實(shí)力上榜｜綠盟科技入選安全�！独账鞴�擊防護(hù)技術(shù)應(yīng)用指南（2024版）》 代表性廠商

近日,安全牛發(fā)布了《勒索攻擊防護(hù)技術(shù)應(yīng)用指南(2024版)》,綠盟科技以其在勒索攻擊防護(hù)方向深厚的沉淀,入選2024年度勒索攻擊防護(hù)技術(shù)領(lǐng)域十大代表性廠商。

隨著數(shù)字中國(guó)的深入推進(jìn),公共數(shù)據(jù)、企業(yè)數(shù)據(jù)、個(gè)人數(shù)據(jù)的應(yīng)用價(jià)值越來(lái)越高,針對(duì)網(wǎng)絡(luò)、信息、數(shù)據(jù)的攻擊層出不窮,給網(wǎng)絡(luò)空間安全帶來(lái)極大的威脅。2023年勒索攻擊數(shù)量增加73%,贖金總額高達(dá)11億美金以上,已成為造成的損失最高的網(wǎng)絡(luò)犯罪之一。

勒索病毒攻擊防護(hù)綜合解決方案

綠盟科技《勒索病毒攻擊防護(hù)綜合解決方案》以其科學(xué)合理、行之有效的勒索攻擊防護(hù)獲得業(yè)界認(rèn)可。總結(jié)形成了全方位監(jiān)控采集、自適應(yīng)協(xié)同分析、自動(dòng)化編排響應(yīng)、全流程管理協(xié)同的全天候、全方位、全場(chǎng)景的方案。特別是方案中提出事前風(fēng)險(xiǎn)排查、事中應(yīng)急處置、事后清除威脅的三大模塊九大核心能力,得到了業(yè)界專家和服務(wù)客戶的一致認(rèn)可。

*勒索病毒攻擊防護(hù)綜合解決方案

事前風(fēng)險(xiǎn)排查

核心能力1:勒索攻擊快速預(yù)警

從勒索攻擊的視角出發(fā),關(guān)注攻擊事前、攻擊事中、攻擊事后,做到事前應(yīng)對(duì)勒索、提前感知,最大限度地降低風(fēng)險(xiǎn)的發(fā)生概率:

勒索威脅情報(bào)服務(wù)

在勒索情報(bào)平臺(tái)感知范圍內(nèi)的客戶風(fēng)險(xiǎn)預(yù)警,實(shí)時(shí)、精準(zhǔn)。

勒索攻擊性技術(shù)(藍(lán)軍)情報(bào)訂閱服務(wù)

提供在野組織技戰(zhàn)術(shù)情報(bào),為客戶藍(lán)軍提供技戰(zhàn)術(shù)指導(dǎo),幫助客戶提升攻防演練作戰(zhàn)能力,同時(shí)促進(jìn)客戶更有效地完成威脅模擬和驗(yàn)證,輔助確定風(fēng)險(xiǎn)和威脅的優(yōu)先級(jí)。

核心能力2:勒索防護(hù)專項(xiàng)評(píng)估

邊界防護(hù)評(píng)估

重點(diǎn)檢查邊界區(qū)域雙向安全防御策略;邊界場(chǎng)景目前主要評(píng)測(cè)的常見(jiàn)安全設(shè)備包括NF、 WAF,IPS 等。

內(nèi)網(wǎng)滲透評(píng)估

從客戶內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī) A 模擬攻擊計(jì)算機(jī) B,即東西方向的網(wǎng)絡(luò)模擬攻擊,內(nèi)網(wǎng)評(píng)估場(chǎng)景目前主要評(píng)測(cè)檢測(cè)類安全產(chǎn)品,包括UTS, IDS,旁路的 IPS, WAF 等。

終端加固評(píng)估

自動(dòng)化BAS設(shè)備會(huì)模擬攻擊終端設(shè)備,檢查終端安全軟件是否可以防御和檢測(cè)惡意軟件和基于行為的攻擊。終端場(chǎng)景目前主要評(píng)估終端安全類產(chǎn)品如EDR、EPP等。

