近年來�����,勒索病毒攻擊層出不窮�����,郵件、U盤�����、軟件下載等都可能成為勒索病毒傳播途徑。全球各大企業遭受勒索病毒的事件也在持續發生���,給各行各業造成了巨額的經濟損失。據深信服云腦數據統計���,深信服安全團隊在2020年已應急響應了數千起勒索事件�����,安全形勢不容樂觀。為何全球范圍內的勒索攻擊事件屢見不鮮��?
勒索病毒攻擊鏈復雜,傳統防護方案失效
勒索病毒的攻擊鏈一般分為三大步:感染病毒����、加密勒索�、橫向傳播�,首先進行病毒從外網到內網的感染,然后漏洞利用提權加密勒索�����,最后威脅橫向持續擴散。面對復雜的勒索病毒攻擊�,傳統的防護方案難以防住�。
勒索病毒攻擊鏈
病毒感染難預防:由于病毒更新快速,變種多,并使用無需落地到磁盤的無文件攻擊方式���;傳統基于特征檢測的殺毒軟件無法及時察覺��,難以發現。
加密勒索難定位:內網資產數量龐大,一旦被加密��,傳統防護方案網端割裂,無法聯動并快速分析病毒的傳播環節,定位到所有感染主機�����。
橫向傳播難控制:勒索病毒擴散速度快,即使檢測出了勒索病毒�����,但無法找到感染的根因,無法控制�,業務系統恢復后����,也有可能再次感染��。
整體上�����,勒索病毒攻擊鏈復雜���,每一階段的攻擊均存在防護難點���,而傳統的勒索防護方案往往只作用于其中的某一個階段�,在整個攻擊鏈過程中,任何一環被突破,則滿盤皆輸�。
勒索病毒全生命周期的閉環防御
Gartner定義了自適應安全3.0架構�,包含終端安全的四個階段、12個建議項�����,只有建議項被相應功能全部覆蓋,才可以閉環終端安全防護�����。對于勒索病毒的防護,需要從提供預防、防御、檢測與響應四個階段進行全方面防御�����,為終端提供完善的勒索防護能力。
自適應安全3.0架構
預防:在病毒感染階段,主動預測未來的攻擊,預防終端被RDP爆破、漏洞利用釣魚郵件等方式感染勒索病毒��。
防護:在病毒加密階段,實時監測終端惡意文件,并及時發現內網勒索病毒���,實現對終端安全的實時防護。
檢測:發現勒索病毒后�����,快速定位并隔離失陷主機,控制內網傳播范圍��,避免反復感染���。
響應:在橫向傳播階段���,進一步分析造成安全事件的原因,采取措施進行根除�,盡快恢復業務正常運轉����。
深信服EDR,基于勒索攻擊鏈的4-6-6三層立體防護
基于主流攻擊方式的技術研究���,以及勒索病毒攻擊鏈原理分析����,深信服終端檢測響應平臺EDR提供實現預防�����、防御�����、檢測與響應的4-6-6三層立體防護��,滿足Gartner的安全要求�����,為終端提供全面���、實時、快速�、有效的安全防護能力�����,讓勒索病毒無所遁形�����,保護組織終端業務安全。
4-6-6三層立體防護
4 層勒索入侵防御
深信服EDR通過漏洞檢測與修復����、安全基線檢查���、創新微隔離技術和人工智能引擎進行4層勒索入侵防御��,提前識別系統脆弱面���,并封堵勒索病毒攻擊入口�����,預防勒索入侵給業務系統帶來的安全隱患�����。
• 輕補丁漏洞免疫:主動分析系統層面的漏洞風險,并基于內存進行問題代碼進行修復��,無需下載補丁重啟服務即可實現“零干擾”的漏洞修復����,避免病毒利用漏洞發起攻擊��。
• 人工智能檢測引擎:對于多變種或新型病毒,深信服EDR基于多年自研的SAVE安全智能檢測引擎����,對數億維病毒原始特征進行分析���,并轉換成高維特征進行深度學習,防范未知的勒索病毒。
6 級勒索反加密防護
通過防爆力破解防護��、系統可信進程防護�����、目錄可信進程防護�、無文件攻擊防護、勒索誘餌防護和遠程登錄保護,進行6級勒索反加密防護,對勒索病毒全流程的各種攻擊手段進行針對性的對抗與防護�,從而防范業務系統的核心數據被加密���,保障用戶的資產安全��。
• 無文件攻擊防護:傳統殺毒軟件基于靜態文件掃描�����,容易被無文件攻擊繞過檢測,深信服EDR通過分析命令行、上下文等進行啟發式檢測����,有效實現利用powershell腳本的無文件攻擊防護�����。
• 勒索誘餌防護:在終端關鍵目錄放置誘餌文件�����,進行勒索病毒的實時監控并自動處置����,阻止病毒進一步加密和擴散。
• 遠程登錄保護:RDP爆破登錄服務器是黑客常用的攻擊手段之一,深信服EDR通過在敏感時間段對遠程訪問服務器的行為進行二次密碼驗證,防止黑客遠程登錄服務器進行勒索病毒投放���,減輕服務器資產損失的風險�。
勒索誘餌防護及二次登陸認證
6 項勒索檢測與響應
通過病毒檢測與查殺�����、一鍵終端隔離����、網端云聯動��、全網威脅定位�����、勒索解密工具���、威脅百科分析進行勒索病毒的6項檢測與響應��,對勒索病毒進行全網快速定位����、處置與阻斷,避免交叉感染����,阻止威脅爆破���,減輕用戶業務大面積癱瘓的風險�����。
• 網端云聯動:深信服EDR通過與深信服云、網端設備聯動�,一旦發現勒索病毒�����,快速進行聯動協同分析����,并一鍵隔離���,縮短威脅處置時間,減輕對業務的影響�����。
• 全網威脅定位:結合深信服云腦進行情報數據和熱點事件分析�,在5分鐘內快速實現全網威脅的定位與快速清除�����。
與此同時�,深信服EDR以124項的攻擊技術覆蓋面,通過賽可達實驗室的ATT&CK威脅檢測能力測評����,能準確的識別各種攻擊行為�,為終端提供可靠的威脅防護能力。
賽可達實驗室對ATT&CK威脅檢測能力的測評認證
想體驗
基于勒索病毒攻擊鏈的4-6-6三層立體防護���?
識別下方二維碼,
即刻免費申請深信服EDR試用
此外�,除了終端側的勒索病毒立體防護�����,基于勒索病毒事件的全生命周期�����,深信服提出了集防御、檢測、響應于一體的整體安全防御體系���,針對勒索病毒的攻擊特征和方式����,通過攔截、查殺、監測���、處置四個階段對勒索病毒進行精準、快速的閉環處置,構建整體勒索病毒免疫力��。
