1、如何預防勒索軟件WannaCry 永恒之藍 ”危機介紹WannaCry 勒索軟件介紹惡意軟件仍然是一個全球性的問題.RansomwareSpywareXXXXware誰已受到影響？最初，攻擊似乎僅限于英國更具體說是英國國家衛生署（National Health Service，簡稱 NHS，是一家公共政府機構）但短短幾個小時內就成為了全球性病毒，現已影響 150 個國家/地區的 200,000 家企業，包括俄羅斯、西班牙、德國和美國。FedEx、Renault、Nissan、Deutsche Bahn 和 Telefonica 等著名公司都報告了該攻擊。后門及其它影響：除了勒索之外，蠕蟲還循環

2、通過系統上的每個 RDP 會話，以該用戶的身份運行勒索軟件。它好像還會安裝 DOUBLEPULSAR 后門，可能允許未來的遠程代碼執行，并且會損壞影子卷，加大恢復的難度。（注意：如果蠕蟲在執行前未被捕獲，此影子卷副本損壞還會使下一代 AV 很難逆轉影響。）殺滅開關：一名惡意軟件研究人員意外發現 WannaCrypt 上有一個“殺滅開關”。它與固定域 的檢測相關。 如果域成功返回 HTTP 響應，殺滅開關就會阻止蠕蟲傳播。請注意，如果受感染的機器無法到達此域（因網閘、防火墻的阻隔或被過濾），則不會觸發殺滅開關。它只會嘗試一次到達那里。雖然殺滅開關減慢了此勒索軟件的擴散，為企業提供了一個修補的時間

3、窗，但可能等不了幾天又會出現新的變種。（僅僅周日一天就發現了三個新的變種在作祟。） 因此任何人都不可忽視修補的緊迫性。此勒索軟件的擴散“類似于瘟疫”WannaCry 勒索軟件介紹RANSOMWARE惡意軟件上升趨勢 它剛剛發展起來卻變得格外復雜.并且伴隨著更多.AV測試研究所現在每天注冊的勒索軟件有超過390K的變種出現！! 而很多AV軟件并不能徹底預防這類風險.在更廣的文件檢測規則測試中顯示，并沒有“銀色子彈”.在2016的測試結果, 19 個安全廠商都有不同程度的MISS平均長達 243 天未能發現平均60-90天才能修復如今那些有威脅的攻擊未被檢測到的威脅可修復的怎樣防范勒索軟件的威脅常

4、見的預防勒索軟件的9大措施11為關鍵操作系統和應用安裝補丁 確保殺毒軟件更新至最新版本，并已計劃定期掃描 管理特權帳戶的使用 實施以數據為重點的訪問控制 制定、實施并執行軟件規則 禁用來自 Microsoft Office 文件的宏指令實施應用白名單 將用戶限定在虛擬化或集裝化的環境中 經常備份關鍵文件Ivanti 2017 解決方案如何防范勒索軟件Ivanti 關于防范此勒索軟件及其它勒索軟件的建議保持系統在最新狀態：如果使用的 Windows 操作系統版本較舊但受支持，請保持系統在最新狀態?？紤]使用集中補丁管理解決方案來簡化部署，幫助確保部署已經過補丁合規性全面檢測的補丁。 不支持的 Wi

5、ndows 和 WannaCrypt 版本：（Windows XP、Vista、Windows 8、Server 2003 和 Server 2008）：Microsoft 發布了緊急補丁，可在此處查找。更新：Ivanti 發布了“補丁與合規性”定義更新，用于檢測和修補 XP 和 Server 2003 的這一脆弱性。 更多信息請參閱：https:/docs/DOC-47847如果使用的是 Ivanti 端點管理（以前的 Landesk 管理套件）或 Ivanti 端點安全（以前的 Landesk 安全套件），請參閱補丁與合規性登錄頁面。對于 Ivanti SCCM 補丁插件 / Window

6、s 服務器補?。ㄒ郧暗?Shavlik Protect）/ OEM 客Protect 和 SDK：將 XML 更新到 417 并部署 MS17-010，確保舊操作系統都已部署最新的補丁包。 SCCM 補丁插件：部署三月份星期四補丁日發布的安全包和補丁以修補漏洞。 上述操作系統在 2017 年 3 月及以后的任意安全月度質量匯總中也會修補此漏洞在端點處采取更積極主動的方法Blacklistingas the coreZero day3rd-party application riskMalware-as-a-serviceConsumerizationof IT深層次的主動防御傳統的安全新興的端

7、點安全框架防病毒設備控制軟件使用控制補丁DEVICE CONTROLAPPLICATION CONTROLPATCH管理權限/控制補丁,補丁,補丁Ivani對最新的勒索軟件補丁的更新自動匹配對應的系統，下載對應的修補程序靈活的修復任務臨時任務建立一個組無人值守自動修復設置步驟6：分發過程中如果有機器關機，當重新開機后會從服務器同步任務，自動開始分發任務，無需管理員干預20LANDesk 服務器ROUTERROUTERSite-to-SiteWAN步驟1：管理員開始軟件分發任務步驟2：在每個子網智能（人工）選擇子網代表終端步驟3：每臺子網代表機開始下載軟件包步驟4：其它目標機器從已經下載的本地機

