勒索病毒防護

醫藥行業的(de)勒索病毒防護解決方案是(shì)一(yī / yì /yí)種防止醫藥相關的(de)數據和(hé / huò)系統被惡意加密或鎖定的(de)方法。

需求分析

全網終端資産的(de)全面盤點,包含業務服務器的(de)終端和(hé / huò)用戶 PC 的(de)終端。盤點每台終端設備的(de)名稱、IP 地(dì / de)址、MAC 地(dì / de)址、所屬組織、責任人(rén)、資産編号、資産位置等。每一(yī / yì /yí)台終端上(shàng)的(de)資産信息清晰,每一(yī / yì /yí)件安全事件責任到(dào)人(rén),使得安全管理能落實到(dào)位。

終端資産全管理

通過安全基線檢查以(yǐ)及修複,明确檢查安全基線是(shì)否達到(dào)預期,确保接入終端規範。通過微隔離技術明确内網應用角色之(zhī)間的(de)訪問控制關系,可視化安全訪問策略配置,在(zài)發生病毒感染的(de)情況下,阻斷病毒在(zài)内網的(de)傳播路徑,将威脅放置在(zài)可控範圍内,從而(ér)有效提高安全防護水平。同時(shí),采用創新的(de)勒索誘捕方案,在(zài)關鍵目錄及随機目錄放置誘餌文件,當病毒加密進程對誘餌文件進行加密時(shí),EDR客戶端能夠及時(shí)發現并殺掉進程,阻止勒索病毒進一(yī / yì /yí)步擴散,保障内網安全。

采用微隔離,勒索誘捕主動防禦

EDR采用自主研發的(de)基于(yú)深度學習的(de)輕量級人(rén)工智能殺毒引擎進行病毒檢測,人(rén)工智能引擎SAVE從海量的(de)樣本數據中學習,提煉出(chū)高維特征,具備很強的(de)泛化能力,能夠應對更多的(de)未知威脅。這(zhè)些高維特征數量極少,讓SAVE在(zài)保持高性能,高效查殺率的(de)同時(shí)解決了(le/liǎo)病毒特征庫急劇增的(de)問題。擁有強大(dà)的(de)威脅情報平台,每天實時(shí)分析來(lái)自互聯網和(hé / huò)安全産品的(de)海量數據,通過威脅情報平台中集成的(de)關聯分析與智能算法,能在(zài)第一(yī / yì /yí)時(shí)間發現潛在(zài)威脅,并向EDR推送防禦能力。

基于(yú)AI的(de)智能檢測,全網威脅情報

EDR完全滿足Gartner自适應閉環模型,能夠聯動其他(tā)産品,形成涵蓋雲、邊界、端點上(shàng)中下立體防護架構,實時(shí)共享内部威脅情報。當發生威脅時(shí),可通過統一(yī / yì /yí)管理平台的(de)一(yī / yì /yí)鍵處理,網端智能協同,将終端域風險迅速隔離,并在(zài)網絡域自動生成聯動封鎖規則,全面封鎖惡意威脅,做到(dào)安全風險一(yī / yì /yí)鍵處置。

縱深防禦,快速響應威脅

痛點

當前的(de)終端管理方式落後,傳統終端解決方案在(zài)兼容性與普适性不(bù)達标,對終端的(de)管理多數采用分裂式管理,不(bù)同系統主機采用不(bù)同的(de)防護方案,導緻管理維護工作量大(dà),面對威脅難以(yǐ)做出(chū)快速響應。

雖然已經在(zài)網絡邊界設置了(le/liǎo)重重防禦,但是(shì)并沒有帶來(lái)真正的(de)安全。主要(yào / yāo)體現在(zài):

  • 内網的(de)潛藏威脅:黑客一(yī / yì /yí)旦進入到(dào)内網,如通過社會工程學、釣魚等欺騙手段進入到(dào)内部,位于(yú)邊界的(de)防禦便失效了(le/liǎo)。
  • 内網的(de)橫向攻擊:發生在(zài)内網的(de)橫向移動攻擊邊界防禦無法進行檢測,如通過失陷主機向内網業務資産發起的(de)橫向移動或者跳闆攻擊。
  • 内部人(rén)員惡意攻擊:内部員工不(bù)滿或者内外勾結進行攻擊滲透,這(zhè)部分人(rén)員既熟悉業務又有合法身份,防不(bù)勝防。

目前采用的(de)基于(yú)病毒特征庫的(de)查殺方式,在(zài)高級威脅持續(APT)發展的(de)大(dà)環境下,已經無法适應全新的(de)網絡趨勢,主要(yào / yāo)體現在(zài)以(yǐ)下幾點:

