数据安全之防勒索方案|防勒索
日期:2020-03-07 15:53:01 / 人气:
微软雅黑; font-weight: bold;">典型案例
防勒索系统
与传统杀毒软件的区别
场景一:文档防勒索
场景一:解决方案
场景二:数据库防勒索
场景二:解决方案
场景三:哑终端防护
场景三:解决方案
主要功能:关键应用保护
引导区保护
未知病毒诱捕
设备状态监控
安全日志审计
告警管理
报表管理
客户端安装及系统支持
系统部署
如何防范勒索病毒
一、传统防勒索病毒方案:
防火墙+邮件过滤+WEB过滤+终端杀毒+文件备份的方案。该方案最大的弊端是当新型勒索病毒出现后,所有防护均失效。若备份系统或备份装置未被感染,客户恢复到前一天的数据。数据恢复会导致部分数据丢失。若勒索的数据属及时性很高的数据(如数据库,财务数据,生产数据),那么客户将损失惨重,可能导致生产线停线,账务异常等。
传统防御机制:采用传统杀毒技术的软件一般是基于病毒库来防护和查杀的,也就是俗称的黑名单。只有当能够侦测并捕获到勒索软件疫情并将其加入黑名单后,传统杀毒软件才能有效地拦截病毒。一旦病毒发生变种,很难有效防御
二、网术科技防勒索病毒方案:
除上述防火墙+邮件过滤+WEB过滤+终端杀毒+文件备份外,我们部署一套专业防勒索病毒的软件,防止被病毒勒索。该防勒索方案是限制写入进程实现防勒索,在需要防勒索病毒的服务器上部署安装防勒索终端,通过控制端下发访问数据进程,非法进程将无法读写数据实现防勒索。本方案可与客户签订赔付协议,若客户在部署了防勒索终端的服务器被勒索,网术科技公司将负责在指定的时间将数据解密,解密数据的所有费用全部由网术科技公司承担。
防御机制:其核心是通过应用白名单技术,监控所有对被保护文件的IO,识别是否是合法应用执行的“写”权限,不在白名单范围以内的,都会被过滤、拦截,也就无法对文件进行加密。
传统防御机制:采用传统杀毒技术的软件一般是基于病毒库来防护和查杀的,也就是俗称的黑名单。只有当能够侦测并捕获到勒索软件疫情并将其加入黑名单后,传统杀毒软件才能有效地拦截病毒。一旦病毒发生变种,很难有效防御
诺亚防御机制:其核心是通过应用白名单技术,监控所有对被保护文件的IO,识别是否是合法应用执行的“写”权限,不在白名单范围以内的,都会被过滤、拦截,也就无法对文件进行加密
场景描述
终端感染勒索病毒后,病毒通过获取对文件写的权限,对文件进行加密,采用高强度算法,没有密钥难以破解。
风险分析
采用对称加密或非对称加密的方式和高强度算法,没有密钥极难还原。
如果没有相关备份策略,数据被加密后,重要数据只能通过支付赎金获得解密
即使支付赎金,文件未必能够找回
文档保护-应用白名单模式
通过几个特征来描述一个应用,如:程序名,程序签名,安全标签(哈希值),以此建立信用应用名单,防止勒索软件运行并修改文档
文档保护方式:
例如:需要打开*.docx文档,只要将office和wps等其他办公软件加入到信任应用,那么防勒索系统就不会对这些应用做任何限制。
场景描述
数据库服务器感染勒索病毒后,对数据库磁盘文件进行加密,导致依靠数据库存储数据的业务不可用
风险分析
数据库被非法加密将导致业务连续性中断,RTO事件越长,造成的直接经济损失越大
数据库勒索事件,黑客会要求更高的赎金
与终端文件不同,数据库中数据的所有者是组织,但是其来源往往来自于更为广大的群体,此类数据的安全事件,危害性更高
数据库文件防勒索难点:
数据文件的扩展名不固定,无法对某一类文件设置应用白名单的形式来进行保护,诺亚直接对数据库可执行程序进行保护,其创建的数据文件只允许其自身修改。
保护方式:
指定数据库类型或添加数据库可执行程序;
添加需要保护的数据库文件;
自动识别新产生的数据库文件;
只有数据库本身才能对数据文件进行修改加密等操作。
