勒索病毒综合防护方案

行业背景

近年来，随着网络的快速发展，大部分传统行业逐渐实现了数字化、网络化及智能化的转型，在拥抱产业互联网化的浪潮中，也暴露出一系列网络安全问题。2017年开始勒索病毒大规模爆发，乘机发难，疯狂敛财，影响日渐扩大。近几年由勒索病毒攻击造成的国内外大小事件层出不穷，全球范围内的政府、交通、能源、医疗等社会基础服务设施，成为了勒索病毒攻击的目标。
根据奇安信《2019年网络安全应急响应分析报告》得出：2019年全年政府机构、大中型企业安全事件遭受攻击常见木马排名前三的为勒索病毒、挖矿木马以及一般木马。攻击政府机构、大中型企业的常见勒索病毒分别为GlobeImposter勒索软件、Wannacry勒索软件、Crysis勒索软件、GandCrab勒索软件等。
面对日益猖狂的勒索病毒，政企单位需要加强自身网络安全防护建设，建立起完善的安全防护措施，构建防御、检测、响应和预测的自适应安全防御体系，才能有效的检测和防护勒索病毒，保证内部网络及信息系统的安全。

客户需求

根据当前的网络安全形势，结合政企单位的业务特点，最终得出勒索病毒防护的安全需求：

1.构建安全防御体系

需要建立完善的安全防御体系，充分考虑到每一个可能被突破的薄弱环节。从网络架构、网络传输、区域边界、攻击防御、服务器加固、终端安全、虚拟化安全及接入安全等各方面建立安全防护措施，形成完整的安全防御体系。

2.增强威胁检测能力

需要增强内部网络中安全威胁的检测能力，实现对内部网络中威胁的持续检测，对突发安全威胁能及时采取遏制的措施，保证内部信息系统可以适应动态的安全环境。

3.建立响应处置机制

树立防御系统随时可能被攻破的观念，为减少攻击造成的损失需要建立应急响应处置机制。
建立应急响应流程，减少处理中流程错误情况；
建立自动化的响应处置，加快处理速度；
溯源取证，了解攻击来源途径。

4.建立预测预警机制

建立与安全厂商实时联动的安全预警中心，实时可获取最新的安全动态，更新自身的安全系统及威胁情报信息，在下一次攻击发生之前与安全厂商共同完成对内的预警动作。

解决方案

方案内容

自适应安全模型

在安全建设中需要适合的安全建设模型进行指导，才能有效的利用技术及安全产品，做到同步规划、同步建设、同步运营的目标；自适应安全模型构建安全体系是当前安全业界推荐的主流建设模型。自适应防护架构的关键能力包括如下：
1.“防御能力” 是指一系列策略集、产品和服务可以用于防御攻击。这个方面的关键目标是通过减少被攻击面来提升攻击门槛，并在受影响前拦截攻击动作。
2.“检测能力”用于发现那些逃过防御网络的攻击，该方面的关键目标是降低威胁造成的“停摆时间”以及其他潜在的损失。检测能力非常关键，因为政企单位应该假设自己已处在被攻击状态中。
3.“响应能力”用于高效调查和补救被检测分析功能(或外部服务)查出的事务，以提供入侵认证和攻击来源分析，并产生新的预防手段来避免未来事故。
4.“预测能力”使安全系统可从外部监控下的黑客行动中学习，以主动锁定对现有系统和信息具有威胁的新型攻击，并对漏洞划定优先级和定位。该情报将反馈到预防和检测功能，从而构成整个处理流程的闭环。

自适应安全模型

防御能力建设

1.智慧防火墙系统

在互联网接入区域边界及其他区域边界处部署智慧防火墙，通过防火墙上规则、威胁情报及云端威胁情报中心对内部网络失陷主机进行定位。“失陷主机”是指被攻击者成功侵入，行为特征符合“受到控制”或“发起恶意行为”的主机。由于失陷主机受控或发起恶意行为往往难寻规律、隐蔽性强，绝大部分已存在失陷主机的组织根本无法感知。因此，需要在政企单位互联网边界处建立检测发现失陷主机并具备及时处理的机制，防止因为失陷主机造成的信息外泄或者对外发起恶意攻击，使政企单位面临经济损失及法律风险。

2.终端安全管理系统

内网终端是网络攻击的发起点和落脚点，终端安全在网络安全体系中处于核心地位，所以需要在网络内部终端及服务器上部署奇安信天擎终端安全管理系统。天擎终端安全管理系统能为用户构建有效抵御已知病毒、勒索病毒、漏洞、未知恶意代码和高级威胁APT攻击的终端安全防御体系。天擎通过EDR模块还可以天眼威胁感知系统联动，准确检测内部的失陷主机并通过天擎进行响应处置，同时天擎还可以与智慧防火墙进行联动，对内部风险主机或失陷主机进行安全管控。天擎终端安全管理系统还可以对大部分勒索病毒进行检测和查杀，并提供敲诈先赔服务。