  • 基于(yú)特征匹配殺毒無法有效抵禦新型病毒:面對APT定制化的(de)攻擊以(yǐ)及變種病毒的(de)挑戰,基于(yú)特征匹配的(de)殺毒方式呈現被動、後知後覺等特點,無法及時(shí)有效防禦新型病毒。
  • 病毒特征庫數量增長加重主機運算資源:已知病毒樣本不(bù)斷增加,本地(dì / de)病毒特征庫的(de)數量也(yě)日益增多,現已嚴重加劇終端存儲、運算資源成本,查殺病毒過程會出(chū)現卡頓、假死等現象,嚴重影響員工辦公。

傳統殺毒軟件在(zài)檢測響應機制上(shàng)明顯不(bù)足,雖然在(zài)網絡邊界部署了(le/liǎo)網絡端防護産品,但始終沒有形成一(yī / yì /yí)套完整閉環的(de)應急響應系統,無法及時(shí)檢測處理威脅,對文件隔離處置措施較爲(wéi / wèi)單一(yī / yì /yí),應急響應速度慢,導緻威脅駐留時(shí)間長,對業務影響大(dà)。同時(shí)由于(yú)終端分布廣泛,威脅一(yī / yì /yí)旦在(zài)某點爆發将快速影響到(dào)面,現階段依靠人(rén)工響應成本大(dà)。

基于(yú)上(shàng)述分析,終端安全建設需要(yào / yāo)立足事前、事中、事後三階段,通過預防、防禦、檢測、響應賦予計算機終端更爲(wéi / wèi)細緻的(de)隔離策略、更爲(wéi / wèi)精準的(de)查殺能力、更爲(wéi / wèi)持續的(de)檢測能力、更爲(wéi / wèi)快速的(de)處置能力,從而(ér)構建輕量級、智能化、響應快的(de)終端安全系統。

分析信息系統的(de)價值貢獻,如支持業務流程、提高工作效率、增加收入、降低成本、提升競争力等,以(yǐ)及它們的(de)評估和(hé / huò)優化。

客戶收益

終端資産的(de)全面管理

實時(shí)掌握全網終端信息,提供管理依據。

勒索病毒的(de)實時(shí)防禦

勒索病毒通過加密文件的(de)方式,要(yào / yāo)求中招者支持一(yī / yì /yí)定數額的(de)贖金,這(zhè)種攻擊方式越來(lái)越流行。 EDR 采用多維度的(de)病毒檢測機制,能夠非常精準地(dì / de)識别不(bù)同的(de)勒索軟件,并通過專業分析識别出(chū)各種勒索病毒感染行爲(wéi / wèi)和(hé / huò)加密特征,對最新的(de)勒索軟件進行有效的(de)查殺,防止用戶受到(dào)影響。

入侵攻擊的(de)主動檢測

終端主機被入侵攻擊,導緻感染勒索病毒或者挖礦病毒,其中大(dà)部分攻擊是(shì)通過暴力破解的(de)弱口令攻擊産生的(de)。的(de) EDR 主動檢測暴力破解行爲(wéi / wèi),并對發現攻擊行爲(wéi / wèi)的(de) IP 進行封堵響應。針對 Web 安全攻擊行爲(wéi / wèi),則主動檢測 Web 後門的(de)文件。針對僵屍網絡的(de)攻擊,則根據僵屍網絡的(de)活躍行爲(wéi / wèi),快速定位僵屍網絡文件,并進行一(yī / yì /yí)鍵查殺。

面對威脅快速響應

安全雲腦通過全球的(de)大(dà)數據安全分析,提供熱點事件的(de) IOC 情報,推送情報數據給 EDR 産品。EDR 産品能根據 IOC 情報數據快速的(de)全網威脅定位分析,及時(shí)發現和(hé / huò)響應最新的(de)熱點事件,同時(shí)通過雲網端協同聯動的(de)方式,一(yī / yì /yí)鍵安全處置威脅,将威脅限制在(zài)可控範圍内。

訪問關系的(de)策略控制

當前各種感染性病毒大(dà)部分都是(shì)通過網絡進行傳播,影響範圍較廣。EDR的(de)微隔離支持網絡訪問關系策略的(de)配置,可以(yǐ)實現業務域之(zhī)間或者終端之(zhī)間的(de)網絡隔離,從源頭上(shàng)杜絕病毒的(de)傳播,減少數據資産損失,進一(yī / yì /yí)步保證終端的(de)安全。