江民病毒威脅預(yù)警系統(tǒng)是針對近年來惡意代碼威脅快速演變而設(shè)計的一款革新的網(wǎng)關(guān)級過濾設(shè)備,可全面高效防范惡意代碼威脅的傳播、動態(tài)式攻擊、異常通訊。江民病毒威脅預(yù)警系統(tǒng),采用自主研發(fā)的嵌入式反病毒引擎,融合多項網(wǎng)關(guān)性能優(yōu)化技術(shù),可驅(qū)動千萬級的病毒特征庫及規(guī)則庫,實現(xiàn)在線實時威脅處理。
勒索病毒,則是江民病毒威脅預(yù)警系統(tǒng)近年來重點防御的威脅類型之一,針對此次Wannacrypt勒索病毒,江民病毒威脅預(yù)警系統(tǒng)快速響應(yīng),提供了針對性的解決方案,實現(xiàn)了針對Wannacrypt勒索病毒網(wǎng)關(guān)級的靜態(tài)、動態(tài)雙重防御,實現(xiàn)威脅源的精確定位、有效阻斷及全網(wǎng)內(nèi)的預(yù)警。
Wannacrypt勒索病毒,傳播途徑主要是利用了網(wǎng)絡(luò)共享協(xié)議及端口,通過網(wǎng)絡(luò)共享對未更新補丁的主機,實現(xiàn)遠程溢出攻擊及勒索病毒代碼植入,致使主機感染并加密磁盤文件,成為傳播源及攻擊源。因此,對于Wannacrypt勒索病毒的網(wǎng)絡(luò)層防御手段:須支持網(wǎng)絡(luò)共享協(xié)議防護,以阻截利用網(wǎng)絡(luò)共享協(xié)議進行的漏洞攻擊;須支持Wannacrypt病毒體的SMB協(xié)議過濾,以實時攔截病毒文件的網(wǎng)內(nèi)傳播;須支持病毒動態(tài)通訊防御,以有效防御Wanncrypt病毒的遠程通訊及變種更新。
● Wannacrypt病毒文件體過濾
江民病毒威脅預(yù)警系統(tǒng),支持網(wǎng)絡(luò)共享協(xié)議SMB病毒過濾,可深度檢測及保障通過網(wǎng)絡(luò)共享協(xié)議傳輸?shù)奈募踩_保文件不被惡意代碼感染。用戶可靈活設(shè)定過濾策略,選擇過濾模式,保護內(nèi)網(wǎng)主機及業(yè)務(wù)系統(tǒng)免遭病毒文件的侵入。
此外,江民病毒威脅預(yù)警系統(tǒng),還支持http、ftp、smtp、pop3、imap協(xié)議過濾,實現(xiàn)對病毒傳播途徑的全面狙擊。
● Wannacrypt病毒網(wǎng)絡(luò)通訊阻斷
Wannacrypt勒索病毒具有網(wǎng)絡(luò)通訊、探測掃描等網(wǎng)絡(luò)行為。在內(nèi)網(wǎng)環(huán)境下,尤其是涉及終端數(shù)量較多,管理員無法全面了解終端防病毒、系統(tǒng)補丁是否及時安裝更新的情況下,通過網(wǎng)絡(luò)層實現(xiàn)全網(wǎng)威脅阻斷和快速定位變得尤為重要。
江民病毒威脅預(yù)警系統(tǒng),支持針對“僵、木、蠕”或Wannacrypt勒索病毒的通訊識別及阻斷,實現(xiàn)網(wǎng)絡(luò)層的動態(tài)威脅防御。當(dāng)惡意攻擊者通過互聯(lián)網(wǎng)邊界進入內(nèi)網(wǎng)之時或內(nèi)部主機感染病毒與外部建立連接之時,部署在網(wǎng)絡(luò)邊界處的江民病毒威脅預(yù)警系統(tǒng),將會對其進行阻斷,防止威脅侵入與擴散,保障內(nèi)部網(wǎng)絡(luò)的安全性,避免成為攻擊源和傳播源。
