J9九游会AG

您现在的位置:J9九游会AG > 解决方案 > 云(yun)安(an)全解决方案

勒索病毒专项解决方案

浏览(lan):3948时间:2017年04月01日(ri) 11:25来(lai)源(yuan):J9九游会AG公司(si)

面临的挑战

防御来自各个接入内网的的安全威胁

       企业数据(ju)是企业离身的(de)根(gen)本,现有的(de)企业的(de)大量数据(ju)存储在数据(ju)库或者磁盘(pan)阵列中(zhong),已做(zuo)了(le)冗余和容错的(de)功(gong)能,但是在现代网络(luo)中(zhong),勒索病(bing)毒的(de)肆虐,在对企业的(de)持续的(de)APT攻击中可以在短时间将这些根本的用户数据,企业数据,研发数据,经过哈希后加密,导致所有文件不可读,而病毒入侵的路径可以是所有接入内部网络的媒介,如何对所有入口进入的未知的危险进行检测并能发现它们的危害性,能实时的进行内网的防护

勒索病毒变种无法匹配已有的病毒库

       勒(le)索病(bing)毒(du)(du)的(de)编(bian)写者在没(mei)有实行攻(gong)击之前,是无法被现有的(de)病(bing)毒(du)(du)规(gui)则库(ku)比对成功(gong)的(de),对于传统的(de)非黑即白的(de)扫描方式,这样的(de)勒(le)索病(bing)毒(du)(du)会被当成安(an)全(quan)的(de)程(cheng)序被放行,进入到用户的(de)内(nei)部网(wang)络,进行潜伏,为之后的(de)攻(gong)击发起动作进行资(zi)料收集和(he)准备。

没有可靠安全的数据备份

       现有的企业大都(dou)使用拷贝的方(fang)式对数(shu)据进行(xing)存储和(he)容(rong)错,但无法为数(shu)据提供安全防护(hu),当勒索软(ruan)件(jian)进入到用户的核心管理层,获取(qu)到数(shu)据的读取(qu)权限时,备(bei)份(fen)的意义也就不(bu)存在了,备(bei)份(fen)的数(shu)据是(shi)加密(mi)的数(shu)据,无法检(jian)测(ce)到病毒(du)的入侵行(xing)为,勒索软(ruan)件(jian)会(hui)将所有的备(bei)份(fen)数(shu)据和(he)现有数(shu)据都(dou)进行(xing)了加密(mi)。 


J9九游会AG 的解(jie)决方案

4个维度分别建立抑制点

网关\门户网站

邮件网关

桌面(mian)终端\服务器端

数据备份



邮件保护


检(jian)查点:针对加密勒索软件利用社交(jiao)邮件攻击的进(jin)行侦测和防护

推荐(jian)J9九游会AG产品 :DDEI

适用(yong)场(chang)景:黑客通过社交工程邮件向终端用(yong)户发起(qi)攻击

工(gong)作原理:DDEI自带(dai)定制(zhi)化沙箱模块,可侦测藏(zang)匿在邮件(jian)(jian)中的恶意文档漏(lou)洞攻(gong)击,恶意脚本攻(gong)击,恶意URL访问,模拟真实用户(hu)环境,通(tong)过行为分析判断(duan)加(jia)密勒索软件(jian)(jian),DDEI可防范(fan)黑客针对终端用户(hu)的社(she)交(jiao)工程邮件(jian)(jian)攻(gong)击,从而(er)避免90%以上(shang)的加(jia)密勒索软件(jian)(jian)通(tong)过邮件(jian)(jian)方(fang)式(shi)到(dao)达用户(hu)终端

可能问题: 如果受害者不是通(tong)过邮件方式感染(ran)加(jia)密勒索软件,则该解决(jue)方案无效


Web\网关保护


检(jian)查点:针对(dui)加(jia)密勒索软(ruan)件进(jin)行下载(zai)攻击加(jia)密软(ruan)件时(shi)进(jin)行侦测和(he)防护

推荐J9九游会AG产品 :DE+TDA(带沙箱)+DDAn

适用场景:

• 用户部署了(le)DE+TDA(含沙箱)+DDAn

• 黑客通过社交(jiao)工程邮件向受害(hai)者发起攻击(ji)

