有效应对勒索病毒!终端4-6-6三层立体防护了解一下

2020-12-10 16:48:23

来源:深信服科技

近年来,勒索病毒攻击层出不穷,邮件、U盘、软件下载等都可能成为勒索病毒传播途径。全球各大企业遭受勒索病毒的事件也在持续发生,给各行各业造成了巨额的经济损失。据深信服云脑数据统计,深信服安全团队在2020年已应急响应了数千起勒索事件,安全形势不容乐观。为何全球范围内的勒索攻击事件屡见不鲜?

勒索病毒攻击链复杂,传统防护方案失效

勒索病毒的攻击链一般分为三大步:感染病毒、加密勒索、横向传播,首先进行病毒从外网到内网的感染,然后漏洞利用提权加密勒索,最后威胁横向持续扩散。面对复杂的勒索病毒攻击,传统的防护方案难以防住。

勒索病毒攻击链

病毒感染难预防:由于病毒更新快速,变种多,并使用无需落地到磁盘的无文件攻击方式;传统基于特征检测的杀毒软件无法及时察觉,难以发现。

加密勒索难定位:内网资产数量庞大,一旦被加密,传统防护方案网端割裂,无法联动并快速分析病毒的传播环节,定位到所有感染主机。

横向传播难控制:勒索病毒扩散速度快,即使检测出了勒索病毒,但无法找到感染的根因,无法控制,业务系统恢复后,也有可能再次感染。

整体上,勒索病毒攻击链复杂,每一阶段的攻击均存在防护难点,而传统的勒索防护方案往往只作用于其中的某一个阶段,在整个攻击链过程中,任何一环被突破,则满盘皆输。

勒索病毒全生命周期的闭环防御

Gartner定义了自适应安全3.0架构,包含终端安全的四个阶段、12个建议项,只有建议项被相应功能全部覆盖,才可以闭环终端安全防护。对于勒索病毒的防护,需要从提供预防、防御、检测与响应四个阶段进行全方面防御,为终端提供完善的勒索防护能力。

自适应安全3.0架构

预防:在病毒感染阶段,主动预测未来的攻击,预防终端被RDP爆破、漏洞利用钓鱼邮件等方式感染勒索病毒。

防护:在病毒加密阶段,实时监测终端恶意文件,并及时发现内网勒索病毒,实现对终端安全的实时防护。

检测:发现勒索病毒后,快速定位并隔离失陷主机,控制内网传播范围,避免反复感染。

响应:在横向传播阶段,进一步分析造成安全事件的原因,采取措施进行根除,尽快恢复业务正常运转。

深信服EDR,基于勒索攻击链的4-6-6三层立体防护

基于主流攻击方式的技术研究,以及勒索病毒攻击链原理分析,深信服终端检测响应平台EDR提供实现预防、防御、检测与响应的4-6-6三层立体防护,满足Gartner的安全要求,为终端提供全面、实时、快速、有效的安全防护能力,让勒索病毒无所遁形,保护组织终端业务安全。

4-6-6三层立体防护

4 层勒索入侵防御

深信服EDR通过漏洞检测与修复、安全基线检查、创新微隔离技术和人工智能引擎进行4层勒索入侵防御,提前识别系统脆弱面,并封堵勒索病毒攻击入口,预防勒索入侵给业务系统带来的安全隐患。

• 补丁漏洞免疫:主动分析系统层面的漏洞风险,并基于内存进行问题代码进行修复,无需下载补丁重启服务即可实现“零干扰”的漏洞修复,避免病毒利用漏洞发起攻击。
• 人工智能检测引擎:对于多变种或新型病毒,深信服EDR基于多年自研的SAVE安全智能检测引擎,对数亿维病毒原始特征进行分析,并转换成高维特征进行深度学习,防范未知的勒索病毒。

 6 级勒索反加密防护

通过防爆力破解防护、系统可信进程防护、目录可信进程防护、无文件攻击防护、勒索诱饵防护和远程登录保护,进行6级勒索反加密防护,对勒索病毒全流程的各种攻击手段进行针对性的对抗与防护,从而防范业务系统的核心数据被加密,保障用户的资产安全。

• 无文件攻击防护:传统杀毒软件基于静态文件扫描,容易被无文件攻击绕过检测,深信服EDR通过分析命令行、上下文等进行启发式检测,有效实现利用powershell脚本的无文件攻击防护。
• 勒索诱饵防护:在终端关键目录放置诱饵文件,进行勒索病毒的实时监控并自动处置,阻止病毒进一步加密和扩散。
• 远程登录保护:RDP爆破登录服务器是黑客常用的攻击手段之一,深信服EDR通过在敏感时间段对远程访问服务器的行为进行二次密码验证,防止黑客远程登录服务器进行勒索病毒投放,减轻服务器资产损失的风险。

勒索诱饵防护及二次登陆认证

6 项勒索检测与响应

通过病毒检测与查杀、一键终端隔离、网端云联动、全网威胁定位、勒索解密工具、威胁百科分析进行勒索病毒的6项检测与响应,对勒索病毒进行全网快速定位、处置与阻断,避免交叉感染,阻止威胁爆破,减轻用户业务大面积瘫痪的风险。

• 网端云联动:深信服EDR通过与深信服云、网端设备联动,一旦发现勒索病毒,快速进行联动协同分析,并一键隔离,缩短威胁处置时间,减轻对业务的影响。
• 全网威胁定位:结合深信服云脑进行情报数据和热点事件分析,在5分钟内快速实现全网威胁的定位与快速清除。

与此同时,深信服EDR以124项的攻击技术覆盖面,通过赛可达实验室的ATT&CK威胁检测能力测评,能准确的识别各种攻击行为,为终端提供可靠的威胁防护能力。

赛可达实验室对ATT&CK威胁检测能力的测评认证

想体验

基于勒索病毒攻击链的4-6-6三层立体防护?

识别下方二维码,

即刻免费申请深信服EDR试用

此外,除了终端侧的勒索病毒立体防护,基于勒索病毒事件的全生命周期,深信服提出了集防御、检测、响应于一体的整体安全防御体系,针对勒索病毒的攻击特征和方式,通过拦截、查杀、监测、处置四个阶段对勒索病毒进行精准、快速的闭环处置,构建整体勒索病毒免疫力。

索取“此产品”的详细资料,请留言
  • *姓名:
  • *手机:
  • *邮寄地址: