(yè)，如下圖所示勒索病毒導(dǎo)致業(yè)務(wù)中斷。圖：WannaCry病毒爆發(fā)導(dǎo)致業(yè)務(wù)系統(tǒng)癱瘓事件回顧如下：2017年3月，微軟發(fā)布了月度安全補(bǔ)丁，其中包括了后續(xù)被WannyCry蠕蟲利用的MS17-010漏洞。2017年4月14日黑客組織ShadowBrokers（影子經(jīng)紀(jì)人）公布的1防勒索解決方案2017年5月12445端口傳播擴(kuò)散的SMB漏洞MS17-010，我國大量用戶被感染。根據(jù)2018年CrowdStrike176個(gè)國家每天1000億件事件的綜合威脅數(shù)據(jù)發(fā)現(xiàn)，勒索和數(shù)據(jù)武器化已成為網(wǎng)絡(luò)犯罪分子的主流，嚴(yán)重影響了政府、醫(yī)療以及其他行業(yè)。2017年5月12間了，目前仍有很多客戶系統(tǒng)感染W(wǎng)annaCry病毒及變種。2017年6月27Petya病毒就像是WannaCry的升級版，與WannaCry相比，該病毒會加密NTFS分區(qū)和磁盤主引圖：Petya病毒全球爆發(fā)2017年10月24日，俄羅斯、烏克蘭等國遭到勒索病毒“壞兔子”攻擊。土耳其等國隨后也發(fā)現(xiàn)此病毒。2018年2月，多家互聯(lián)網(wǎng)安全企業(yè)截獲了MindLost勒索病毒。MindLost牟取更大利益。2018年2月，研究發(fā)現(xiàn)一款勒索達(dá)世幣（DASH）的勒索軟件GandCrab，這2防勒索解決方案為新的擴(kuò)展名，加密完成后，樣本調(diào)用默認(rèn)瀏覽器彈出勒索信息頁面，勒索1.5個(gè)達(dá)世幣，價(jià)值約1200美元，在限定日期內(nèi)沒有交付相應(yīng)的達(dá)世幣，贖金會翻倍。近段時(shí)響極廣。勒索病毒發(fā)展趨勢分析如下：勒索病毒技術(shù)不斷演進(jìn)：目前最新發(fā)現(xiàn)的GandCrab勒索軟件，采用了新興的虛擬貨幣，同時(shí)在技術(shù)毒的防護(hù)也需要與時(shí)俱進(jìn)。從個(gè)人電腦轉(zhuǎn)型企業(yè)服務(wù)器：自從WannaCry爆發(fā)以后，勒索病毒的攻擊重心已逐漸由個(gè)人電腦用戶轉(zhuǎn)向?yàn)槌Ｒ?。今?月23日，湖北襄陽南漳縣人民醫(yī)院系統(tǒng)被植入GlobeImposter勒索病毒后癱瘓，黑客要求支付比特幣才能恢復(fù)正常。2月24院多臺服務(wù)器感染GlobeImposter于GlobeImposter家族使用了RSA2048勒索軟件暫無解密工具。3防勒索解決方案圖：醫(yī)療信息系統(tǒng)疑中勒索病毒業(yè)務(wù)癱瘓2勒索病毒本質(zhì)是對數(shù)字資產(chǎn)的攻擊，包括文檔、郵件、數(shù)據(jù)庫、源代碼、圖片、壓縮文件等多種文件，一旦勒索病毒攻擊成功，用戶重要文件將無法讀取，關(guān)鍵數(shù)據(jù)被損毀，業(yè)務(wù)癱瘓。勒索病毒通常有如下感染方式：郵件傳播：攻擊者以廣撒網(wǎng)的方式大量傳播垃圾郵件、釣魚郵件，一旦收件式在后臺靜默安裝，實(shí)施勒索；漏洞傳播：當(dāng)用戶正常訪問網(wǎng)站時(shí)，攻擊者利用頁面上的惡意廣告驗(yàn)證用戶的瀏覽器是否有可利用的漏洞。