● 變種病毒異常行為防御(異常阻斷)
Wannacrypt勒索病毒為混合型病毒,具有多種惡意代碼特征,且不排除新型變種及攻擊演變等未知行為,為避免“先有病毒,后有庫“的傳統(tǒng)病毒防護弊端,江民病毒威脅預(yù)警系統(tǒng),可實現(xiàn)對惡意代碼異常行為的監(jiān)測或阻斷。惡意代碼在攻擊前期階段,會利用探測掃描、暴力破解等行為確認(rèn)主機是否存在漏洞及脆弱點,為進一步侵入提供關(guān)鍵信息。江民病毒威脅預(yù)警系統(tǒng),支持對惡意代碼行為的網(wǎng)絡(luò)異常監(jiān)測,如針對操作系統(tǒng)、網(wǎng)絡(luò)共享協(xié)議、應(yīng)用系統(tǒng)發(fā)起的口令探測、暴力破解、認(rèn)證連接、遠程操控等異常行為,管理員可通過此類異常行為實現(xiàn)威脅的盡早感知,為未知病毒的傳播與攻擊提供定位。
江民病毒威脅預(yù)警系統(tǒng)支持多種靈活的部署方式,不同的部署位置及部署模式,可實現(xiàn)不同的防御效果,管理員可依據(jù)實際環(huán)境及防護要求,進行部署模式的選擇。
應(yīng)用場景一 . 保護內(nèi)部網(wǎng)絡(luò):
江民科技將持續(xù)跟進Wannacrypt勒索病毒的相關(guān)動態(tài),為快速響應(yīng)新型變種提供相關(guān)解決方案。
勒索病毒,則是江民病毒威脅預(yù)警系統(tǒng)近年來重點防御的威脅類型之一,針對此次Wannacrypt勒索病毒,江民病毒威脅預(yù)警系統(tǒng)快速響應(yīng),提供了針對性的解決方案,實現(xiàn)了針對Wannacrypt勒索病毒網(wǎng)關(guān)級的靜態(tài)、動態(tài)雙重防御,實現(xiàn)威脅源的精確定位、有效阻斷及全網(wǎng)內(nèi)的預(yù)警。
Wannacrypt勒索病毒,傳播途徑主要是利用了網(wǎng)絡(luò)共享協(xié)議及端口,通過網(wǎng)絡(luò)共享對未更新補丁的主機,實現(xiàn)遠程溢出攻擊及勒索病毒代碼植入,致使主機感染并加密磁盤文件,成為傳播源及攻擊源。因此,對于Wannacrypt勒索病毒的網(wǎng)絡(luò)層防御手段:須支持網(wǎng)絡(luò)共享協(xié)議防護,以阻截利用網(wǎng)絡(luò)共享協(xié)議進行的漏洞攻擊;須支持Wannacrypt病毒體的SMB協(xié)議過濾,以實時攔截病毒文件的網(wǎng)內(nèi)傳播;須支持病毒動態(tài)通訊防御,以有效防御Wanncrypt病毒的遠程通訊及變種更新。
● Wannacrypt病毒文件體過濾
江民病毒威脅預(yù)警系統(tǒng),支持網(wǎng)絡(luò)共享協(xié)議SMB病毒過濾,可深度檢測及保障通過網(wǎng)絡(luò)共享協(xié)議傳輸?shù)奈募踩_保文件不被惡意代碼感染。用戶可靈活設(shè)定過濾策略,選擇過濾模式,保護內(nèi)網(wǎng)主機及業(yè)務(wù)系統(tǒng)免遭病毒文件的侵入。
此外,江民病毒威脅預(yù)警系統(tǒng),還支持http、ftp、smtp、pop3、imap協(xié)議過濾,實現(xiàn)對病毒傳播途徑的全面狙擊。
協(xié)議層病毒過濾,支持SMB網(wǎng)絡(luò)共享協(xié)議,支持SMBv1、v2版本。
SMB協(xié)議過濾,可實現(xiàn)對病毒多種處理策略,支持SMB協(xié)議雙向數(shù)據(jù)傳輸過濾。
