中興通訊積極應(yīng)對,在病毒爆發(fā)的最初一刻就敏銳地察覺到了危險(xiǎn),第一時(shí)間給出了uSmartDC中興通訊云數(shù)據(jù)中心基于端點(diǎn)防御技術(shù)的防勒索解決方案,最大限度保證客戶的系統(tǒng)安全,全力維護(hù)客戶的利益。
中興通訊認(rèn)為針對當(dāng)前高發(fā)的勒索攻擊,僅邊界安全方案已不可靠。uSmartDC作為中興通訊云數(shù)據(jù)中心整體解決方案,通過集成防勒索攻擊安全控制模塊,提供了基于端點(diǎn)防護(hù)的防勒索功能。防勒索安全控制模塊實(shí)現(xiàn)了統(tǒng)一安全策略配置和下發(fā)、勒索行為的預(yù)警和文件堡壘管理等功能,彌補(bǔ)了邊界防護(hù)的不足,保護(hù)了客戶的數(shù)據(jù)安全。
中興通訊uSmartDC云數(shù)據(jù)中心
防勒索部署方案
防勒索對抗系統(tǒng)與數(shù)據(jù)中心的租戶安全方案結(jié)合,采用端點(diǎn)探針,租戶安全管理節(jié)點(diǎn),防勒索管理節(jié)點(diǎn)的方式部署。
端點(diǎn)探針:在端點(diǎn)層(物理機(jī)、虛擬機(jī))部署輕量級行為監(jiān)測探針,通過對端點(diǎn)操作和進(jìn)程行為的時(shí)間序列自學(xué)習(xí)建立端點(diǎn)行為基線庫,對操作/進(jìn)程行為進(jìn)行甄別、并匹配勒索行為樣本庫定義實(shí)現(xiàn)對威脅態(tài)勢實(shí)時(shí)分析和感知,可按策略對攻擊行為執(zhí)行阻斷。
租戶安全管理節(jié)點(diǎn):提供租戶的策略配置,勒索行為預(yù)警及上報(bào),文件堡壘管理等功能。
防勒索管理節(jié)點(diǎn):提供統(tǒng)一的策略配置和下發(fā),勒索行為的預(yù)警,和文件堡壘的管理功能。
uSmartDC云數(shù)據(jù)中心防勒索解決方案基于操作和進(jìn)程行為特征分析進(jìn)行勒索攻擊檢測,能實(shí)時(shí)阻斷勒索。文件堡壘對勒索攻擊前未感染用戶文件的預(yù)知性備份,阻斷查殺完成后,按需恢復(fù)。做到了攻擊前備份,日常檢測,預(yù)警,阻殺,及恢復(fù),是業(yè)界第一個具備全流程防勒索功能的云數(shù)據(jù)中心解決方案。
與傳統(tǒng)的特征代碼檢測法,校驗(yàn)和法,軟件模擬法相比,uSmartDC中興通訊云數(shù)據(jù)中心防勒索方案的行為檢測法可發(fā)現(xiàn)未知勒索病毒及其變種、可精準(zhǔn)地預(yù)報(bào)未知病毒并第一時(shí)間阻止勒索行為。基于一定規(guī)模的惡意代碼行為庫,能夠?qū)ο到y(tǒng)內(nèi)核、驅(qū)動、進(jìn)程、指令等諸多對象進(jìn)行跨時(shí)空數(shù)據(jù)分析。
中興通訊uSmartDC云數(shù)據(jù)中心
防勒索原理
- 如何檢測
勒索阻擊的前提是檢測,勒索攻擊存在共同且比較特殊的行為,監(jiān)測行為特征通常包括: INT 13H異常占用;修改系統(tǒng)為數(shù)據(jù)區(qū)的內(nèi)存總量;對COM、EXE文件做寫入動作;病毒程序與宿主程序的切換;文件瀏覽及異常加密等操作。
端點(diǎn)探針自帶勒索行為特征庫,將檢測到的可疑行為與勒索行為特征庫作加權(quán)比對,用以確定該行為的可疑與否。開啟該功能,將直接阻攔可疑勒索行為,關(guān)閉則僅執(zhí)行可疑勒索行為搜集而不作判斷和阻攔;端點(diǎn)探針具有操作和進(jìn)程行為的自動學(xué)習(xí)能力,提高攻擊行為判斷靈敏度,減少誤判。
通過向用戶提供自行定義檢測行為和預(yù)警推送的接口,擴(kuò)充了檢測內(nèi)容和范圍,并能定期向用戶推送勒索威脅預(yù)警。
5/12大爆發(fā)的WannaCry勒索軟件的報(bào)警截圖
- 如何阻擊
端點(diǎn)探針通過勒索網(wǎng)絡(luò)回連協(xié)議自動識別阻斷勒索回連;對異常內(nèi)網(wǎng)復(fù)制行為識別,與“內(nèi)網(wǎng)連接通道阻斷”聯(lián)動以阻止異常復(fù)制行為;對于未知漏洞(0-day),基于攻擊行為特征庫結(jié)合惡意代碼的行為分析等判定攻擊的可疑行為,以導(dǎo)致的結(jié)果為判斷依據(jù),若判斷為攻擊則及時(shí)阻斷。
提權(quán)阻斷,并發(fā)出警報(bào)- 如何備份
非授權(quán)文件瀏覽,創(chuàng)建或修改指定功能類型文件,文件夾的異常瀏覽軌跡,未許可新進(jìn)程創(chuàng)建記錄等異常行為通常發(fā)生于勒索病毒感染過程中,通過上述行為的記錄并進(jìn)行后臺的行為分析甄別,可事先預(yù)判可能發(fā)生的勒索事件,并預(yù)知性地把即將被該進(jìn)程讀寫的文件復(fù)制到文件堡壘。對在勒索阻斷之前某些可能已經(jīng)被惡意加密的少數(shù)文件,在阻斷查殺完成后,可按需要由文件堡壘恢復(fù)數(shù)據(jù)。
中興通訊uSmartDC云數(shù)據(jù)中心
防勒索方案亮點(diǎn)
- 端點(diǎn)防護(hù),邊界防御的有力補(bǔ)充
在端點(diǎn)層(物理機(jī)、虛擬機(jī))部署輕量級行為監(jiān)測探針對用戶/進(jìn)程行為甄別,彌補(bǔ)邊界防御的不足。
- 文件堡壘,將損失降到最低
文件堡壘提供了勒索預(yù)判功能,在可疑情況下,將文件預(yù)先備份,盡可能的減少勒索損失。
- 行為分析,防患于未然
基于操作/進(jìn)程的行為分析,發(fā)現(xiàn)未知漏洞,攻擊行為判斷靈敏,阻攔0DAY攻擊。
- 安全中心,全方位防控視圖
集中的安全管理中心,安全數(shù)據(jù),告警信息一目了然。
中興通訊作為云安全聯(lián)盟全球企業(yè)會員,一直重視云數(shù)據(jù)中心的安全問題,把安全作為重中之重,并通過了可信云認(rèn)證,得到了外部權(quán)威機(jī)構(gòu)的安全認(rèn)證。中興通訊將繼續(xù)聚焦客戶,全面及時(shí)保障客戶的數(shù)據(jù)安全。
