伴随着企业信息化发展,互联网在提高企业业务便捷性的同时也带来了层出不穷的安全挑战。云计算开源产业联盟牵头编制的《勒索软件发展报告(年)》中指出“勒索软件攻击的规模、影响以及破坏效果都呈扩大趋势,可直接攻击关键基础设施导致企业组织关键业务中断,攻击者的赎金要求亦是逐年增高。根据公开报告收集的数据分析显示,年迅速蔓延的WannaCry勒索软件赎金仅为美元,现如今勒索软件要求企业支付的赎金则动辄在几百万美元”。
企业一旦感染勒索病毒,不仅面临因信息系统数据被加密而导致业务中断、经济损失的风险,还可能因数据泄露而被监管机构处罚。因此,构建有效的勒索防御体系,已成为众多企业的迫切需求。聚焦勒索病毒攻击链,典型的攻击流程包括“探测、入侵、植入、加密”四个阶段:
天融信针对攻击四个阶段,通过部署下一代防火墙、漏洞扫描系统、终端威胁防御系统、过滤网关系统、入侵防御系统、高级威胁检测系统、备份一体机等产品,帮助客户构建勒索病毒检测及整体安全防御能力,全面抵御勒索威胁。
?探测阶段
攻击者通过主动扫描、网络嗅探等方式,发现攻击目标存在的漏洞、弱口令等网络安全隐患。针对该阶段,天融信可部署下一代防火墙、漏洞扫描系统等安全产品,主动防御扫描探测攻击,提前修复漏洞、弱口令等。
●天融信下一代防火墙可防御攻击者针对IP、端口等地址的探测扫描,自动将达到扫描阈值的攻击者加入黑名单。
●天融信漏洞扫描系统可深入检测企业内网系统、Web应用中存在的漏洞、弱口令等安全隐患,并提供整改方法和漏洞修复建议,帮助客户全面提升企业内网资产的安全性。
●天融信终端威胁防御系统内置多环境漏洞修复方式,同时基于虚拟补丁技术可帮助客户在补丁发布前的防护空窗期,完成漏洞热修复,实现对0day漏洞的防御,在安全事件发生前未雨绸缪。
?入侵阶段
攻击者通过漏洞、弱口令等安全缺口攻入企业内网,或通过钓鱼邮件、网页挂马等形式传播勒索病毒。天融信采用覆盖“云、网、端”的综合防御方案,构建全面的勒索病毒安全防护体系。
●在云端,天融信自适应安全防御系统提供先进的基因识别、启发式扫描、沙盒动态行为分析等技术,实现对勒索病毒的精准识别查杀。
●在网端,天融信入侵防御系统采用协议分析、模式识别等综合技术手段,准确发现并阻断漏洞攻击、暴力拆解等网络攻击;天融信下一代防火墙在网络边界进行严格的访问控制并通过数据过滤、高级威胁防御等安全功能的组合调用,对多种安全威胁进行防御;天融信过滤网关对网页挂马、电子邮件植入、文件捆绑等方式传播的勒索病毒进行检测过滤,同时天融信高级威胁检测系统的沙箱可联动防火墙及过滤网关,加强对未知勒索病毒的监测、阻断。
●在终端,天融信终端威胁防御系统采用“基因识别”和“虚拟沙盒”等核心技术实现对已知和未知勒索病毒的精准查杀,并可联动防火墙增强对危险终端的控制。
?植入阶段
攻击者植入勒索病毒,并利用文件共享协议横向移动,扩大病毒在内网传播范围。天融信可在云网端通过精细的隔离策略,降低勒索病毒横向传播风险。
●天融信下一代防火墙部署在企业内网不同区域,利用精细的访问控制条件,进行网络分区,限制勒索病毒的传播。
●终端部署天融信终端威胁防御系统,通过IP、协议和端口等条件的组合控制,确保主机、服务器网络之间的微隔离,防止勒索病毒在内部横向传播。
●天融信自适应安全防御系统在云端提供网络微隔离安全策略,明确访问来源、访问对象及访问类型,确保云主机东西向的安全访问,解决勒索病毒在云主机之间横向移动的问题。
?勒索阶段
攻击者运行勒索病毒加密并盗取企业数据,同时发送勒索信息,胁迫企业交付赎金。针对这一阶段,天融信通过对勒索加密行为进行捕获分析,提前备份数据,保障勒索攻击影响最小化。
●天融信终端威胁防御系统通过勒索诱捕技术,构建高仿真虚拟诱捕文件,诱使勒索病毒实施攻击加密,对攻击行为的加密动作进行捕获分析并及时阻断加密行为,从而防御勒索病毒。
●天融信备份一体机,通过分钟级业务系统及数据恢复的数据保护技术,帮助企业客户做好数据备份,在勒索发生后,第一时间恢复企业的正常业务运行。
通过多种产品的协同,构成覆盖“云网端”的整体化勒索病毒防御方案,斩断勒索病毒攻击链,对进入企业内网的已知、未知勒索病毒进行精准拦截,最大程度地保障企业客户业务顺利开展。
勒索病毒作为“网络世界流行病”,近年来屡屡对各类组织机构的业务安全乃至社会秩序造成重大威胁。网络勒索保险服务已纳入天融信网络安全保险综合解决方案范畴,天融信协同保险公司为投保客户提供从网络安全风险评估到风险预防管理和安全事件管理的承保前、承保中、出险后的全方位安全保障,帮助客户加强网络安全主动防护、提升风险应对能力、最大化防灾减损。