如果存在，則利用漏洞將勒索軟件下載到用戶的主機(jī)；捆綁傳播：與其他惡意軟件捆綁傳播；僵尸網(wǎng)絡(luò)傳播：一方面僵尸網(wǎng)絡(luò)可以發(fā)送大量的垃圾郵件，另一方面僵尸網(wǎng)絡(luò)為勒索軟件即服務(wù)(RaaS)的發(fā)展起到了支撐作用；可移動存儲介質(zhì)、本地和遠(yuǎn)程的驅(qū)動器（如C盤和掛載的磁盤）傳播：惡意屬性的可執(zhí)行文件；4防勒索解決方案文件共享網(wǎng)站傳播：勒索軟件存儲在一些小眾的文件共享網(wǎng)站，等待用戶點(diǎn)擊鏈接下載文件；網(wǎng)頁掛馬傳播:當(dāng)用戶不小心訪問惡意網(wǎng)站時(shí)，勒索軟件會被瀏覽器自動下載并在后臺運(yùn)行；社交網(wǎng)絡(luò)傳播:勒索軟件以社交網(wǎng)絡(luò)中的.JPG圖片或者其他惡意文件載體傳播。從病毒攻擊原理分析，典型勒索軟件包括以下幾部分：蠕蟲病毒傳播模塊，尋找漏洞目標(biāo)傳播和釋放病毒。蠕蟲病毒是一種常見的計(jì)算機(jī)病毒，通過網(wǎng)絡(luò)和電子郵件等方式進(jìn)行傳播，具有自我復(fù)制和傳播迅速等特點(diǎn)。WannaCry病毒制造者正是利用了美國國家安全局(NSA)泄漏的WindowsSMB遠(yuǎn)程漏洞利用工具“永恒之藍(lán)”來進(jìn)行傳播的。勒索病毒加密模塊，對數(shù)據(jù)進(jìn)行非法加密。勒索病毒文件一旦進(jìn)入本地，就會自動運(yùn)行，同時(shí)刪除勒索軟件樣本，以躲等類型為主，對常規(guī)依靠特征檢測的安全產(chǎn)品是一個(gè)極大的挑戰(zhàn)。其他模塊，更改桌面，索取贖金。從技術(shù)維度分析，目前國內(nèi)安全技術(shù)生態(tài)有三類防護(hù)方式：2.2.1主機(jī)系統(tǒng)安全防御技術(shù)主機(jī)系統(tǒng)安全防御技術(shù)主要有：終端殺毒軟件、終端管控軟件、操作系統(tǒng)補(bǔ)丁升級三種典型防護(hù)方式。終端殺毒軟件：使用基于特征碼的殺毒軟件，是目前應(yīng)用最廣發(fā)的終端防護(hù)方式之一，這種方式存在兩個(gè)約束條件：5防勒索解決方案于總庫1%。所以，很多殺毒軟件采取云查殺的方式，彌補(bǔ)這兩種不足。圖：某殺毒軟件掃描結(jié)果終端安全管控軟件：終端安全管理軟件可以關(guān)閉系統(tǒng)漏洞、端口，這種管控方式針對已知病毒和封堵能力不足，依賴于特征庫持續(xù)更新。圖：終端管控軟件操作系統(tǒng)補(bǔ)丁升級：操作系統(tǒng)補(bǔ)丁升級是非常重要的防護(hù)手段，但受限于操作系統(tǒng)版本、升級對WannaCry通過MS17-0106防勒索解決方案傳播，而微軟在17年3月發(fā)布了該漏洞的補(bǔ)丁，但仍有大量用戶未安裝補(bǔ)丁，導(dǎo)致醫(yī)院、企業(yè)、機(jī)構(gòu)以及個(gè)人的大量計(jì)算機(jī)在這次網(wǎng)絡(luò)攻擊中被感染。2.2.2網(wǎng)絡(luò)安全防御技術(shù)網(wǎng)絡(luò)安全防御體系包括：網(wǎng)絡(luò)出口病毒過濾、核心網(wǎng)絡(luò)層安全防護(hù)、交換機(jī)關(guān)閉端口等方式。網(wǎng)絡(luò)出口病毒過濾：從下圖所示，這是一個(gè)典型的局域網(wǎng)網(wǎng)絡(luò)拓?fù)?