● Wannacrypt病毒網(wǎng)絡(luò)通訊阻斷
Wannacrypt勒索病毒具有網(wǎng)絡(luò)通訊、探測掃描等網(wǎng)絡(luò)行為。在內(nèi)網(wǎng)環(huán)境下,尤其是涉及終端數(shù)量較多,管理員無法全面了解終端防病毒、系統(tǒng)補丁是否及時安裝更新的情況下,通過網(wǎng)絡(luò)層實現(xiàn)全網(wǎng)威脅阻斷和快速定位變得尤為重要。
江民病毒威脅預(yù)警系統(tǒng),支持針對“僵、木、蠕”或Wannacrypt勒索病毒的通訊識別及阻斷,實現(xiàn)網(wǎng)絡(luò)層的動態(tài)威脅防御。當(dāng)惡意攻擊者通過互聯(lián)網(wǎng)邊界進入內(nèi)網(wǎng)之時或內(nèi)部主機感染病毒與外部建立連接之時,部署在網(wǎng)絡(luò)邊界處的江民病毒威脅預(yù)警系統(tǒng),將會對其進行阻斷,防止威脅侵入與擴散,保障內(nèi)部網(wǎng)絡(luò)的安全性,避免成為攻擊源和傳播源。
一般威脅,包含了對活動的惡意代碼通訊進行識別并阻斷;
口令探測及認(rèn)證連接,可對未知病毒所發(fā)起的探測掃描及遠程操控,得到有效管控;
SMTP病毒,可有效阻斷通過郵件方式發(fā)起的勒索病毒攻擊;
當(dāng)前被阻IP,可呈現(xiàn)外部所發(fā)起攻擊的惡意IP地址。
當(dāng)前服務(wù)器,則顯示內(nèi)部正在遭受攻擊的主機及受攻擊端口
針對Wannacrypt勒索病毒,發(fā)起的漏洞攻擊,網(wǎng)關(guān)可進行實時阻斷,并告知用戶此漏洞所利用漏洞編號為MS17-010
● 變種病毒異常行為防御(異常阻斷)
Wannacrypt勒索病毒為混合型病毒,具有多種惡意代碼特征,且不排除新型變種及攻擊演變等未知行為,為避免“先有病毒,后有庫“的傳統(tǒng)病毒防護弊端,江民病毒威脅預(yù)警系統(tǒng),可實現(xiàn)對惡意代碼異常行為的監(jiān)測或阻斷。惡意代碼在攻擊前期階段,會利用探測掃描、暴力破解等行為確認(rèn)主機是否存在漏洞及脆弱點,為進一步侵入提供關(guān)鍵信息。江民病毒威脅預(yù)警系統(tǒng),支持對惡意代碼行為的網(wǎng)絡(luò)異常監(jiān)測,如針對操作系統(tǒng)、網(wǎng)絡(luò)共享協(xié)議、應(yīng)用系統(tǒng)發(fā)起的口令探測、暴力破解、認(rèn)證連接、遠程操控等異常行為,管理員可通過此類異常行為實現(xiàn)威脅的盡早感知,為未知病毒的傳播與攻擊提供定位。
黑名單,將會對持續(xù)發(fā)起攻擊、探測行為的惡意IP進行黑名單處置
江民病毒威脅預(yù)警系統(tǒng)防護步驟
1. 請將系統(tǒng)固件版本升級至最新版本
2. 請將惡意代碼庫更新至最新病毒庫版本
3. 開啟“監(jiān)控過濾“策略,實現(xiàn)協(xié)議層病毒過濾;
4. 開啟“日志分析-木馬“防御策略,實現(xiàn)威脅動態(tài)通訊阻斷;
如對以上操作步驟不清楚,可及時聯(lián)系江民工程師。江民病毒威脅預(yù)警系統(tǒng)部署方式
江民病毒威脅預(yù)警系統(tǒng)支持多種靈活的部署方式,不同的部署位置及部署模式,可實現(xiàn)不同的防御效果,管理員可依據(jù)實際環(huán)境及防護要求,進行部署模式的選擇。
