基于攻擊面治理防勒索解決方案

基于攻擊面治理勒索防護(hù)解決方案目錄

CONTENTS01、勒索病毒態(tài)勢與治理難點(diǎn)02、勒索病毒防護(hù)治理思路03、基于攻擊面治理勒索防護(hù)解決方案04、勒索防護(hù)解決方案實(shí)踐2021年勒索攻擊態(tài)勢，工業(yè)產(chǎn)品和服務(wù)行業(yè)占比最高數(shù)據(jù)來源：安恒威脅情報(bào)中心《2021全球勒索軟件趨勢》2021年勒索攻擊事件受害行業(yè)分布圖2021年勒索軟件常用攻擊媒介的占比勒索病毒的兩種攻擊方式，自動(dòng)化與人工操作替換圖片自動(dòng)化攻擊人為操作攻擊特點(diǎn)：數(shù)量較少針對高價(jià)值目標(biāo)攻擊手段多變較難防御，黑客會(huì)嘗試多種攻擊方式，可能持續(xù)幾天到幾個(gè)月，直到成功特點(diǎn)：數(shù)量較多無差別攻擊攻擊手段固定（爆破、MS17010）較容易防御（打補(bǔ)丁、合理配置、安全產(chǎn)品）自動(dòng)化攻擊以勒索病毒自主性攻擊為主，黑客參與較少；一般而言安全類產(chǎn)品能防御大部分攻擊。人為操作攻擊依賴黑客技術(shù)儲(chǔ)備，惡意程度作為輔助手段；通常安全類產(chǎn)品針對此類攻擊能發(fā)現(xiàn)攻擊線索，但有效的安全防御需要安全專家的參與。勒索病毒傳播路徑多，六大主要傳播路徑附著在文件內(nèi)，通過U盤、光盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)介質(zhì)將被感染文件傳播到目標(biāo)終端，一旦點(diǎn)擊，將自動(dòng)運(yùn)行勒索病毒。移動(dòng)介質(zhì)傳播04.入侵遠(yuǎn)程桌面?zhèn)鞑ス粽咄ǔ＠萌蹩诹?、密碼字典、暴力破解、社工攻擊等方式獲取目標(biāo)服務(wù)器登錄可令，進(jìn)而通過遠(yuǎn)程桌面協(xié)議控制服務(wù)器權(quán)限植入勒索病毒。01.軟件供應(yīng)鏈傳播利用軟件供應(yīng)商與組織的信任關(guān)系，攻擊入侵軟件供應(yīng)商相關(guān)服務(wù)器設(shè)備，利用對軟件供應(yīng)商信任關(guān)系，繞過用戶網(wǎng)絡(luò)安全防護(hù)機(jī)制，傳播勒索病毒。05.釣魚郵件傳播攻擊者在將勒索病毒內(nèi)嵌至釣魚郵件附件中，或?qū)⒗账鞑《緪阂怄溄訉懭脶烎~郵件正文中鏈接，一旦目標(biāo)用戶打開或點(diǎn)擊鏈接，病毒自動(dòng)執(zhí)行加載、安裝等指令。03.網(wǎng)站掛馬傳播攻擊者誘導(dǎo)用戶訪問帶有惡意代碼的網(wǎng)站并觸發(fā)惡意代碼，劫持用戶當(dāng)前訪問頁面至勒索病毒下載鏈接并執(zhí)行，進(jìn)而向用戶設(shè)備植入勒索病毒。06.安全漏洞傳播攻擊者利用系統(tǒng)開發(fā)過程中存在的安全漏洞，侵入目標(biāo)用戶網(wǎng)絡(luò)，獲取管理員權(quán)限，傳播勒索病毒。如WannaCry病毒利用445端口協(xié)議漏洞。02.勒索病毒產(chǎn)業(yè)化，RaaS模式興起勒索病毒作者傳播渠道商解密代理商勒索病毒受害者制作攻擊傳播繳納較低贖金繳納較高贖金；加密貨幣為主建立合作關(guān)系建立合作關(guān)系建立合作關(guān)系勒索產(chǎn)業(yè)鏈的發(fā)展會(huì)使得黑客團(tuán)伙活動(dòng)更加頻繁更加組織化和目標(biāo)化。