，一般在網(wǎng)絡(luò)出口處會部署防火墻或IPS新，因?yàn)椴《編熘饕腔谔卣鞯模诓《疚匆?guī)模爆發(fā)之前，很難生成病毒庫。終端終端終端終端圖：典型局域網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)核心網(wǎng)絡(luò)層防護(hù)技術(shù)，如防火墻/IPS/沙箱/蜜罐等：大部分客戶在網(wǎng)絡(luò)出口部署安全設(shè)備，而在內(nèi)網(wǎng)很少部署安全產(chǎn)品；對于跨核心交換機(jī)的勒索病毒攻擊，一些網(wǎng)絡(luò)可能會在核心層部署防火墻、IDS、堡壘IDS能是監(jiān)控，不能防御；沙箱和蜜罐等可以發(fā)現(xiàn)未知病毒，但需要專業(yè)人員投入。交換機(jī)關(guān)閉服務(wù)端口：病毒在終端運(yùn)行之后，就會內(nèi)網(wǎng)中大量擴(kuò)散，可能會在接入交換機(jī)內(nèi)部或者7防勒索解決方案于人工操作，費(fèi)時(shí)費(fèi)力、且只能事后處理。2.2.3數(shù)據(jù)恢復(fù)與備份技術(shù)卡巴斯基宣稱，勒索病毒使用的加密算法目前無解，不要使用網(wǎng)站流傳的工當(dāng)遭受到勒索病毒攻擊，數(shù)據(jù)被非法加密后，業(yè)內(nèi)大多采用數(shù)據(jù)恢復(fù)技術(shù)進(jìn)行恢復(fù)，主流數(shù)據(jù)恢復(fù)技術(shù)有：在線恢復(fù)技術(shù)：研究發(fā)現(xiàn)，對于感染了勒索軟件WannaCry的操作系統(tǒng)，在沒有重新啟動的前提下，勒索軟件的加密私鑰仍可以在內(nèi)存獲取，從而實(shí)現(xiàn)解密文件。但這種恢復(fù)技術(shù)的前提條件是：對于已感染W(wǎng)annaCry勒索軟件的操作系統(tǒng)不能重啟，如果系統(tǒng)已重啟或關(guān)機(jī)，可能將無法恢復(fù)文件數(shù)據(jù)。磁盤數(shù)據(jù)恢復(fù)技術(shù)：當(dāng)刪除一個(gè)文件時(shí)，為了提高執(zhí)行效率并減少磁盤損耗，操作系統(tǒng)只是在文為什么數(shù)據(jù)恢復(fù)軟件可以找到已經(jīng)刪除的文件并且恢復(fù)出來。WannaCry勒索蠕蟲的執(zhí)行邏輯，加密后生成的文件不會覆蓋掉原文件本身，但是下一個(gè)或第N個(gè)被加密的文件，復(fù)。8防勒索解決方案圖：某數(shù)據(jù)恢復(fù)工具另外，一些廠商推出數(shù)據(jù)備份方案，一但主系統(tǒng)遭受攻擊，保障備份業(yè)務(wù)系作，辟免主系統(tǒng)和備份系統(tǒng)同時(shí)被感染、被攻擊。綜上所述，目前主流的網(wǎng)絡(luò)安全技術(shù)體系在某一方面發(fā)揮著重要作用，同時(shí)也存在其技術(shù)局限性，總結(jié)如下：界，防御體系則無能為力。滯后病毒變種。（3）事后數(shù)據(jù)恢復(fù)技術(shù)：當(dāng)數(shù)據(jù)被非法加密后，數(shù)據(jù)恢復(fù)技術(shù)是僅有的一種處蓋等條件?？偨Y(jié)：網(wǎng)絡(luò)安全防御體系主要解決“進(jìn)不來”的問題，而對病毒進(jìn)來之后，病毒對數(shù)據(jù)“防破壞”的關(guān)注較少。