勒索攻擊模擬評(píng)估

內(nèi)置常見(jiàn)勒索攻擊用例和場(chǎng)景,支持對(duì)域名解析、勒索病毒落盤(pán)、勒索病毒執(zhí)行、模擬執(zhí)行等場(chǎng)景開(kāi)展模擬驗(yàn)證,可以自定義選擇攻擊節(jié)點(diǎn)和目標(biāo)節(jié)點(diǎn)、進(jìn)行各種組合測(cè)試,以達(dá)到靈活驗(yàn)證。

核心能力3:常態(tài)化勒索攻擊演練

以演代練、以練促防,助力防勒索安全建設(shè)。

場(chǎng)景設(shè)計(jì)

演練方案,明確演練場(chǎng)景類型、演練目的、描述。

演練組織架構(gòu)

演練小組(攻擊小組、應(yīng)急小組、檢測(cè)運(yùn)維人員、業(yè)務(wù)部門(mén)、監(jiān)管方、安全企業(yè))。

演練流程

明確參與主體,結(jié)合安全預(yù)案梳理處置流程。

演練配套

演練涉及資產(chǎn)準(zhǔn)備、演練工具準(zhǔn)備(防護(hù)軟件、攻擊工具等)、演練涉及環(huán)境準(zhǔn)備。

演練場(chǎng)景

事件發(fā)生前、勒索事件發(fā)生、應(yīng)急排查、故障恢復(fù)、演練上報(bào)、總結(jié)完善。

二、事中應(yīng)急處置

核心能力4:勒索攻擊應(yīng)急響應(yīng)

針對(duì)已經(jīng)發(fā)生的勒索攻擊,第一時(shí)間開(kāi)展勒索攻擊應(yīng)急響應(yīng)處置,進(jìn)行應(yīng)急響應(yīng)服務(wù)。包括:

初始響應(yīng)階段

勒索軟件的確認(rèn)-通知高層管理者-通知法務(wù)團(tuán)隊(duì)-啟動(dòng)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)。

遏制階段

識(shí)別受影響的主機(jī)-隔離受影響的主機(jī)-重置受影響的主機(jī)。

分析階段

通過(guò)保存證據(jù)、識(shí)別勒索軟件家族信息、確定攻擊手段&感染途徑,進(jìn)行全面地分析。

補(bǔ)救措施階段

將威脅指標(biāo)添加到管理平臺(tái),運(yùn)行防病毒防惡意軟件掃描,修復(fù)已知漏洞,根除勒索病毒。

恢復(fù)階段

將受感染的主機(jī)恢復(fù)到良好狀態(tài),通過(guò)備份恢復(fù)數(shù)據(jù)和策略配置。

最后,進(jìn)行事件復(fù)盤(pán)。

核心能力5:勒索病毒隔離阻斷

勒索攻擊最主要的一個(gè)環(huán)節(jié),就是終端側(cè)的攻擊。綠盟一體化終端安全管理系統(tǒng)(NSFOCUS Unified Endpoint Security Management System, 簡(jiǎn)稱UES)依托綠盟自主研發(fā)的終端異常行為分析引擎及高效精準(zhǔn)的威脅情報(bào)數(shù)據(jù),可有效檢測(cè)APT攻擊、僵木蠕、0Day漏洞等已知和未知威脅場(chǎng)景,同時(shí)提供快速響應(yīng)措施阻斷威脅蔓延,做好端側(cè)實(shí)時(shí)有效的防護(hù),防止勒索病毒的擴(kuò)散。

Step1-“開(kāi)門(mén)”

黑客攻擊主機(jī),設(shè)置 SSH后門(mén)來(lái)保持持久訪問(wèn)。充分應(yīng)用 UES 網(wǎng)絡(luò)威脅模型,是從網(wǎng)絡(luò)安全角度檢測(cè)主機(jī)安全,當(dāng)前支持暴力破解,對(duì)主流破解方式如 SSH、RDP、SMB等可進(jìn)行監(jiān)控和發(fā)現(xiàn),可區(qū)分出破解成功和持續(xù)破解等狀態(tài)。提供持久化后門(mén)監(jiān)測(cè)能力,對(duì)攻擊者發(fā)起的反彈shell行為可提供檢測(cè)及有效阻止。

Step2-“錨準(zhǔn)”