RaaS商業(yè)模式的興起使得從業(yè)者無需任何專業(yè)技術(shù)知識(shí)就可以毫不費(fèi)力地發(fā)起網(wǎng)絡(luò)敲詐活動(dòng)，這也是導(dǎo)致新的勒索軟件市場泛濫的原因。組織針對勒索病毒治理難點(diǎn)組織已針對勒索病毒構(gòu)建高質(zhì)量安全防護(hù)體系，但仍然未獲得足夠的安全感組織在數(shù)字化轉(zhuǎn)型過程中，借助數(shù)字化工具，實(shí)現(xiàn)科技與業(yè)務(wù)深度融合；過程中伴隨數(shù)字資產(chǎn)數(shù)量增多，隨之而來面臨資產(chǎn)安全性、資產(chǎn)供應(yīng)鏈安全等問題。資產(chǎn)多組織數(shù)字化轉(zhuǎn)型深入，網(wǎng)絡(luò)的邊界也隨之不斷延申，面臨邊界不清晰，黑客選擇從基礎(chǔ)薄弱分支機(jī)構(gòu)或供應(yīng)商滲透到組成核心系統(tǒng)。邊界多資產(chǎn)版本未及時(shí)更新、系統(tǒng)未安裝補(bǔ)丁、軟件提供商不提供支持等因素原因，導(dǎo)致資產(chǎn)Nday漏洞大量存在、弱口令泛濫等。脆弱性多由于運(yùn)維人員缺乏安全基本意識(shí)，導(dǎo)致部分資產(chǎn)對外暴露高危服務(wù)/端口等。暴露面多目錄

CONTENTS01、勒索病毒現(xiàn)狀與治理難點(diǎn)02、勒索病毒防護(hù)治理思路03、基于攻擊面治理防勒索解決方案04、勒索防護(hù)解決方案實(shí)踐國內(nèi)外標(biāo)準(zhǔn)指南對惡意代碼防范要求等保2.0《GBT22239-2019等級(jí)保護(hù)基本要求》安全區(qū)域邊界8.1.3.4惡意代碼和垃圾郵件防護(hù)：應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對惡意代碼進(jìn)行檢測和清除安全計(jì)算環(huán)境8.1.4.5惡意代碼防護(hù)：應(yīng)采用免受惡意代碼攻擊的技術(shù)措施及時(shí)識(shí)別入侵和病毒行為，并將其有效阻斷安全管理中心8.1.5.4集中管控：應(yīng)對安全策略、惡意代碼、補(bǔ)丁升級(jí)等安全相關(guān)事項(xiàng)進(jìn)行集中管理“內(nèi)到外”連接檢測和控制“外到內(nèi)”內(nèi)容檢測和控制策略、補(bǔ)丁安全加固措施惡意代碼檢測國際標(biāo)準(zhǔn)《ISO/IEC27002-2013信息安全控制實(shí)踐指南》“12.2.惡意軟件防護(hù)”：防范惡意軟件宜基于惡意代碼檢測、修復(fù)軟件、安全意識(shí)、適當(dāng)?shù)南到y(tǒng)訪問和變更管理控制措施：實(shí)時(shí)防止或檢測已知的及可疑的惡意網(wǎng)站的使用建立防范風(fēng)險(xiǎn)的正式策略，該風(fēng)險(xiǎn)與來自或經(jīng)由外部網(wǎng)絡(luò)或在其他介質(zhì)上獲得的文件和軟件相關(guān)降低可能被惡意軟件利用的技術(shù)脆弱性安裝和定期更新惡意軟件檢測和修復(fù)軟件來掃描從網(wǎng)絡(luò)上或通過任何形式存儲(chǔ)介質(zhì)接收的文件在使用之前，宜進(jìn)行惡意