中興通訊積極應對,在病毒爆發(fā)的最初一刻就敏銳地察覺(jué)到了危險,第一時(shí)間給出了uSmartDC中興通訊云數據中心基于端點(diǎn)防御技術(shù)的防勒索解決方案,最大限度保證客戶(hù)的系統安全,全力維護客戶(hù)的利益。
中興通訊認為針對當前高發(fā)的勒索攻擊,僅邊界安全方案已不可靠。uSmartDC作為中興通訊云數據中心整體解決方案,通過(guò)集成防勒索攻擊安全控制模塊,提供了基于端點(diǎn)防護的防勒索功能。防勒索安全控制模塊實(shí)現了統一安全策略配置和下發(fā)、勒索行為的預警和文件堡壘管理等功能,彌補了邊界防護的不足,保護了客戶(hù)的數據安全。
中興通訊uSmartDC云數據中心
防勒索部署方案
防勒索對抗系統與數據中心的租戶(hù)安全方案結合,采用端點(diǎn)探針,租戶(hù)安全管理節點(diǎn),防勒索管理節點(diǎn)的方式部署。
端點(diǎn)探針:在端點(diǎn)層(物理機、虛擬機)部署輕量級行為監測探針,通過(guò)對端點(diǎn)操作和進(jìn)程行為的時(shí)間序列自學(xué)習建立端點(diǎn)行為基線(xiàn)庫,對操作/進(jìn)程行為進(jìn)行甄別、并匹配勒索行為樣本庫定義實(shí)現對威脅態(tài)勢實(shí)時(shí)分析和感知,可按策略對攻擊行為執行阻斷。
租戶(hù)安全管理節點(diǎn):提供租戶(hù)的策略配置,勒索行為預警及上報,文件堡壘管理等功能。
防勒索管理節點(diǎn):提供統一的策略配置和下發(fā),勒索行為的預警,和文件堡壘的管理功能。
uSmartDC云數據中心防勒索解決方案基于操作和進(jìn)程行為特征分析進(jìn)行勒索攻擊檢測,能實(shí)時(shí)阻斷勒索。文件堡壘對勒索攻擊前未感染用戶(hù)文件的預知性備份,阻斷查殺完成后,按需恢復。做到了攻擊前備份,日常檢測,預警,阻殺,及恢復,是業(yè)界第一個(gè)具備全流程防勒索功能的云數據中心解決方案。
與傳統的特征代碼檢測法,校驗和法,軟件模擬法相比,uSmartDC中興通訊云數據中心防勒索方案的行為檢測法可發(fā)現未知勒索病毒及其變種、可精準地預報未知病毒并第一時(shí)間阻止勒索行為。基于一定規模的惡意代碼行為庫,能夠對系統內核、驅動(dòng)、進(jìn)程、指令等諸多對象進(jìn)行跨時(shí)空數據分析。
中興通訊uSmartDC云數據中心
防勒索原理
- 如何檢測
勒索阻擊的前提是檢測,勒索攻擊存在共同且比較特殊的行為,監測行為特征通常包括: INT 13H異常占用;修改系統為數據區的內存總量;對COM、EXE文件做寫(xiě)入動(dòng)作;病毒程序與宿主程序的切換;文件瀏覽及異常加密等操作。
端點(diǎn)探針自帶勒索行為特征庫,將檢測到的可疑行為與勒索行為特征庫作加權比對,用以確定該行為的可疑與否。開(kāi)啟該功能,將直接阻攔可疑勒索行為,關(guān)閉則僅執行可疑勒索行為搜集而不作判斷和阻攔;端點(diǎn)探針具有操作和進(jìn)程行為的自動(dòng)學(xué)習能力,提高攻擊行為判斷靈敏度,減少誤判。
通過(guò)向用戶(hù)提供自行定義檢測行為和預警推送的接口,擴充了檢測內容和范圍,并能定期向用戶(hù)推送勒索威脅預警。
5/12大爆發(fā)的WannaCry勒索軟件的報警截圖
- 如何阻擊
端點(diǎn)探針通過(guò)勒索網(wǎng)絡(luò )回連協(xié)議自動(dòng)識別阻斷勒索回連;對異常內網(wǎng)復制行為識別,與“內網(wǎng)連接通道阻斷”聯(lián)動(dòng)以阻止異常復制行為;對于未知漏洞(0-day),基于攻擊行為特征庫結合惡意代碼的行為分析等判定攻擊的可疑行為,以導致的結果為判斷依據,若判斷為攻擊則及時(shí)阻斷。
提權阻斷,并發(fā)出警報- 如何備份
非授權文件瀏覽,創(chuàng )建或修改指定功能類(lèi)型文件,文件夾的異常瀏覽軌跡,未許可新進(jìn)程創(chuàng )建記錄等異常行為通常發(fā)生于勒索病毒感染過(guò)程中,通過(guò)上述行為的記錄并進(jìn)行后臺的行為分析甄別,可事先預判可能發(fā)生的勒索事件,并預知性地把即將被該進(jìn)程讀寫(xiě)的文件復制到文件堡壘。對在勒索阻斷之前某些可能已經(jīng)被惡意加密的少數文件,在阻斷查殺完成后,可按需要由文件堡壘恢復數據。
中興通訊uSmartDC云數據中心
防勒索方案亮點(diǎn)
- 端點(diǎn)防護,邊界防御的有力補充
在端點(diǎn)層(物理機、虛擬機)部署輕量級行為監測探針對用戶(hù)/進(jìn)程行為甄別,彌補邊界防御的不足。
- 文件堡壘,將損失降到最低
文件堡壘提供了勒索預判功能,在可疑情況下,將文件預先備份,盡可能的減少勒索損失。
- 行為分析,防患于未然
基于操作/進(jìn)程的行為分析,發(fā)現未知漏洞,攻擊行為判斷靈敏,阻攔0DAY攻擊。
- 安全中心,全方位防控視圖
集中的安全管理中心,安全數據,告警信息一目了然。
中興通訊作為云安全聯(lián)盟全球企業(yè)會(huì )員,一直重視云數據中心的安全問(wèn)題,把安全作為重中之重,并通過(guò)了可信云認證,得到了外部權威機構的安全認證。中興通訊將繼續聚焦客戶(hù),全面及時(shí)保障客戶(hù)的數據安全。
