【安全方案】勒索病毒风险防护方案

• 勒索病毒发展趋势及问题分析

    据全球攻击数据分析，网络攻击的必经之路最核心且脆弱的两个关键位置，一个是网络边界、一个是终端，勒索病毒等威胁通过网络边界不断的去探测企业内部资产，突破防线，最终在终端不断运行获取企业内部核心资产，达成攻击目的。那么如何保障网络边界的安全及终端业务的平稳运行成为整个勒索病毒防护的重中之重。

    近几年频繁爆发新型恶意代码攻击、跨国电信诈骗、数据泄露、网络暴力等黑客攻击事件。尤其是勒索病毒，以其强大的感染能力及快速的变种频率，迅速席卷全球，给各企业带来严重的损失。由于特征变化快，传统的安全设备难以形成有效的安全防护，勒索病毒很难通过一个产品实现有效的防护，需要基于纵深式防护体系构建多重防护机制，结合勒索病毒特性，进行有针对性的多重检测保护。

• 特征+行为的勒索病毒纵深式检测防护思路

勒索病毒入侵行为分析

• 探测扫描：在攻击前期，黑客会对用户的互联网出口及对外业务发起踩点扫描，寻求防护漏洞，以利用发起攻击

• 入侵突破：黑客发现可利用漏洞或风险后，发起针对性利用攻击，突破边界防护，并侵入主机终端，上传勒索病毒

• C&C通信：勒索病毒一般都存在远程控制端，病毒需要与控制端进行远程通信，实现黑客远程控制的目的

• 加密勒索：在拿到大量资产后，勒索病毒会集中式全面爆发，对系统目录所有文件进行快速加密，开始勒索

结合勒索病毒行为特征的针对性防护思路

• 预防：在攻击发生前，需要整体梳理实时定位内网风险，对风险进行针对解决，如风险端口、漏洞、授权、备份等

• 防御：对扫描、风险利用攻击、病毒、暴力破解等多种非法攻击手段进行全面防护，阻止病毒进入内网

• 检测：结合沙箱、人工智能病毒查杀引擎、流量行为分析等方式对上传文件、异常通信、文件非法操作行为进行检测

• 响应：一体化响应模型，在各个流程一旦发现勒索病毒，能智能化的自动进行如告警、隔离、查杀等响应动作

• 多面魔方创新安全运营服务

1. 网络边界安全防护：使用下一代防火墙（NGFW），构建边界L2-7的完整防御体系，提供各类漏洞检测与防护，风险端口检测、恶意软件的过滤，僵尸网络和DDOS攻击检测，为用户网络边界提供全面的安全防护。

2. 终端的安全防护：终端检测响应平台（EDR），可提供终端的病毒查杀、入侵防御、漏洞管理、快速响应等多种防护功能，平台集成基因检测、沙箱检测、机器学习与预测等多种新型检测引擎，实现勒索病毒的高检出和准确率。

3. 全网安全运营：安全态势感知平台采用大数据分析架构，通过采集全网安全流量、设备安全日志融合联动分析，结合人工智能、机器学习、UEBA分析技术，对全网安全态势集中分析展示，辅助用户定位安全风险、安全事件、失陷主机及反向溯源，在发现问题后，还可智能联动如防火墙、行为管理、EDR等安全设备进行自动化安全事件处置及阻断、隔离等，真正实现安全智能免疫体系。构建集团和分支单位全网安全运营中心，让勒索病毒无处遁形。

4. 终端诱饵与全网肃杀：EDR创新性的实现在内网资产操作系统的文件目录中插入诱饵文件，捕获勒索病毒加密行为，一旦发现诱饵文件被加密，立即终止所有文件操作，反向定位勒索病毒，并进行全网针对性查杀。

• 用户价值收益

1. 纵深式网端联动防御体系：通过态势感知平台构建全网安全运营中心，对内网安全态势进行实时分析，并联动下一代防火墙、EDR等安全设施智能响应处置，为用户提供智能化的勒索病毒防护、检测、响应的联动保护体系。

2. 勒索病毒针对性解决方案：提出了诱饵、行为分析等针对性解决思路，加强勒索病毒的针对性防护能力。

3. 满足合规，维护业务。建立必要的病毒防范措施，满足法律合规要求，净化网络环境，维护业务系统稳定运行。

• 勒索病毒防护套餐

• 基本保障套餐，预算范围5-10万，关键资产应用<10

包含：安全托管服务平台+防火墙+EDR（简称云网端，用于发现并查杀勒索病毒构建基本防护体系）+备份一体机（极端情况下数据恢复用）

• 全面保障套餐，预算范围15-40万，关键资产应用<30

包含：态势感知+流量探针+防火墙+EDR（适用于数据本地化不能上云，并对安全要求较高的客户，用于发现并查杀勒索病毒并构建立体防护体系）+备份一体机（极端情况下数据恢复用）

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！