軟件掃描隔離可能導(dǎo)致災(zāi)難性影響的環(huán)境中國信通院—《勒索攻擊安全防護(hù)要點(diǎn)》一、事前夯實(shí)風(fēng)險(xiǎn)防范基礎(chǔ)全面摸清資產(chǎn)家底收斂互聯(lián)網(wǎng)暴露面開展風(fēng)險(xiǎn)隱患排查嚴(yán)格訪問控制備份重要數(shù)據(jù)強(qiáng)化安全監(jiān)測提升安全意識(shí)制定應(yīng)急預(yù)案二、事中做好攻擊應(yīng)急響應(yīng)隔離感染設(shè)備排查感染范圍研判攻擊事件及時(shí)開展處置三、事后開展網(wǎng)絡(luò)安全加固利用備份數(shù)據(jù)恢復(fù)數(shù)據(jù)排查修補(bǔ)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)更新網(wǎng)絡(luò)安全管理措施補(bǔ)齊網(wǎng)絡(luò)安全技術(shù)能力四、做好保障服務(wù)支撐強(qiáng)化勒索攻擊全網(wǎng)監(jiān)測預(yù)警加強(qiáng)勒索攻擊威脅信息共享安恒信息—基于攻擊面治理的勒索防護(hù)思路從外部攻擊的視角思考組織安全薄弱環(huán)節(jié)在哪，哪些環(huán)節(jié)容易被黑客利用，然后進(jìn)一步確定如何修復(fù)安全薄弱環(huán)節(jié)、如何規(guī)避部分不能修復(fù)的漏洞攻擊等措施。01防守方視角自身始終置于防守方的維度思考安全建設(shè)方式，查漏補(bǔ)缺，安全能力建設(shè)始終慢外部黑客一步，讓安全建設(shè)成效不明顯。02攻擊方視角從攻擊者視角分析組織網(wǎng)絡(luò)中存在的安全薄弱環(huán)節(jié)，哪些環(huán)節(jié)是容易被黑客所利用，然后針對性修復(fù)、加固。安恒信息—基于攻擊面治理勒索防護(hù)流程識(shí)別攻擊面資產(chǎn)重要性識(shí)別資產(chǎn)安全性評(píng)估勒索防護(hù)專項(xiàng)檢查資產(chǎn)互聯(lián)網(wǎng)暴露面識(shí)別攻擊面加固弱口令專項(xiàng)暴力破解防御漏洞攻擊防御防護(hù)策略強(qiáng)化終端安全基線響應(yīng)處置7*24H事件響應(yīng)聯(lián)動(dòng)FW/EDR處置防護(hù)策略優(yōu)化攻擊事件溯源事件總結(jié)報(bào)告強(qiáng)化監(jiān)測告警降噪告警分類分級(jí)勒索病毒專項(xiàng)安全專家服務(wù)7*24H安全監(jiān)測01020403目錄

CONTENTS01、勒索病毒態(tài)勢與治理難點(diǎn)02、勒索病毒防護(hù)治理思路03、基于攻擊面治理勒索防護(hù)解決方案04、勒索防護(hù)解決方案實(shí)踐基于攻擊面治理勒索防護(hù)框架—1平臺(tái)3治理勒索防護(hù)終端安全治理終端漏洞防護(hù)終端暴力破解防護(hù)終端高危端口防護(hù)終端勒索病毒防護(hù)邊界安全治理邊界暴露面治理網(wǎng)絡(luò)流量監(jiān)測治理邊界策略加固梳理安全能力治理安全意識(shí)培訓(xùn)安全技能提升安全能力支撐邊界安全能力終端安全能力流量監(jiān)測能力運(yùn)維管理能力數(shù)據(jù)備份能力漏洞掃描能力安全大數(shù)據(jù)智能分析平臺(tái)安全