• 终端用户可能(neng)通过Web方式访问(wen)了包含加(jia)密勒索软件性质的恶意(yi)脚本或文档 

工(gong)作原(yuan)理:TDA通(tong)过分(fen)析Web/Mail协议,发现可疑威胁对象,使用自带沙(sha)箱(xiang)或外(wai)置沙(sha)箱(xiang)DDAn做(zuo)进一(yi)步(bu)分(fen)析,产(chan)生C&C主机黑名(ming)单(dan);DE通(tong)过ATSE(高级(ji)威胁侦测引擎(qing))侦测来(lai)自Web的可疑威胁对象,并(bing)提交给(ji)DDAn沙(sha)箱(xiang)进一(yi)步(bu)分(fen)析,DDAn确认威胁并(bing)产(chan)生SHA1以及C&C主机黑名(ming)单(dan);DE自动(dong)获取TDA及DDAn上产(chan)生的C&C黑名(ming)单(dan),并(bing)在网关处拦截文档漏洞恶意(yi)代码或 .js脚本触(chu)发的C&C外(wai)联请(qing)求(qiu),从而阻止恶意(yi)软(ruan)件主体的下载

可(ke)能问题(ti):

由于TDA旁路部署,从侦测到可疑威胁对象到通过沙箱分析生成C&C主机黑名单,再到DE自动获取并应用C&C黑名单,期间会有3~5分钟的空窗期,如果终端用户在空窗期内执行了文档漏洞恶意代码或 .js脚本,则极有可能成为受害者


终端接入防护


检查点:针对加(jia)密勒(le)索软件攻(gong)击的第2、3、4步(bu)进行侦测(ce)和防护

推(tui)荐J9九游会AG产品 :OSCE(Endpoint)

适用场景:

• 当Endpoint用(yong)户正在打(da)开邮件中包(bao)含文档漏洞的恶意文档或 .js脚本

• Endpoint恶意代码或脚本正在外联C&C服务器并下载恶意软件主体

• Endpoint正在运行恶意软件主体代码

• 当(dang)黑(hei)客(ke)企(qi)图通过(guo)系统漏(lou)洞对Server实施勒索软件攻击

工作原理:OSCE可以通过大数(shu)据比对(dui)C&C站(zhan)点(dian)名单,对(dui)C&C站(zhan)点(dian)进行拦(lan)截。OSCE通过ADC (Access Document Control)、SRP(Software Restricted Policy)、 UMH(User Mode Hooking)和DRE (Damage Recovery Engine)及Meerkat等技术(shu)分析桌面(mian)文档(dang)操作是(shi)否异(yi)常(chang),发现企图实施文档(dang)加密的恶意(yi)进程,并通过相关策略(lve)规(gui)避恶意(yi)行为

 

数据备份保护

该方(fang)案为补救方(fang)案 --推荐J9九游会AG产品 :SafeSync

适用场景:

• 当前面(mian)的所有(you)防护(hu)都失效,终端(duan)文档已经被加密

• 用户已经(jing)部署了(le)SafeSync

工作原理:正常情况下(xia),SafeSync会(hui)将用户桌面指(zhi)定(ding)的文档(dang)同步至企业存储服务器中(zhong),而(er)且备份(fen)诺干(gan)历(li)史版(ban)本如果(guo)终端文档被加密(mi),可通过SafeSync恢(hui)(hui)复历史(shi)版本(ben)的(de)方式来实(shi)现加密(mi)文档的(de)恢(hui)(hui)复

 

解决(jue)方(fang)案的价值

       多(duo)方向多(duo)阶段的(de)对勒索软(ruan)件(jian)(jian)的(de)攻(gong)击(ji)进(jin)行分段防护,从邮件(jian)(jian)开始就对进(jin)入内网(wang)的(de)未知安(an)全(quan)邮件(jian)(jian)进(jin)行跟(gen)踪和(he)分析,由(you)沙盒分析通(tong)(tong)过的(de)邮件(jian)(jian)才能被认(ren)为(wei)是(shi)无害(hai)并进(jin)入内网(wang),对其他方式进(jin)入内网(wang)的(de)病毒通(tong)(tong)过网(wang)关与沙箱(xiang)联(lian)动,将恶意主加密程序下载的(de)网(wang)络地址进(jin)行过滤并拦截下载的(de)流(liu)量,保(bao)证恶意软(ruan)件(jian)(jian)无法被脚本下载到(dao)本地执行攻(gong)击(ji),用户若是(shi)从U盘等外接媒介进行传入的病毒会被桌面终端杀毒软件OSCE和服务器端安全软件DS来检测到未授权加密的行为异常并进行拦截与查杀。并且定期备份数据,当有处于安全空窗的计算机被执行恶意攻击后,可以进行数据恢复,将安全云盘的数据还原,而且J9九游会AG 在备份数据的时候安全云盘自带病毒检测功能,将备份数据中的恶意病毒清除。从各个方向保护用户的数据。


客户收益(yi)

企业(ye)数(shu)据安全得到(dao)保(bao)障。

全(quan)方(fang)位式解决方(fang)案,用户省心省力。

统一管理联动(dong)平台(tai),方便管理。


>>返回上级

上一篇:服务器虚拟化安全解决方案 Deep Security

解决方案

版权(quan)所有(you)(you)©福建J9九游会AG信息科(ke)技有(you)(you)限公司