您现在的位置:首页 > 解决方案 > 云安全解决方案

勒索病毒专项解决方案

浏览:2278时间:2017年04月01日 11:25来源:天润恒公司

面临的挑战

防御来自各个接入内网的的安全威胁

       企业数据是企业离身的根本,现有的企业的大量数据存储在数据库或者磁盘阵列中,已做了冗余和容错的功能,但是在现代网络中,勒索病毒的肆虐,在对企业的持续的APT攻击中可以在短时间将这些根本的用户数据,企业数据,研发数据,经过哈希后加密,导致所有文件不可读,而病毒入侵的路径可以是所有接入内部网络的媒介,如何对所有入口进入的未知的危险进行检测并能发现它们的危害性,能实时的进行内网的防护

勒索病毒变种无法匹配已有的病毒库

       勒索病毒的编写者在没有实行攻击之前,是无法被现有的病毒规则库比对成功的,对于传统的非黑即白的扫描方式,这样的勒索病毒会被当成安全的程序被放行,进入到用户的内部网络,进行潜伏,为之后的攻击发起动作进行资料收集和准备。

没有可靠安全的数据备份

       现有的企业大都使用拷贝的方式对数据进行存储和容错,但无法为数据提供安全防护,当勒索软件进入到用户的核心管理层,获取到数据的读取权限时,备份的意义也就不存在了,备份的数据是加密的数据,无法检测到病毒的入侵行为,勒索软件会将所有的备份数据和现有数据都进行了加密。 


我们的解决方案

4个维度分别建立抑制点

网关\门户网站

邮件网关

桌面终端\服务器端

数据备份



邮件保护


检查点:针对加密勒索软件利用社交邮件攻击的进行侦测和防护

推荐产品:DDEI

适用场景:黑客通过社交工程邮件向终端用户发起攻击

工作原理:DDEI自带定制化沙箱模块,可侦测藏匿在邮件中的恶意文档漏洞攻击,恶意脚本攻击,恶意URL访问,模拟真实用户环境,通过行为分析判断加密勒索软件,DDEI可防范黑客针对终端用户的社交工程邮件攻击,从而避免90%以上的加密勒索软件通过邮件方式到达用户终端

可能问题: 如果受害者不是通过邮件方式感染加密勒索软件,则该解决方案无效


Web\网关保护


检查点:针对加密勒索软件进行下载攻击加密软件时进行侦测和防护

推荐产品:DE+TDA(带沙箱)+DDAn

适用场景:

• 用户部署了DE+TDA(含沙箱)+DDAn

• 黑客通过社交工程邮件向受害者发起攻击

• 终端用户可能通过Web方式访问了包含加密勒索软件性质的恶意脚本或文档 

工作原理:TDA通过分析Web/Mail协议,发现可疑威胁对象,使用自带沙箱或外置沙箱DDAn做进一步分析,产生C&C主机黑名单;DE通过ATSE(高级威胁侦测引擎)侦测来自Web的可疑威胁对象,并提交给DDAn沙箱进一步分析,DDAn确认威胁并产生SHA1以及C&C主机黑名单;DE自动获取TDA及DDAn上产生的C&C黑名单,并在网关处拦截文档漏洞恶意代码或 .js脚本触发的C&C外联请求,从而阻止恶意软件主体的下载

可能问题:

由于TDA旁路部署,从侦测到可疑威胁对象到通过沙箱分析生成C&C主机黑名单,再到DE自动获取并应用C&C黑名单,期间会有3~5分钟的空窗期,如果终端用户在空窗期内执行了文档漏洞恶意代码或 .js脚本,则极有可能成为受害者


终端接入防护


检查点:针对加密勒索软件攻击的第2、3、4步进行侦测和防护

推荐产品:OSCE(Endpoint)

适用场景:

• 当Endpoint用户正在打开邮件中包含文档漏洞的恶意文档或 .js脚本

• Endpoint恶意代码或脚本正在外联C&C服务器并下载恶意软件主体

• Endpoint正在运行恶意软件主体代码

• 当黑客企图通过系统漏洞对Server实施勒索软件攻击

工作原理:OSCE可以通过大数据比对C&C站点名单,对C&C站点进行拦截。OSCE通过ADC (Access Document Control)、SRP(Software Restricted Policy)、 UMH(User Mode Hooking)和DRE (Damage Recovery Engine)及Meerkat等技术分析桌面文档操作是否异常,发现企图实施文档加密的恶意进程,并通过相关策略规避恶意行为

 

数据备份保护

该方案为补救方案 --推荐产品:SafeSync

适用场景:

• 当前面的所有防护都失效,终端文档已经被加密

• 用户已经部署了SafeSync

工作原理:正常情况下,SafeSync会将用户桌面指定的文档同步至企业存储服务器中,而且备份诺干历史版本如果终端文档被加密,可通过SafeSync恢复历史版本的方式来实现加密文档的恢复

 

解决方案的价值

       多方向多阶段的对勒索软件的攻击进行分段防护,从邮件开始就对进入内网的未知安全邮件进行跟踪和分析,由沙盒分析通过的邮件才能被认为是无害并进入内网,对其他方式进入内网的病毒通过网关与沙箱联动,将恶意主加密程序下载的网络地址进行过滤并拦截下载的流量,保证恶意软件无法被脚本下载到本地执行攻击,用户若是从U盘等外接媒介进行传入的病毒会被桌面终端杀毒软件OSCE和服务器端安全软件DS来检测到未授权加密的行为异常并进行拦截与查杀。并且定期备份数据,当有处于安全空窗的计算机被执行恶意攻击后,可以进行数据恢复,将安全云盘的数据还原,而且我们在备份数据的时候安全云盘自带病毒检测功能,将备份数据中的恶意病毒清除。从各个方向保护用户的数据。


客户收益

企业数据安全得到保障。

全方位式解决方案,用户省心省力。

统一管理联动平台,方便管理。


>>返回上级

上一篇:服务器虚拟化安全解决方案 Deep Security

解决方案

版权所有©福建天润恒信息科技有限公司 闽ICP备13016921号       闽公网安备 35020602000404号       闽公网安备 35020602000426号