能力應(yīng)用識(shí)別攻擊面資產(chǎn)重要性識(shí)別攻擊面加固強(qiáng)化監(jiān)測響應(yīng)處置資產(chǎn)安全性評(píng)估勒索防護(hù)專項(xiàng)檢查互聯(lián)網(wǎng)暴露面識(shí)別弱口令專項(xiàng)暴力破解防御漏洞攻擊防御防護(hù)策略強(qiáng)化安全大數(shù)據(jù)監(jiān)測勒索病毒專項(xiàng)監(jiān)測安全專家服務(wù)7*24安全監(jiān)測聯(lián)動(dòng)FW/EDR事件處置流程防護(hù)策略優(yōu)化7*24事件響應(yīng)安全運(yùn)營服務(wù)安全專家服務(wù)安全意識(shí)組織數(shù)據(jù)資產(chǎn)文件數(shù)據(jù)（軟件源代碼、Word、PPT、PDF、圖片等）、數(shù)據(jù)庫數(shù)據(jù)（數(shù)據(jù)庫文件，包括CSV、DAT、DBF、MDB、ODB++等），備份數(shù)據(jù)（數(shù)據(jù)庫備份文件）勒索防護(hù)持續(xù)防護(hù)體系化安全能力基于攻擊面治理勒索防護(hù)框架專項(xiàng)，持續(xù)，協(xié)同流量數(shù)據(jù)EDR數(shù)據(jù)防火墻數(shù)據(jù)方案架構(gòu)部署示意圖辦公區(qū)數(shù)據(jù)中心區(qū)云計(jì)算技術(shù)防火墻EDREDR流量探針EDR管理平臺(tái)運(yùn)維堡壘機(jī)流量監(jiān)測勒索識(shí)別統(tǒng)一運(yùn)維口令增強(qiáng)終端資產(chǎn)勒索引擎漏洞防護(hù)暴力破解防護(hù)安全大數(shù)據(jù)智能分析平臺(tái)聯(lián)動(dòng)指令聯(lián)動(dòng)指令MSS服務(wù)技術(shù)工具資產(chǎn)盤點(diǎn)資產(chǎn)與責(zé)任人關(guān)系資產(chǎn)漏洞狀態(tài)資產(chǎn)端口服務(wù)資產(chǎn)服務(wù)狀態(tài)正常訪問惡意IP訪問安恒MSS運(yùn)營中心事件同步攻擊面治理勒索Checklist檢查7*24H主動(dòng)服務(wù)STEP1識(shí)別攻擊面從攻擊者視角排查風(fēng)險(xiǎn)暴露面資產(chǎn)多維度梳理，重要性識(shí)別資產(chǎn)統(tǒng)一盤點(diǎn)MSS服務(wù)工具資產(chǎn)掃描引擎的主動(dòng)探測組織存在的數(shù)字資產(chǎn)，資產(chǎn)全量發(fā)現(xiàn)，與管理員已有的資產(chǎn)臺(tái)賬管理清單相匹配，最終匯聚成為組織的全量的、真實(shí)運(yùn)營的資產(chǎn)庫。資產(chǎn)分類分級(jí)針對組織資產(chǎn)分類分級(jí)管理，安全工具、安全專家與管理員一道梳理出針對組織重要性程度高的資產(chǎn)，重點(diǎn)資產(chǎn)重點(diǎn)保護(hù)。資產(chǎn)與責(zé)任人關(guān)系建立組織資產(chǎn)與資產(chǎn)責(zé)任人的梳理，建立資產(chǎn)與人的對應(yīng)關(guān)系，資產(chǎn)跟著人走，發(fā)現(xiàn)風(fēng)險(xiǎn)或安全事件后，能夠找得到人，找得對人。