應(yīng)用場景一 . 保護內(nèi)部網(wǎng)絡(luò):
● 條件:要求企業(yè)關(guān)鍵網(wǎng)段在同一個物理區(qū)域內(nèi)(例如:DMZ區(qū))
● 部署: 串行阻斷防御--江民病毒威脅預(yù)警系統(tǒng)串聯(lián)到關(guān)鍵網(wǎng)段前面。
● 目標(biāo):保護企業(yè)核心業(yè)務(wù)區(qū)域,提升數(shù)據(jù)安全性,防御惡意代碼、Wannacrypt勒索病毒動態(tài)式攻擊,阻止威脅跨區(qū)域傳播,免遭服務(wù)器成為肉雞或跳板,遵守合規(guī)性、等級保護要求。
應(yīng)用場景二 . 保護關(guān)鍵網(wǎng)段:
● 條件:要求企業(yè)關(guān)鍵網(wǎng)段在同一個物理區(qū)域內(nèi)(例如:DMZ區(qū))
● 部署:串行阻斷防御--江民病毒威脅預(yù)警系統(tǒng)串聯(lián)到關(guān)鍵網(wǎng)段前面。
● 目標(biāo):保護企業(yè)核心業(yè)務(wù)區(qū)域,提升數(shù)據(jù)安全性,防御惡意代碼、Wannacrypt勒索病毒動態(tài)式攻擊,阻止威脅跨區(qū)域傳播,免遭服務(wù)器成為肉雞或跳板,遵守合規(guī)性、等級保護要求。
應(yīng)用場景三 . 全網(wǎng)威脅監(jiān)測:
● 條件: 需以鏡像方式提供全網(wǎng)核心處數(shù)據(jù)(支持Tap盒數(shù)據(jù)分流)
● 部署:并行監(jiān)測部署--江民病毒威脅預(yù)警系統(tǒng)并行在網(wǎng)絡(luò)核心處
● 目標(biāo):實現(xiàn)對全網(wǎng)交互數(shù)據(jù)的威脅監(jiān)測,可精確識別Wannacrypt勒索病毒在局域網(wǎng)內(nèi)的傳播行為,全面提升惡意代碼威脅監(jiān)測縱深能力,亦可作為安全性檢查工具進行定期安全評估。江民病毒威脅預(yù)警系統(tǒng),支持單臺設(shè)備的多路監(jiān)聽模式,無接口限制。
應(yīng)用場景四.混合部署:
●條件:有統(tǒng)一出口和可提供數(shù)據(jù)的鏡像。
●部署:單臺設(shè)備在串行防御之時,可同時監(jiān)聽多個網(wǎng)絡(luò)區(qū)域數(shù)據(jù)交互,實現(xiàn)串并混合綜合防御、監(jiān)測部署。
●目標(biāo):實現(xiàn)對網(wǎng)絡(luò)邊界數(shù)據(jù)的雙向防御阻斷,同時,對全網(wǎng)威脅數(shù)據(jù)進行監(jiān)測預(yù)警。
總 結(jié)
通過Wannacrypt勒索病毒事件,我們得知此病毒不僅具有漏洞利用及快速傳播特性,而且還在不斷地變種,影響范圍還在擴大和持續(xù)中。由此,我們也見證了惡意代碼威脅在整個網(wǎng)絡(luò)安全趨勢下的影響力之廣、破壞力之大、傳播速度之快。在信息網(wǎng)絡(luò)安全的諸多威脅中,惡意代碼的危害無疑最大,眾多數(shù)據(jù)交互途徑都可能引入惡意代碼,給組織帶來安全風(fēng)險,惡意代碼威脅治理不僅是網(wǎng)絡(luò)安全防御工作的重中之中,也將是持續(xù)優(yōu)化及走向體系化的過程。江民科技將持續(xù)跟進Wannacrypt勒索病毒的相關(guān)動態(tài),為快速響應(yīng)新型變種提供相關(guān)解決方案。