勒索病毒防护

医药行业的勒索病毒防护解决方案是一种防止医药相关的数据和系统被恶意加密或锁定的方法。

需求分析

全网终端资产的全面盘点,包含业务服务器的终端和用户 PC 的终端。盘点每台终端设备的名称、IP 地址、MAC 地址、所属组织、责任人、资产编号、资产位置等。每一台终端上的资产信息清晰,每一件安全事件责任到人,使得安全管理能落实到位。


终端资产全管理

通过安全基线检查以及修复,明确检查安全基线是否达到预期,确保接入终端规范。通过微隔离技术明确内网应用角色之间的访问控制关系,可视化安全访问策略配置,在发生病毒感染的情况下,阻断病毒在内网的传播路径,将威胁放置在可控范围内,从而有效提高安全防护水平。同时,采用创新的勒索诱捕方案,在关键目录及随机目录放置诱饵文件,当病毒加密进程对诱饵文件进行加密时,EDR客户端能够及时发现并杀掉进程,阻止勒索病毒进一步扩散,保障内网安全。


采用微隔离,勒索诱捕主动防御

EDR采用自主研发的基于深度学习的轻量级人工智能杀毒引擎进行病毒检测,人工智能引擎SAVE从海量的样本数据中学习,提炼出高维特征,具备很强的泛化能力,能够应对更多的未知威胁。这些高维特征数量极少,让SAVE在保持高性能,高效查杀率的同时解决了病毒特征库急剧增的问题。拥有强大的威胁情报平台,每天实时分析来自互联网和安全产品的海量数据,通过威胁情报平台中集成的关联分析与智能算法,能在第一时间发现潜在威胁,并向EDR推送防御能力。


基于AI的智能检测,全网威胁情报

EDR完全满足Gartner自适应闭环模型,能够联动其他产品,形成涵盖云、边界、端点上中下立体防护架构,实时共享内部威胁情报。当发生威胁时,可通过统一管理平台的一键处理,网端智能协同,将终端域风险迅速隔离,并在网络域自动生成联动封锁规则,全面封锁恶意威胁,做到安全风险一键处置。


纵深防御,快速响应威胁

痛点

当前的终端管理方式落后,传统终端解决方案在兼容性与普适性不达标,对终端的管理多数采用分裂式管理,不同系统主机采用不同的防护方案,导致管理维护工作量大,面对威胁难以做出快速响应。

虽然已经在网络边界设置了重重防御,但是并没有带来真正的安全。主要体现在:

  • 内网的潜藏威胁:黑客一旦进入到内网,如通过社会工程学、钓鱼等欺骗手段进入到内部,位于边界的防御便失效了。
  • 内网的横向攻击:发生在内网的横向移动攻击边界防御无法进行检测,如通过失陷主机向内网业务资产发起的横向移动或者跳板攻击。
  • 内部人员恶意攻击:内部员工不满或者内外勾结进行攻击渗透,这部分人员既熟悉业务又有合法身份,防不胜防。

目前采用的基于病毒特征库的查杀方式,在高级威胁持续(APT)发展的大环境下,已经无法适应全新的网络趋势,主要体现在以下几点:

  • 基于特征匹配杀毒无法有效抵御新型病毒:面对APT定制化的攻击以及变种病毒的挑战,基于特征匹配的杀毒方式呈现被动、后知后觉等特点,无法及时有效防御新型病毒。
  • 病毒特征库数量增长加重主机运算资源:已知病毒样本不断增加,本地病毒特征库的数量也日益增多,现已严重加剧终端存储、运算资源成本,查杀病毒过程会出现卡顿、假死等现象,严重影响员工办公。

传统杀毒软件在检测响应机制上明显不足,虽然在网络边界部署了网络端防护产品,但始终没有形成一套完整闭环的应急响应系统,无法及时检测处理威胁,对文件隔离处置措施较为单一,应急响应速度慢,导致威胁驻留时间长,对业务影响大。同时由于终端分布广泛,威胁一旦在某点爆发将快速影响到面,现阶段依靠人工响应成本大。

基于上述分析,终端安全建设需要立足事前、事中、事后三阶段,通过预防、防御、检测、响应赋予计算机终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力,从而构建轻量级、智能化、响应快的终端安全系统。

分析信息系统的价值贡献,如支持业务流程、提高工作效率、增加收入、降低成本、提升竞争力等,以及它们的评估和优化。

客户收益

终端资产的全面管理

实时掌握全网终端信息,提供管理依据。

勒索病毒的实时防御

勒索病毒通过加密文件的方式,要求中招者支持一定数额的赎金,这种攻击方式越来越流行。 EDR 采用多维度的病毒检测机制,能够非常精准地识别不同的勒索软件,并通过专业分析识别出各种勒索病毒感染行为和加密特征,对最新的勒索软件进行有效的查杀,防止用户受到影响。

入侵攻击的主动检测

终端主机被入侵攻击,导致感染勒索病毒或者挖矿病毒,其中大部分攻击是通过暴力破解的弱口令攻击产生的。的 EDR 主动检测暴力破解行为,并对发现攻击行为的 IP 进行封堵响应。针对 Web 安全攻击行为,则主动检测 Web 后门的文件。针对僵尸网络的攻击,则根据僵尸网络的活跃行为,快速定位僵尸网络文件,并进行一键查杀。

面对威胁快速响应

安全云脑通过全球的大数据安全分析,提供热点事件的 IOC 情报,推送情报数据给 EDR 产品。EDR 产品能根据 IOC 情报数据快速的全网威胁定位分析,及时发现和响应最新的热点事件,同时通过云网端协同联动的方式,一键安全处置威胁,将威胁限制在可控范围内。

访问关系的策略控制

当前各种感染性病毒大部分都是通过网络进行传播,影响范围较广。EDR的微隔离支持网络访问关系策略的配置,可以实现业务域之间或者终端之间的网络隔离,从源头上杜绝病毒的传播,减少数据资产损失,进一步保证终端的安全。