資產(chǎn)基礎(chǔ)信息梳理識(shí)別組織內(nèi)資產(chǎn)的基礎(chǔ)信息，資產(chǎn)名稱、資產(chǎn)URL、資產(chǎn)端口、資產(chǎn)開發(fā)語言、資產(chǎn)是否過WAF等信息，讓資產(chǎn)管理更加簡單、透徹。安恒信息安全托管運(yùn)營服務(wù)MSS技術(shù)工具、云端安全專家與組織管理員配合盤點(diǎn)組織內(nèi)資產(chǎn)分布狀態(tài)，資產(chǎn)分類分級(jí)，針對重要資產(chǎn)重點(diǎn)保護(hù)。資產(chǎn)互聯(lián)網(wǎng)暴露面識(shí)別，摸底潛在安全風(fēng)險(xiǎn)互聯(lián)網(wǎng)暴露面識(shí)別安恒信息云端安全服務(wù)專家基于組織管理員提供的根域名、IP等信息的基礎(chǔ)上，對在互聯(lián)網(wǎng)上暴露的IP資產(chǎn)、指紋資產(chǎn)等信息進(jìn)行搜集，整理成冊。服務(wù)專家借助專業(yè)的紅隊(duì)平臺(tái)，在服務(wù)過程中自主選擇暴露面搜集內(nèi)容和深度，如選擇全量或常見CMS、郵箱、Github信息等。組織管理通過此報(bào)告詳細(xì)了解資產(chǎn)暴露在互聯(lián)網(wǎng)側(cè)的詳細(xì)信息，為資產(chǎn)暴露面收斂、暴露面治理提供準(zhǔn)確數(shù)據(jù)支持。輸出資產(chǎn)互聯(lián)網(wǎng)暴露面數(shù)據(jù)報(bào)告安全性評(píng)估，多維度了解資產(chǎn)被攻擊風(fēng)險(xiǎn)安全評(píng)估，資產(chǎn)脆弱性紅隊(duì)視角，資產(chǎn)攻擊面梳理STEP01STEP02基于MSS技術(shù)服務(wù)工具等識(shí)別資產(chǎn)自身的脆弱性信息，如漏洞、高危端口、弱口令等，為下一步針對脆弱性信息修復(fù)、加固提供明確的對象。安全服務(wù)專家基于資產(chǎn)互聯(lián)網(wǎng)暴露面識(shí)別基礎(chǔ)上，采用紅隊(duì)指紋技術(shù)、高風(fēng)險(xiǎn)漏洞探測技術(shù)，挖掘出資產(chǎn)最容易被攻擊的應(yīng)用指紋、高風(fēng)險(xiǎn)可利用漏洞。此報(bào)告詳細(xì)了解資產(chǎn)哪些暴露面容易被黑客所利用，針對性做收斂、規(guī)避。輸出資產(chǎn)攻擊面梳理報(bào)告勒索防護(hù)專項(xiàng)檢查，針對性排查勒索風(fēng)險(xiǎn)專項(xiàng)檢查維度高危端口3389、135、137、138、139、22、23等端口賬戶弱口令RDP口令、SSH口令、數(shù)據(jù)庫賬戶口令、運(yùn)維賬戶口令等高危漏洞操作系統(tǒng)漏洞、應(yīng)用程序漏洞、Weblogic漏洞、安全設(shè)備漏洞等安全威脅暴力破解、端口穿透工具、釣魚郵件、邊界薄弱點(diǎn)等已存在安全風(fēng)險(xiǎn)數(shù)據(jù)備份檢查重要數(shù)據(jù)備份策略、驗(yàn)證備份策略有效性等安全策略配置EDR配置、防火墻配置、入侵防御配置等設(shè)備策略配置STEP2攻擊面加固體系化安全能力，常態(tài)化安全防御口令爆破-最簡單有效的攻擊方式根據(jù)安恒信息應(yīng)急響應(yīng)的勒索病毒事件中，其中有50%以上勒索事件通過RDP口令爆破成功，進(jìn)入到組織從而引發(fā)勒索事件。