勒索病毒防護
醫藥行業的勒索病毒防護解決方案是一種防止醫藥相關的數據和系統被惡意加密或鎖定的方法。
需求分析
全網終端資產的全面盤點,包含業務服務器的終端和用戶 PC 的終端。盤點每臺終端設備的名稱、IP 地址、MAC 地址、所屬組織、責任人、資產編號、資產位置等。每一臺終端上的資產信息清晰,每一件安全事件責任到人,使得安全管理能落實到位。
終端資產全管理
通過安全基線檢查以及修復,明確檢查安全基線是否達到預期,確保接入終端規范。通過微隔離技術明確內網應用角色之間的訪問控制關系,可視化安全訪問策略配置,在發生病毒感染的情況下,阻斷病毒在內網的傳播路徑,將威脅放置在可控范圍內,從而有效提高安全防護水平。同時,采用創新的勒索誘捕方案,在關鍵目錄及隨機目錄放置誘餌文件,當病毒加密進程對誘餌文件進行加密時,EDR客戶端能夠及時發現并殺掉進程,阻止勒索病毒進一步擴散,保障內網安全。 展開
采用微隔離,勒索誘捕主動防御
EDR采用自主研發的基于深度學習的輕量級人工智能殺毒引擎進行病毒檢測,人工智能引擎SAVE從海量的樣本數據中學習,提煉出高維特征,具備很強的泛化能力,能夠應對更多的未知威脅。這些高維特征數量極少,讓SAVE在保持高性能,高效查殺率的同時解決了病毒特征庫急劇增的問題。擁有強大的威脅情報平臺,每天實時分析來自互聯網和安全產品的海量數據,通過威脅情報平臺中集成的關聯分析與智能算法,能在第一時間發現潛在威脅,并向EDR推送防御能力。 展開
基于AI的智能檢測,全網威脅情報
EDR完全滿足Gartner自適應閉環模型,能夠聯動其他產品,形成涵蓋云、邊界、端點上中下立體防護架構,實時共享內部威脅情報。當發生威脅時,可通過統一管理平臺的一鍵處理,網端智能協同,將終端域風險迅速隔離,并在網絡域自動生成聯動封鎖規則,全面封鎖惡意威脅,做到安全風險一鍵處置。
縱深防御,快速響應威脅
痛點
當前的終端管理方式落后,傳統終端解決方案在兼容性與普適性不達標,對終端的管理多數采用分裂式管理,不同系統主機采用不同的防護方案,導致管理維護工作量大,面對威脅難以做出快速響應。
雖然已經在網絡邊界設置了重重防御,但是并沒有帶來真正的安全。主要體現在:
- 內網的潛藏威脅:黑客一旦進入到內網,如通過社會工程學、釣魚等欺騙手段進入到內部,位于邊界的防御便失效了。
- 內網的橫向攻擊:發生在內網的橫向移動攻擊邊界防御無法進行檢測,如通過失陷主機向內網業務資產發起的橫向移動或者跳板攻擊。
- 內部人員惡意攻擊:內部員工不滿或者內外勾結進行攻擊滲透,這部分人員既熟悉業務又有合法身份,防不勝防。
目前采用的基于病毒特征庫的查殺方式,在高級威脅持續(APT)發展的大環境下,已經無法適應全新的網絡趨勢,主要體現在以下幾點:
- 基于特征匹配殺毒無法有效抵御新型病毒:面對APT定制化的攻擊以及變種病毒的挑戰,基于特征匹配的殺毒方式呈現被動、后知后覺等特點,無法及時有效防御新型病毒。
- 病毒特征庫數量增長加重主機運算資源:已知病毒樣本不斷增加,本地病毒特征庫的數量也日益增多,現已嚴重加劇終端存儲、運算資源成本,查殺病毒過程會出現卡頓、假死等現象,嚴重影響員工辦公。
傳統殺毒軟件在檢測響應機制上明顯不足,雖然在網絡邊界部署了網絡端防護產品,但始終沒有形成一套完整閉環的應急響應系統,無法及時檢測處理威脅,對文件隔離處置措施較為單一,應急響應速度慢,導致威脅駐留時間長,對業務影響大。同時由于終端分布廣泛,威脅一旦在某點爆發將快速影響到面,現階段依靠人工響應成本大。
基于上述分析,終端安全建設需要立足事前、事中、事后三階段,通過預防、防御、檢測、響應賦予計算機終端更為細致的隔離策略、更為精準的查殺能力、更為持續的檢測能力、更為快速的處置能力,從而構建輕量級、智能化、響應快的終端安全系統。
分析信息系統的價值貢獻,如支持業務流程、提高工作效率、增加收入、降低成本、提升競爭力等,以及它們的評估和優化。
客戶收益
終端資產的全面管理
實時掌握全網終端信息,提供管理依據。
勒索病毒的實時防御
勒索病毒通過加密文件的方式,要求中招者支持一定數額的贖金,這種攻擊方式越來越流行。 EDR 采用多維度的病毒檢測機制,能夠非常精準地識別不同的勒索軟件,并通過專業分析識別出各種勒索病毒感染行為和加密特征,對最新的勒索軟件進行有效的查殺,防止用戶受到影響。
入侵攻擊的主動檢測
終端主機被入侵攻擊,導致感染勒索病毒或者挖礦病毒,其中大部分攻擊是通過暴力破解的弱口令攻擊產生的。的 EDR 主動檢測暴力破解行為,并對發現攻擊行為的 IP 進行封堵響應。針對 Web 安全攻擊行為,則主動檢測 Web 后門的文件。針對僵尸網絡的攻擊,則根據僵尸網絡的活躍行為,快速定位僵尸網絡文件,并進行一鍵查殺。
面對威脅快速響應
安全云腦通過全球的大數據安全分析,提供熱點事件的 IOC 情報,推送情報數據給 EDR 產品。EDR 產品能根據 IOC 情報數據快速的全網威脅定位分析,及時發現和響應最新的熱點事件,同時通過云網端協同聯動的方式,一鍵安全處置威脅,將威脅限制在可控范圍內。
訪問關系的策略控制
當前各種感染性病毒大部分都是通過網絡進行傳播,影響范圍較廣。EDR的微隔離支持網絡訪問關系策略的配置,可以實現業務域之間或者終端之間的網絡隔離,從源頭上杜絕病毒的傳播,減少數據資產損失,進一步保證終端的安全。