天擎终端安全管理系统主要可以解决以下安全问题：

解决终端木马、病毒查杀问题；
解决勒索病毒检测和防护问题；
解决违规终端接入的问题；
解决终端违规软件难以管控问题；
解决终端漏洞，及时进行补丁修复；
解决终端安全状况统一管控问题。

3.终端安全准入系统

在内部网络部署终端安全准入系统，实现从终端发现、访客注册、认证授权、合规检查、隔离修复、访问控制、入网追溯等“一站式”的入网控制管理流程。所有终端接入网络，访问核心区域资源都必须进行身份认证，同时进行入网安全检查，不符合的需进行隔离和修复，直到达到合规入网的管理规范要求为止。终端安全准入系统可以提高天擎客户端的部署率，保障入网终端是在安全可控范围内，保证内网的安全。

4.服务器安全加固系统

在物理服务器系统上部署服务器安全加固系统，通过内核级加固、强制访问控制、应用自保护、沙盒等技术等提高服务器操作系统对抗黑客攻击及恶意代码的能力，有效检测及拦截已知和未知安全威胁，全方位保障服务器操作系统、业务系统和数据内容的安全。系统支持主流的硬件平台、操作系统和应用，同时支持物理机和虚拟化架构（xen、vmware、hyper-v等），支持异构网络部署，实现跨平台的统一管理。

5.虚拟化安全管理系统

在内网虚拟化平台上部署虚拟化安全管理系统，实现对虚拟化系统的安全防护。虚拟化安全管理系统主要包括防病毒、Webshell扫描、防暴力破解、防火墙、入侵防御及虚拟化加固等功能模块。产品旨在解决在虚拟化环境下的安全问题，提供对宿主机、虚拟机、虚拟机应用的三层防护能力，采用低耗的技术架构，全面兼容企业物理和虚拟环境，保障业务系统的稳定性和连续性。主要支持的虚拟化平台包括VMware vCenter、Citrix XenServer、H3C CAS、Hyper-V、Huawei FusionSphere等主流虚拟化平台。

检测能力建设

天眼威胁感知系统

在内部网络中部署奇安信天眼威胁感知系统，威胁感知系统可基于自有的多维度海量互联网数据，进行自动化挖掘与云端关联分析，提前洞悉各种安全威胁，并向客户推送定制的专属威胁情报。同时结合部署在客户本地的软、硬件设备，天眼能够对未知威胁的恶意行为实现早期的快速发现，并可对受害目标及攻击源头进行精准定位，最终达到对入侵途径及攻击者背景的研判与溯源。天眼威胁感知系统主要可以解决的问题包括：
检测发现传统防护手段漏过的未知威胁；
在隔离网络环境下检测未知威胁；
对企业内的海量数据进行安全分析；
对企业内已发现的问题进行攻击回溯；
精准及时地处理通过威胁情报发现的终端的安全威胁。

响应能力建设

1.天眼+天擎&天眼+防火墙联动响应
天擎终端安全管理系统通过EDR模块可以与天眼联动，构建对以未知漏洞（0day）利用、未知恶意代码植入、勒索病毒等为核心的APT攻击过程从精确检测到深度防御的纵深防范闭环体系，实现终端的安全防护。
智慧防火墙通过NDR模块与天眼联动，构建网络层面的已知威胁与未知威胁的发现，并通过防火墙联动实现有效的网络层安全防护。
2.应急响应服务机制建立
建立安全事件应急响应机制，对已经发生或可能发生的安全事件进行检测、分析、协调、处理，保护资产安全属性的活动，并协同建立有效的防御策略来抵御网络安全威胁。

预测能力建设

夯实威胁情报基础
威胁情报是一种扎扎实实的安全能力，来自奇安信云端海量数据的分析成果，可对APT攻击、新型木马、特种免杀木马进行规则化描述。同时通过威胁情报解读定期推送分享服务，定期向政企单位分享APT攻击行为和事件情报、攻击团伙情报、恶意代码和漏洞利用情报，攻击团伙活跃态势情报等，建立预测预警能力。

客户价值

1.协助客户建立有效的自适应安全防御体系，有效实现勒索病毒防护；
2.为客户提供边界+终端+云端威胁情报多层次的智慧检测、防御措施；
3.为客户建立数据驱动的自动化+人工响应的有效处置机制；
4.为客户建立云端威胁情报+本地威胁检测的安全预测预警能力。

应用场景

方案部署

勒索病毒综合防护方案部署架构图如下图所示：

<span 微软雅黑",sans-serif'="" style=";padding: 0px;border: 0px;font-style: inherit;font-variant: inherit;font-weight: inherit;font-stretch: inherit;font-size: inherit;line-height: inherit;vertical-align: baseline;font-family: -apple-system, 'Helvetica Neue', Helvetica, Arial, 'PingFang SC', 'Hiragino Sans GB', STHeiti, 'Microsoft YaHei', 'Microsoft JhengHei', SimSun, sans-serif !important">部署架构图