弱口令普遍存在網(wǎng)絡(luò)較多的弱口令存在，以及在部分環(huán)節(jié)中，為便于記住賬戶口令，采用具備某種規(guī)律的口令；通過密碼字典可輕松爆破成功。口令爆破難防黑客較普遍采用分布式爆破、慢速分布式爆破方式，特別是慢速分布式爆破方式，其使用分布式IP池，每個(gè)IP僅進(jìn)行1到3次攻擊嘗試，較難觸發(fā)防火墻告警閾值，此時(shí)需要持續(xù)運(yùn)營、長期分析才能有效發(fā)現(xiàn)。針對性安全加固，構(gòu)建資產(chǎn)主動(dòng)防御能力暴力破解防御借助終端EDR，針對網(wǎng)絡(luò)中存在的暴力破解IP及時(shí)封禁；同時(shí)安全大數(shù)據(jù)智能分析平臺(tái)基于多源數(shù)據(jù)檢測暴力破解行為，聯(lián)動(dòng)EDR、邊界防火墻封禁IP、端口等。弱口令專項(xiàng)借助終端EDR、安全大數(shù)據(jù)智能分析平臺(tái)等技術(shù)工具，檢查系統(tǒng)中存在的弱口令賬號(hào)；運(yùn)維堡壘機(jī)管控運(yùn)維入口，設(shè)置口令復(fù)雜度。漏洞管理MSS服務(wù)技術(shù)工具掃描組織資產(chǎn)漏洞情況，漏洞分類分級(jí)管理，針對性修復(fù)；邊界防火墻、終端EDR提供漏洞實(shí)時(shí)防御能力。端口開放借助MSS服務(wù)工具掃描組織資產(chǎn)端口開放情況，規(guī)避勒索病毒傳播的高危端口；邊界防火墻、終端EDR等封禁高端端口。終端EDR專項(xiàng)勒索防護(hù)，精準(zhǔn)識(shí)別勒索行為防護(hù)引擎文件過濾驅(qū)動(dòng)監(jiān)控針對所有文件的操作，當(dāng)一定時(shí)間內(nèi)，某進(jìn)程有大量的文件重命名及寫入事件觸發(fā)內(nèi)置閾值時(shí)，未命中內(nèi)置白名單則告警并結(jié)束操作進(jìn)程。勒索誘餌防護(hù)引擎在磁盤根目錄放置誘餌文件，確保調(diào)用WindowsAPI遍歷文件首先遍歷到誘餌文件，當(dāng)對誘餌文件進(jìn)行操作時(shí)，立即告警并結(jié)束操作進(jìn)程。文件保險(xiǎn)柜用戶可自定義關(guān)鍵的數(shù)據(jù)目錄（可配置例外進(jìn)程），被保護(hù)的關(guān)鍵目錄變?yōu)橹蛔x，保障數(shù)據(jù)安全。終端安全基線（終端EDR）統(tǒng)一終端安全基線，讓終端處于合規(guī)水平線入侵防范身份鑒別訪問控制安全審計(jì)資源控制數(shù)據(jù)保密集中管控認(rèn)證授權(quán)賬號(hào)口令通信傳輸惡意代碼防范數(shù)據(jù)完整性數(shù)據(jù)備份與網(wǎng)絡(luò)保險(xiǎn)結(jié)合，安全雙保障借助資產(chǎn)盤點(diǎn)過程中梳理出組織重要的數(shù)據(jù)文件，根據(jù)重要程度分類分級(jí)進(jìn)行數(shù)據(jù)存儲(chǔ)與備份，提供實(shí)時(shí)、定時(shí)數(shù)據(jù)備份功能，提升數(shù)據(jù)可用性與安全性。01數(shù)據(jù)災(zāi)備一體機(jī)為重要數(shù)據(jù)購買專項(xiàng)網(wǎng)絡(luò)安全保險(xiǎn)，通過投保方式將部分財(cái)務(wù)損失轉(zhuǎn)嫁到保險(xiǎn)上，可進(jìn)一步降低數(shù)據(jù)勒索造成的損失。