行业背景


1 政府、大中型企业、医疗遭受攻击常见木马分析

2017年5月12日,WannaCry蠕虫在全球范围大爆发,引爆互联网行业的“生化危机”。借助“永恒之蓝”高危漏洞传播的WannaCry在数小时内影响近150个国家,一些政府机关、高校、医院的电脑屏幕都被“染”成了红色,致使多个国家政府、教育、医疗、能源、通信、交通、制造等诸多关键信息基础设施遭受前所未有的破坏,勒索病毒也由此事件受到空前的关注。

医院数据都是患者的就医信息,一旦出现问题,将会带来极其严重的后果,按照卫健委对医院安全的要求,其数据的重要程度可以与银行相媲美,对数据和业务的实时性要求很够;另外医疗信息系统安全建设能力相对其他行业薄弱;结合以上两点,医院成为不法分子的首要攻击目标。如果数据被加密,无论面对焦虑等待就医的患者,还是面对上级部门的问责,都让医院压力倍增,因此各医院对勒索病毒的防控工作刻不容缓。

客户需求

• 及时发现、及时处理:众多资产资产暴露在互联网,存在弱口令且Windows远程桌面服务(3389端口) 开启状态。
• 终端安全管理:内网终端未部署或杀毒软件不能及时更新;另外终端数量多、分布范围广,运维工作难度大。
• 数据中心虚拟化安全防护:医院的业务系统80%部署于虚拟化环境,缺乏东西向安全防护,业务系统持续、安全运行无法得到保障。
• 未知威胁感知:客户对自己现有安全建设能力模糊,不确定信息系统是否存在其他未知威胁,一旦被攻击后,无法对受害目标和攻击者溯源。

解决方案

方案内容
综合上述需求需求分析,需要建设一套自适应安全体系,自适应安全模型构建安全体系是当前安全业界推荐的主流建设模型。自适应防护架构的关键能力包括如下:


自适应防护架构

1. “防御能力” 是指一系列策略集、产品和服务可以用于防御攻击。这个方面的关键目标是通过减少被攻击面来提升攻击门槛,并在受影响前拦截攻击动作。
2. “检测能力”用于发现那些逃过防御网络的攻击,该方面的关键目标是降低威胁造成的“停摆时间”以及其他潜在的损失。检测能力非常关键,因为企业应该假设自己已处在被攻击状态中。
3. “响应能力”用于高效调查和补救被检测分析功能(或外部服务)查出的事务,以提供入侵认证和攻击来源分析,并产生新的预防手段来避免未来事故。
4. “预测能力”使系安全系统可从外部监控下的黑客行动中学习,以主动锁定对现有系统和信息具有威胁的新型攻击,并对漏洞划定优先级和定位。该情报将反馈到预防和检测功能,从而构成整个处理流程的闭环。

智慧防火墙
“失陷主机”是指被攻击者成功侵入,行为特征符合“受到控制”或“发起恶意行为”的主机。根据拓扑网络分析目前网络安全情况,部署智慧防火墙, 对内部失陷主机进行定位。
终端安全管理系统
以大数据技术为支撑、以可靠服务为保障,终端安全管理系统能够为用户精确检测已知病毒木马、未知恶意代码,有效防御APT攻击,并提供终端资产管理、漏洞补丁管理、安全运维管控、网络安全准入、移动存储管理、终端安全审计、XP盾甲防护诸多功能。
虚拟化安全管理系统
虚拟化安全管理系统提供对宿主机、虚拟机、虚拟机应用的三层防护能力,采用低耗的技术架构,全面兼容企业物理和虚拟环境,保障企业业务系统的稳定性和连续性,为用户提供一套可跨多种虚拟化平台、具备强大防护能力的虚拟化安全解决方案。
未知威胁感知系统
网神新一代威胁感知系统(以下简称“天眼”)可基于奇安信集团自有的多维度海量互联网数据,进行自动化挖掘与云端关联分析,提前洞悉各种安全威胁,并向用户推送定制的专属威胁情报。同时结合部署在客户本地的大数据平台,进行本地流量深度分析。天眼能够对未知威胁的恶意行为实现早期的快速发现,并可对受害目标及攻击源头进行精准定位,最终达到对入侵途径及攻击者背景的研判与溯源,帮助用户防患于未然。
完善安全应急服务
做好网络安全应急工作,首先要建立统一协调机制,健全安全运维的技术覆盖范围和标准体系;第二,建立与国家网信部门工作体系、国家应急保障体系的衔接,完善行业外合作机制;第三,建立安全考核责任制,督促各层级做好安全保障责任落实;第四,减少不必要的业务出口以及不恰当的信息系统外围入口。

客户价值

• 建立边界+终端+威胁情报多层次智慧防御体系;
• 建立基于威胁情报的预警服务,解决预警不及时的问题;
• 建立通过特征+行为分析+威胁情报多维检测精准告警;
• 建立大数据驱动的自动化+人工有效响应机制。

应用场景

网络部署方案
反勒索解决方案部署架构如下图所示:


客户场景:办公网及数据中心防御勒索蠕虫病毒。