场景描述
例如银行ATM机、加油站自助设备、医院自助终端、地铁自动充值设备、自助购票设备等感染病毒后,不能进行正常的工作,将会人们生活带来诸多不便
风险分析
现在做业务结算的哑终端多数以Windows系统为主,是勒索病毒的主要攻击目标
哑终端通过以太网和主服务器有数据交互,容易被感染勒索病毒
例如:ATM、加油站、医院自主查询机等亚终端承担了大量的业务工作,如果被勒索将会导致业务无法正常运转
哑终端防护-堡垒模式:
在堡垒模式下,任何新的软件都无法运行,勒索软件也运行失败,从而无法破坏文件。
堡垒模式下,所有的新软件启动时均会被隔离至隔离区,被隔离的程序可以恢复,只有关闭堡垒模式,该程序才有可能被运行起来
通过目录保护的方式实现关键应用程序的运行保护,通过将应用程序产生的数据和应用程序进行亲密关联,在保障应用程序运行的前提下,禁止勒索病毒修改和加密应用数据。
有些勒索病毒会更新操作系统引导区,从而锁死终端。引导区保护功能通过锁住操作系统引导区,防止勒索病毒修改引导区。当用户需要系统级操作时,只需要简单解锁即可。
鉴于勒索病毒的无差别广谱特征,诺亚防勒索内置病毒诱捕系统,精确识别勒索病毒的入侵和告警。当勒索病毒对诱饵文件进行了加密或者删除等操作,系统第一时间进行检测并实时告警,上传到服务端,进行可疑病毒研究。
诺亚防勒索系统可以实时监控受保护客户端的状态,包括设备名、操作系统、设备类型、IP地址、Mac地址、访问时间等,可是在后台管理中心监控客户端进程是否正常、是否被卸载。
创诺亚防勒索系统会对勒索软件恶意尝试加密数据文件的过程及勒索软件的信息进行全记录。包括:操作行为、勒索软件进程、执行结果、文件名、产生时间等。
告警联系人列表信息,可以批量启用、禁用告警联系人的短信、邮箱服务,可以批量删除告警联系人
报表支持常规报表和自定义报;
报表内容包括疑似病毒信息、拦截次数信息、策略保护信息;
报告下载格式支持HTML、PDF、WORD、EXCEL;
常规报表分为日报、周报、月报、年报。
部署方式:
后台管理中心和客户端网络可达即可,保证防勒索策略可以正常下发
需求分析
终端防勒索:医生、护士等工作站的终端被勒索,导致医生无法正常开处方、下医嘱,护士无法有效开展护理工作。
哑终端防勒索:医院挂号系统、自助查询机等哑终端如若被勒索,导致患者无法挂号、查询,患者大量滞留。
数据库防勒索:数据库文件存放着核心业务系统的数据,一旦数据库文件被加密勒索,核心业务将被迫终止,长时间造成业务瘫痪,甚至于敏感数据丢失。
解决方案
打破传统杀毒软件基于黑名单(病毒库来防护和查杀)的技术,采用独特的底层白名单技术,对医院各种终端、服务器等500多核心资产进行主动防护。
统一的策略,安全管控各主机,无需额外增加安全管理和人力成本,大大节省了管理上所需花费的开销。
声明:
1、江苏网术科技有限公司所提供产品全部为原厂正规产品,我司不出售翻新机,二手机,等残次品;硬件保修政策及时长按设备原制造厂执行,支持三包规定。
2、价格:官网上列出的价格为含增值税专用发票价格;硬件设备产品含税13%,工程服务含税9%,技术服务含税6%。
3、服务:网站标明的价格为商品本身含税价格,不含其它设定和安装服务;如需要安装设定服务请联系销售人员另行报价。无价格的商品为按需配置的项目商品,需联络销售人员报价。
4、方案:官网所述之方案非完整方案,且并不适用于所有的应用场景,请勿盲目套用。
5、新闻:大多摘自互联网,如有侵权,请与我们联系。
6、运费:苏州,无锡,南通,常州,泰州,镇江,扬州地区免费送货上门,其它地区快递发货。
7、结算:苏州,无锡,南通,常州,泰州,镇江,扬州地区支持账期和月结的结算方式,具体可与销售人员协商。其它地区均为现金结算。
8、其它:服务申明最终解释权归网术科技所有,其它未尽事项请与我们联系。