02網(wǎng)絡(luò)安全保險(xiǎn)數(shù)據(jù)雙保障請輸入文本STEP3強(qiáng)化監(jiān)測基于各環(huán)節(jié)數(shù)據(jù)持續(xù)監(jiān)測網(wǎng)絡(luò)勒索病毒狀態(tài)勒索病毒專項(xiàng)場景分析，簡潔透徹采集組織核心交換節(jié)點(diǎn)網(wǎng)絡(luò)流量數(shù)據(jù)，基于網(wǎng)絡(luò)流量識(shí)別組織網(wǎng)絡(luò)中存在的勒索攻擊行為流量數(shù)據(jù)基于網(wǎng)絡(luò)實(shí)時(shí)流量與終端EDR、邊界防火墻等安全日志數(shù)據(jù)，通過平臺(tái)內(nèi)置協(xié)議解析、規(guī)則庫、智能算法等對采集到的數(shù)據(jù)多維度威脅檢測分析，識(shí)別勒索病毒行為；并通過勒索病毒場景化分析功能，將組織中存在勒索病毒告警事件聚合展示，便于組織直觀了解勒索病毒態(tài)勢。安全大數(shù)據(jù)智能分析平臺(tái)終端EDR、邊界防火墻等設(shè)備產(chǎn)生安全日志作為分析數(shù)據(jù)來源的重要補(bǔ)充，終端EDR、邊界防火墻7*24H安全持續(xù)監(jiān)測，安全專家參與對抗海量告警事件人員技術(shù)儲(chǔ)備不足云端服務(wù)中心內(nèi)置大量分析引擎、模型，從海量告警事件，服務(wù)專家借助平臺(tái)能力分析研判出真實(shí)的安全事件。云端三級(jí)服務(wù)專家，為組織資產(chǎn)提供7*24H持續(xù)威脅監(jiān)測，分析檢測各項(xiàng)安全隱患，及時(shí)同步安全管理員。安全專家參與勒索對抗，針對網(wǎng)絡(luò)中監(jiān)測到的勒索事件，安全專家參與到其中，與外部黑客做攻防對抗，確保組織資產(chǎn)安全。告警降噪安全專家MSS服務(wù)夜間安全監(jiān)測薄弱安全托管運(yùn)營服務(wù)MSS為中心事件處置無從下手云端安全托管運(yùn)營服務(wù)中心STEP4響應(yīng)處置協(xié)同響應(yīng)勒索病毒事件云地協(xié)同，聯(lián)動(dòng)響應(yīng)云端安全托管運(yùn)營服務(wù)中心大數(shù)據(jù)安全智能分析平臺(tái)邊界FW/WAF、終端EDR分析研判三級(jí)專家處置建議下發(fā)策略聯(lián)動(dòng)響應(yīng)封禁IP封禁端口病毒查殺PlaybookUseCase威脅識(shí)別告警展示策略調(diào)優(yōu)事件告知操作授權(quán)根據(jù)處置建議，展開事件處置根據(jù)處置建議，策略調(diào)優(yōu)安全管理員更新設(shè)備策略配置，提升策略針對性防護(hù)策略分析策略規(guī)則配置終端EDR策略調(diào)優(yōu)安全大數(shù)據(jù)智能分析平臺(tái)策略調(diào)優(yōu)邊界防火墻策略調(diào)優(yōu)安全策略進(jìn)行統(tǒng)一優(yōu)化工作，確保安全設(shè)備上的勒索防護(hù)安全策略、設(shè)備規(guī)則庫版本、版本等處于階段性最優(yōu)水平勒索事件應(yīng)急響應(yīng)本地安全服務(wù)團(tuán)隊(duì)快速上門響應(yīng)，聯(lián)合云端團(tuán)隊(duì)，針對被感染終端病毒查殺。