基于勒索病毒的这一类安全事件,我们重新审视网络安全建设。因此该解决方案基于事前、事中、事后全过程设计,通过下一代防火墙AF、终端检测响应软件、全网安全大数据检测平台和人工安全服务等实现:事前风险预知、事中有效防御、以及事后持续检测和快速响应,为用户提供全程的安全保护能力,让安全更简单更有效需要重点加固传统安全建设的薄弱区,采用网络分级分区防护措施,构建终端防护和响应能力,持续检测勒索病毒行为人工安全服务。
一、实施背景:
近年来,随着网络的快速发展,大部分传统行业逐渐实现了数字化、网络化及智能化的转型,在拥抱产业互联网化的浪潮中,也暴露出一系列网络安全问题。2017年开始勒索病毒大规模爆发,乘机发难,疯狂敛财,影响日渐扩大。近几年由勒索病毒攻击造成的国内外大小事件层出不穷,全球范围内的政府、交通、能源、医疗等社会基础服务设施,成为了勒索病毒攻击的目标。
根据《2019年网络安全应急响应分析报告》得出:2019年全年政府机构、大中型企业安全事件遭受攻击常见木马排名前三的为勒索病毒、挖矿木马以及一般木马。攻击政府机构、大中型企业的常见勒索病毒分别为GlobeImposter勒索软件、Wannacry勒索软件、Crysis勒索软件、GandCrab勒索软件等。
XX医院面对日益猖狂的勒索病毒,建设单位需要加强自身网络安全防护建设,建立起完善的安全防护措施,构建防御、检测、响应和预测的自适应安全防御体系,才能有效的检测和防护勒索病毒,保证内部网络及信息系统的安全。
二、实施目标:
1、需要重点加固传统安全建设的薄弱区:在广域网分支、局域网和数据中心内部等区域,在传统ACL控制策略的基础上,通过增加系统层和应用层的安全防护技术,提升防御有效性。
2、采用网络分级分区防护措施,下一代防火墙会过滤边界中应用层威胁流量,防止病毒、木马等威胁在网络内部横向扩散,有效避免分支机构因薄弱的安全建设成为黑客入侵的短板,同时实现安全投资最大化。封闭RDP协议端口加固防护线:在互联网出口和边界处封堵RDP协议端口(3389),同时加强对外发布的web业务的应用层防护。对于无需开放RDP协议的主机,采用安全策略封堵RDP端口或协议,采用下一代应用层防火墙在互联网出口和专网边界部署完成此项功能。
3、构建终端防护和响应能力:在主机上部署终端管控软件,终端管控软件应能够防御最新型的勒索病毒攻击以及未知风险,并利用微隔离功能封堵RDP协议防止扩散,区别于传统杀毒软件,建议采用下一代EDR终端安全检测响应软件,从而提高检出率和多层级响应能力。
4、持续检测勒索病毒行为:通过部署探针系统,对于没有防火墙防护节点的办公网之间的通讯流量、专网与专网核心交换机上的全网流量进行抓取,并通过部署全网安全大数据检测平台,利用机器学习和人工智能技术进行综合分析,持续检测,从而识别和捕获内部尚未爆发的潜伏威胁。同时感知平台还应该具备同时接入防火墙、终端管控的流量、策略和安全内容日志,全面分析新型勒索病毒的攻击面及其影响范围,并进行实时呈现,帮助组织提升应急处置速度。
5、人工安全服务:提供专业的威胁分析、威胁处置和加固建议服务,从而实现威胁发现到处置的闭环安全效果。
三、建设内容:
基于勒索病毒的这一类安全事件,我们重新审视网络安全建设。因此该解决方案基于事前、事中、事后全过程设计,通过下一代防火墙AF、终端检测响应软件、全网安全大数据检测平台和人工安全服务等实现:事前风险预知、事中有效防御、以及事后持续检测和快速响应,为用户提供全程的安全保护能力,让安全更简单更有效。
针对勒索病毒的防护,应当依据病毒感染的完整生命周期进行防护,必须涵盖事前的防护、病毒入侵后的持续监测、发现病毒快速处置三个环节。