所以，針對勒索病毒及快速變種，現(xiàn)有網(wǎng)絡(luò)安全技術(shù)體系需要與數(shù)據(jù)安全技術(shù)優(yōu)勢互補(bǔ)，才能更有效的解決勒索病毒問題。9防勒索解決方案3方案設(shè)計(jì)需要考慮如下問題：勒索病毒本身是對數(shù)據(jù)的非法損毀，屬于數(shù)據(jù)安全范疇，單一的網(wǎng)絡(luò)安全技術(shù)無法徹底解決問題。案設(shè)計(jì)要從這兩種攻擊方式入手，方案才能更加有效。解決未知病毒爆發(fā)到有效防御的時(shí)間差難題。智能算法等技術(shù)，打造安全可控的防勒索防御體系。圖：防勒索解決方案典型拓?fù)鋱D如上圖所示，本方案包括四大安全組件：1、服務(wù)器防勒索軟件：部署在服務(wù)器上，對數(shù)據(jù)庫文件和共享文件進(jìn)行保護(hù)，防止勒索病毒對數(shù)據(jù)應(yīng)用服務(wù)、業(yè)務(wù)系統(tǒng)服務(wù)等）的程序和文件進(jìn)行保護(hù)，防止因攻擊導(dǎo)致的服務(wù)中斷，保證業(yè)務(wù)的連續(xù)性和可靠性；10防勒索解決方案2、防勒索基礎(chǔ)平臺：部署在服務(wù)器前，支持串接部署和旁路部署，對訪問服務(wù)器的網(wǎng)絡(luò)請求進(jìn)行安全保護(hù)，防止已知漏洞攻擊服務(wù)器；基于AI智能算法技術(shù)，通過攻擊行為畫像、病毒防控深度學(xué)習(xí)系統(tǒng)對已知和未知病毒進(jìn)行識別、告警、阻斷；作為整個(gè)WEB表幫助決策，實(shí)現(xiàn)安全可視化；獨(dú)立自主硬件設(shè)計(jì)，防止自身被攻擊。3、PC防勒索軟件：刪除受保護(hù)文件時(shí)自動備份的功能；對訪問用戶終端的網(wǎng)絡(luò)請求進(jìn)行安全保護(hù)，防止已知漏洞攻擊用戶終端；高強(qiáng)度自我保護(hù)能力，防止自身被攻擊。4、防勒索預(yù)警平臺：旁路部署于網(wǎng)絡(luò)核心處，與防勒索基礎(chǔ)平臺及全網(wǎng)軟件系統(tǒng)聯(lián)動，實(shí)現(xiàn)可視化和預(yù)警，在病毒爆發(fā)前，提供預(yù)警服務(wù)。防勒索解決方案包括如下4大核心功能：1、數(shù)據(jù)防損毀防加密：通過計(jì)算機(jī)運(yùn)行控制技術(shù)，對信息系統(tǒng)數(shù)據(jù)庫、文件服務(wù)器上的數(shù)據(jù)及用戶數(shù)據(jù)，提供數(shù)據(jù)免疫功能；覆蓋文件類型包括：數(shù)據(jù)庫服務(wù)器、文件服務(wù)器、其他重要服務(wù)器系統(tǒng)及終端上的照片、圖片、文檔、壓縮包、音頻、視頻文件、可執(zhí)行程序等文件；支持windows、linux、分布式文件等系統(tǒng)。2、主機(jī)勒索病毒管控：Mindlost等。通過預(yù)置策略，防止被感染主機(jī)向本機(jī)傳播勒索病毒，禁止勒索病毒啟動，使病毒無法入侵；基于數(shù)據(jù)免疫功能，發(fā)現(xiàn)疑似勒索病毒進(jìn)程，通過AI讓勒索病毒無處可逃。11防勒索解決方案3、防病毒內(nèi)網(wǎng)擴(kuò)散：技術(shù)，實(shí)現(xiàn)服務(wù)器之間、服務(wù)器和終端之間、以及終端之間