惡意程序查殺針對事件起源，總結(jié)所存在的安全薄弱環(huán)節(jié)，查漏補(bǔ)缺。舉一反三，優(yōu)化防護(hù)策略針對勒索事件，安全專家結(jié)合各環(huán)節(jié)日志分析事件發(fā)生原因、攻擊鏈，以及是否存在殘留病毒。事件溯源與評(píng)估應(yīng)急響應(yīng)報(bào)告針對此次事件，安全服務(wù)專家復(fù)盤總結(jié)，輸出事件響應(yīng)報(bào)告，留檔備案。典型事件處置流程—勒索病毒實(shí)例采集終端和流量日志，通過云端平臺(tái)自動(dòng)化分析，產(chǎn)生勒索攻擊一級(jí)告警，生成工單通知運(yùn)營工程師威脅檢測對病毒進(jìn)行樣本提取，提交給病毒分析專家進(jìn)行分析，掌握病毒特征事件排查應(yīng)急響應(yīng)專家對文件采取備份還原、嘗試數(shù)據(jù)解密等操作事件通知安全運(yùn)營經(jīng)理提交勒索病毒應(yīng)急響應(yīng)報(bào)告并進(jìn)行匯報(bào)安全分析師快速通過企業(yè)微信通知用戶，申請?zhí)幹檬跈?quán)主機(jī)隔離安全工程師根據(jù)工單，進(jìn)行病毒行為活動(dòng)和病毒特征判斷告警真實(shí)性威脅分析樣本分析文件修復(fù)應(yīng)急響應(yīng)專家介入，對感染主機(jī)進(jìn)行隔離，并使現(xiàn)場保持完整事件匯報(bào)應(yīng)急響應(yīng)專家隔離感染主機(jī)、定位加密程序、掛起勒索進(jìn)程、保存可疑程序檢測與通知階段分析與處置階段修復(fù)與匯報(bào)階段方案價(jià)值總結(jié)價(jià)值總結(jié)圍繞勒索病毒傳播特點(diǎn)，構(gòu)建多維度、深層次、覆蓋維度廣的專項(xiàng)勒索防御體系，既包括專項(xiàng)技術(shù)防御，也包括勒索專項(xiàng)檢查，有效避免資產(chǎn)被病毒惡意入侵。勒索專項(xiàng)7*24H持續(xù)安全運(yùn)營服務(wù)，彌補(bǔ)用戶在技術(shù)、經(jīng)驗(yàn)、人員7*24H值班等短板，精準(zhǔn)識(shí)別勒索病毒在網(wǎng)絡(luò)中潛伏痕跡。持續(xù)服務(wù)安全專家與設(shè)備的協(xié)同，保持安全策略有效性，理清資產(chǎn)脆弱性。安全設(shè)備間的協(xié)同，聯(lián)動(dòng)處置響應(yīng)，提升處置效率與效果。人機(jī)協(xié)同基于攻擊面治理勒索防護(hù)兩種落地方案方案版本交付組件服務(wù)內(nèi)容預(yù)算規(guī)模高級(jí)版EDR+XDR+MSS+WAF+堡壘機(jī)+備份一體機(jī)暴露面監(jiān)測+反勒索安全檢查+MSS服務(wù)+應(yīng)急響應(yīng)服務(wù)+網(wǎng)絡(luò)保險(xiǎn)預(yù)算充足類客戶基礎(chǔ)版EDR+XDR+MSS暴露面監(jiān)測+反勒索安全檢查+MSS服務(wù)+應(yīng)急響應(yīng)服務(wù)預(yù)算有限類客戶目錄

CONTENTS01、勒索病毒態(tài)勢與治理難點(diǎn)02、勒索病毒防護(hù)治理思路03、基于攻擊面治理勒索防護(hù)解決方案04、勒