事前防御
1)边界防护:防止病毒从边界入侵,关闭风险传输端口,更新防护规则,阻断传播
2)终端防护:防止病毒从终端入侵,提升终端端口开放、弱口令、漏洞等安全基线持续监测病毒入侵后会横向扫描、广泛扩散繁殖。持续监测能第一时间发现入侵事件,及时止损隔离+处置发现中毒事件,首先需要应急隔离失陷主机,控制疫情,避免反复感染;之后再定点查杀,清除病毒文件。
事前防御:边界+终端立体防护勒索病毒的本质属于蠕虫病毒,利用Windows漏洞或远程桌面弱口令作为入口点进行传播,因此事前通过关闭不必要的端口、修复已知漏洞,可一定程度上切断勒索病毒传播途径;而对于无法打补丁的重要业务系统和大规模终端场景,或出于业务需要无法关闭相关端口的情况下,通过深信服下一代防火墙AF和终端检测响应系统EDR的组合方案,能够迅速构建起边界+终端的立体防护能力。
针对最新爆发的勒索病毒变种,AF能够快速同步威胁情报,对用户网络进行自检分析是否存在对应漏洞等风险,并将威胁情报和分析结果通过邮件、微信等多种方式第一时间紧急通知用户;用户在AF界面可一键生成匹配的防护规则,防护病毒入侵的漏洞等风险。
针对终端层面,可结合威胁情报自动对终端进行基线核查,检查终端是否存在可被利用漏洞、弱密码、不安全端口开放等风险,在安全事件发生前帮助用户及时发现并修复潜在业务威胁风险。同时对于最新变种GlobeImposter病毒,EDR能够其防御通过3389端口远程暴力破解终端的传播方式,多次登录失败后直接拒绝处理。
持续监测:第一时间发现已感染主机
勒索病毒版本更新频繁、入侵方式多变,仅靠防护无法保障100%的安全;一旦勒索病毒入侵会先潜伏、再扫描、最后由点及面快速扩散,造成爆发式破坏。因此需要对全网进行持续监测,第一时间发现第一台失陷的主机,并进行应急处置,将勒索病毒造成的损失降到最低。
万司全网安全大数据检测平台解决方案,提供对全网安全的实时监控、动态感知的能力。SIP可全网采集流量,结合EDR上报终端日志信息和AF上报边界防御日志进行汇总关联分析,通过可视化界面为用户展示内网整体安全状况,第一时间发现内网横向扫描、病毒扩散、非法外联等勒索病毒行为,并及时告警,帮助用户在勒索病毒大面积感染前及时发现。
快速处置:先隔离,再杀毒
针对已中毒主机,盲目查杀往往会造成查杀完反复感染、一边查杀一边扩散的问题,严重降低处置效率,对用户造成更进一步的严重损失。因此勒索病毒事件处置需要先快速摸清中毒主机数目和分布,接着隔离全部中毒主机,避免进一步扩散或遭受二次感染,最后通过专杀工具或系统恢复等手段逐一处理,清除病毒文件,彻底解决病毒事件。
万司全网安全大数据检测平台作为本地安全大脑,实时监测到内网中毒事件后,能够基于行为分析快速定位出全网失陷主机,并通过联通EDR系统可实现一键隔离所有失陷主机,控制疫情进一步扩散,避免造成更严重的损失;同时可联动下一代防火墙AF生成相关阻断策略,防止病毒在内网各区域之间流窜传播,波及更多安全域。之后可联动针对失陷主机进行定点查杀,若无法查杀可通过专杀工具或系统恢复彻底清除威胁,将对用户的损失降至最低。
整体解决方案建设优势
事前+事中+事后的全流程融合保护
边界+端点+人工的三级立体防护
简单、有效的可视化安全运营,安全可感知、易运营
基于AI的精准检测能力,提升已入侵的未知威胁检出率
四、实施效果:
1.第一时间对各种新型勒索病毒攻击行为进行有效阻断和隔离。
2.建立对安全威胁持续检测预警能力,高效精准的感知最新攻击事件。
3.构建“边界+流量+端点”的立体联动防护能力,提升响应速度。