8、器上開始獲取軟件包步驟5，如果子網代表機關閉或失敗，其它機器將自動成為新的子網代表ONONONONONONONOFFOFFOFFOFFOFFOFFOFF分支機構本地網絡補丁分發過程示意圖補丁管理可以引入自動項目部署機制一個項目中可以集成多個不同任務計劃可以給項目中每個階段任務，定義內容，執行方式和任務時間，任務對象，完成標記等屬性任務在完成每個階段時，會郵件提醒以觸發下一階段任務更適合企業管理時的場景，基于流程的項目觸發機制，更高效的管理支持郵件通知和提醒補丁管理項目式部署阻斷不安全的Web瀏覽器的使用? (NEW)阻斷不安全的Web瀏覽器的使用? (NEW)2017.1 版本新增：使用此版本

9、可以檢測未修補的瀏覽器，將訪問僅限于預先批準的網站防病毒白名單25易于定義和維護可從全球安全站點獲取.可以審核文件夾和供應商自動學習獲取軟件信息使用文件規則進行過濾支持用戶式響應外設控制什么是無文件攻擊？2017.1 版本新增：防范最新的無文件攻擊趨勢，我們新的文件保護規則將緩解腳本和無文件攻擊多層式無文件攻擊的保護(NEW)31三層式勒索軟件防護檢測并阻止.保護啟動記錄.保護數據.自動阻止勒索軟件加密行為(NEW)自動檢測帶有加密特征的主機行為，遇到非法勒索加密動作自動進行阻止獲取并定義主機上執行的程序信息35修復可以立即隔離遇到安全風險的主機多自動隔離有風險主機(NEW)修復禁止其網絡訪問

10、遠程桌面通道執行你的腳本或程序遠程查殺進程重新部署系統關機Ivanti 全平臺補丁管理技術LANDESK Shavlik PATCH 數據中心操作系統以及第三方應用軟件的補丁管理虛擬化服務器無代理技術Hypervisor 虛擬控制程序的補丁在線或是離線補丁鏡像以及回滾操作物理服務器支持無代理 傳統代理模式漏洞發現以及修復39Shavlik PROTECT簡介復合網絡環境普通工作站Shavlik Protect 功能特點易于使用直觀的界面20分鐘完成安裝配置在一個界面里管理所有設備的資產和補便捷可視化的報表多樣的報表選項常用的IT管理腳本支持操作系統補丁以及第三方補丁 可選的安裝代理以及無代理技

11、術自動化的補丁管理可選的自定義補丁重啟的控制綜合的補丁管理 虛擬化支持可以修復在線或離線狀態的 VM虛擬主機可以修復VM虛擬模板的補丁修復前自動鏡像虛擬機從 vCenter中獲取虛擬機信息可修復 hypervisors管理臺補丁Shavlik Protect 對軟件的補丁支持 Shavlik ProtectMicrosoftPatch Coverage支持所有微軟的補丁以及常見的第三方軟件的補丁and many moreComprehensive Patch Management Shavlik Protect工作過程42ON-NETWORK WORKSTATIONS/SERVERSPROTE

12、CTSHAVLIKCLOUD在企業環境里部署Shavlik服務器1被測試的補丁已放在云端供客戶下載2客戶端進行掃描并檢查需要修復的漏洞3補丁從廠商站點下載并保存在中心端4向目標對象或組推送安裝補丁5XMLSCANComprehensive Patch Management Shavlik Protect 的易用性4320分鐘內完成安裝配置很短的時間內就能體現價值多樣化的發現手段可管理的網絡部署憑據，支持遠程推送安裝配置內置多樣的可用報告模板高級補丁狀態的匯總報告針對主機的補丁明細報告自定義報告直觀的報告支持不安裝客戶端對主機進行掃描和漏洞修復可查看缺失的補丁簡單的“右鍵”修復漏洞的操作可選的自

13、動化修復補丁補丁分發方式Ease of Use無代理資產設備的發現與管理44在你的環境中自動快速的發現設備可選的多樣的發現手段可用給每個組或主機設備憑據，進行遠程管理 Ease of Use補丁的發現與修復狀態跟蹤45發現主機 查看漏洞掃描狀態查看修復結果信息 無客戶端補丁分發46查看已掃描的機器查看缺失補丁的主機右鍵快速設置修復漏洞可計劃任務的自動分發和自動修復任務Ease of Use生成并定制符合您需要的報告47創建可以發布的補丁報告查看高級匯總報表或單臺明細報告可自定義的報告或集成第三方報表工具來展現Ease of UseVirtual Support48虛擬化補丁管理通過與虛擬化vCenter集成獲取來自虛擬機的資產信息虛擬化無代理補丁管理 - 保持 VM虛擬主機的效能 - 無需安裝客戶端 - 發現“非法”VM虛擬機修復在線虛擬機 -修