企業防勒索病毒安全解決方案一、方案應用背景勒索病毒是指：黑客通過鎖屏、加密文件等方式劫持用戶文件數據，并敲詐用戶錢財的惡意軟件，利用惡意代碼干擾中毒者的正常使用，只有交錢才能恢復正常。自2017年5月WannaCry勒索病毒爆發以來，在短時間內大范圍傳播，給企業、高校、醫院機構、公共基礎設施造成了嚴重后果。硅谷網絡風險建模公司Cyence的首席技術長GeorgeNg稱，僅“永恒之藍”網絡攻擊造成的全球電腦死機直接成本總計約80億美元。中國是勒索病毒攻擊受害最為嚴重的國家之一，WannaCry勒索病毒爆發時僅一天時間，國內有近3W機構被攻擊，覆蓋至全國各地，其中教育、醫療、大型企業是國內被攻擊最為嚴重的三大行業。時隔一年后的2018年，勒索病毒威脅猶存。據相關機構統計，Globelmposter、Crysis、GandCrab、Satan是2018年上半年最為活躍的四大勒索病毒家族，傳播量占到上半年勒索病毒傳播總量的90%以上。今年七月，針對Windows服務器的勒索病毒“撒旦”開始對大批企業服務器發起攻擊，病毒會將計算機中的數據庫文件進行加密，同時還具備二次傳播能力，有可能入侵局域網內的其他機器。專家預測，由于利潤豐厚、追蹤困難等原因，未來各種勒索軟件的攻擊將會更為頻繁，殺傷力也更大。方案應對方法針對持續爆發的勒索病毒，應當通過構建起從事前到事后全周期、全方位的安全防護體系，幫助各企事業單位及國家關鍵信息基礎設施部門抵御勒索病毒的侵害。在事前，從傳播、加密、擴散三條路徑對勒索病毒進行監測，并從網絡異常、入侵、多引擎病毒、威脅變種基因等多方面進行分析檢測，對未知威脅，采用沙箱檢測方式，檢測涵蓋已知未知高級威脅，檢測結果以預警方式發布，建立未知威脅預警體系。勒索病毒有以下傳播方式：1、通過郵件附件進行傳播；2、通過釣魚郵件進行群發下載URL傳播；3、企業用戶在惡意站點下載病毒文件進行傳播；

就爆發的WannaCrypt勒索病毒來看，勒索病毒使用是通過隨機生成的AES密鑰、使用AES-128-CBC方法對文件進行加密，然后將對應的AES密鑰通過RSA-2048加密，再將RSA加密后的密鑰和AES加密過的文件寫入到最終的.WNCRY文件里。簡而言之，就是用一個非常非常復雜的鑰匙，把企業用戶文件鎖上了。能解開的鑰匙掌握在黑客手里，而以現在的企業用戶現有的計算能力，也基本沒有辦法強行破解。

行而有效的手段是在勒索事件的事前、事中、事后三個主要節點進行安全防護，針對勒索病毒生效的每個環節進行監控、阻止、查殺。病毒防護方案：多點防控檢篇點W【防再堵珥題】，陋止橫向干和：+檢篇點W【防再堵珥題】，陋止橫向干和：+幽S全周聯配司S平臺［琴野的期】*全局吃染超玲+匪暗聯罰下理*墟的愷演關聯帝M單困日掃描】■，t對圉漏性星期far,?程前次版巳麗曲松濯點1【博知NGFW邊界】+需同利用精覆仍則戶+祥本理豳利冊注k￡ME445掃福卜MS17-8席府利用■橫向超葫■釋放篇毒■力岫立杵.在社會工程學攻擊或者黑客投遞病毒前，通過部署在互聯網出口和園區網出口的高性能防火墻、入侵檢測產品進行檢測。主要有兩個生效功能：漏洞利用檢測防護、樣本投遞檢測防護;.在勒索病毒從跳板主機向內網主機感染中，利用網絡交換機中的防病毒插卡進行防護檢測，防止橫向擴散，并采取策略全局聯動進行整體防護;.通過網絡系統和操作系統的漏洞掃描設備針對系統和架構的脆弱性進行定期掃描，提前發現并做好預警;.建立統一的網絡安全平臺和調度系統指揮中心安全態勢感知，感知全局感染趨勢、策略聯動下發、并利用威脅情報有效定位攻擊事件，全方位打造自適應的安全防護能力。H3CSecPathF50X。系列超萬兆下一代防火墻情報有效定位攻擊事件，全方位打造自適應的安全防護能力。H3CSecPathF50X。系列超萬兆下一代防火墻面向UPM接入、敵據中心.大型企業出口安全,萬兆及以上應用場杲H北 品期■機S&cBgdeNGFWM水唱WfiHH北 品期■機S&cBgdeNGFWM水唱WfiH晚HiC寫帝里，。g基gRI阿凱森工低陣MGFWWiklfl<VKRI<H3CSecBhdeForEnterprise企業級安全插卡為了避免類似病毒的再次入侵，企業用戶通過積極地做好以下防范措施，也可以達到防護效果:H3C 廟劭洗哺處靠也收1.微軟已經對部分操作系統停止安全更新，請盡快升級操作系統到最新版本。.對重要文件進行定期非本地備份。.始終保持Windows防火墻的開啟狀態。.及時安裝操作系統的最新安全更新。.在網絡邊界、防火墻設備上配置阻止訪問135/137/139/445端口的安全策略.關注新華三發布的網絡安全提示以及IPS特征庫升級提示三、方案效果收益通過專業的勒索病毒防護方案，可以有效的為企業客戶打造一下能力，有效的防止勒索病毒的感染，降低企業重要數據被加密勒索的風險：第一，強化了現有網絡的基礎架構，通過對內部網絡進行更加精細的分段和隔離，構建內網的塔防體系。同時，通過提升對安全策略執行效果的感知能力，及時發現訪問控制的疏漏，避免安全設備成為“擺設”，維持網絡的結構堅固；第二，構建統一管理平臺和安全態勢感知系統，加強安全設備維護管理，依靠自動化、半自動化的手段提升應急處置的效率與準確性，企業