執(zhí)行powershell命令進(jìn)行資產(chǎn)掃描,確定攻擊目標(biāo)。UES具有惡意樣本檢出功能。當(dāng)前支持檢測(cè)惡意程序、釣魚(yú)程序、黑客程序、Powershell、Webshell等。

Step3-“投毒”

利用命令和控制以及遠(yuǎn)程監(jiān)控和管理軟件,將文件推送到受感染的主機(jī)。UES勒索防護(hù)模型,對(duì)已知勒索病毒特征及家族進(jìn)行準(zhǔn)確識(shí)別,對(duì)未知勒索病毒通過(guò)主機(jī)行為分析+動(dòng)態(tài)誘捕能力作為主動(dòng)防御技術(shù),采用部署誘餌文件,檢測(cè)惡意程序加密誘餌文件這個(gè)行為特征來(lái)判斷勒索行為。

Step4-“篡位”

禁用和卸載安全解決方案以及從web瀏覽器和本地安全系統(tǒng)服務(wù)進(jìn)行權(quán)限升級(jí)。UES具有檢測(cè)主機(jī)異常行為的功能,從惡意程序運(yùn)行時(shí)所產(chǎn)生特征(當(dāng)前進(jìn)程名、進(jìn)程命令行、父進(jìn)程、注冊(cè)表行為)等特征發(fā)現(xiàn)惡意操作。

Step5-“感染”

通過(guò)橫向移動(dòng)、數(shù)據(jù)滲透和勒索軟件部署實(shí)現(xiàn)其他主機(jī)失陷,攻陷企業(yè)內(nèi)網(wǎng)�；�于零信任理念,采用智能自適應(yīng)算法模型確定微隔離策略,對(duì)主機(jī)的入棧和出棧流量進(jìn)行控制和審計(jì),從而可以減少終端對(duì)外暴漏面,并可有效防止攻擊的東西向擴(kuò)散。

核心能力6:勒索病毒持續(xù)監(jiān)控

從全局態(tài)勢(shì)出發(fā),基于機(jī)器學(xué)習(xí)和安全事件分析模型,實(shí)時(shí)分析上報(bào)的安全數(shù)據(jù),預(yù)測(cè)網(wǎng)絡(luò)中存在的安全隱患/重大風(fēng)險(xiǎn)并以可視化方式呈現(xiàn),及時(shí)幫助客戶識(shí)別勒索攻擊并采取措施;多維度展示威脅事件、風(fēng)險(xiǎn)終端、攻擊鏈、資產(chǎn)等統(tǒng)計(jì)信息,方便管理員日常管理。

三、事后清除威脅

核心能力7:數(shù)據(jù)恢復(fù)消除影響

數(shù)據(jù)加密是保護(hù)數(shù)據(jù)安全的通用做法,設(shè)置4種加密模式,可支持各類應(yīng)用場(chǎng)景。強(qiáng)制加密:基于進(jìn)程和文件類型的關(guān)系規(guī)則設(shè)置加密策略,可對(duì)所有文件強(qiáng)制加密保護(hù),并且加解密過(guò)程無(wú)感知。智能加密:根據(jù)文件類型、文件屬性、文件大小、文件內(nèi)容制定識(shí)別規(guī)則,結(jié)合加密技術(shù)達(dá)到對(duì)重要數(shù)據(jù)的精準(zhǔn)保護(hù)。明密結(jié)合:在保障核心數(shù)據(jù)全程加密的情況下(打開(kāi)、編輯、另存等依然處于加密狀態(tài)),允許一般數(shù)據(jù)明文存儲(chǔ)(新建、編輯、保存等依然為明文)。按需加密:人可授權(quán)部分人員主動(dòng)加密能力,對(duì)自主判斷需要加密的數(shù)據(jù)進(jìn)行加密處理。實(shí)現(xiàn)數(shù)據(jù)安全和靈活應(yīng)用的完美結(jié)合。

在加密數(shù)據(jù)的同時(shí),提供本地備份、遠(yuǎn)程備份和多版本備份能力,識(shí)別并防止被勒索病毒感染加密的文件覆蓋正常的文件備份。面對(duì)雙重勒索,無(wú)懼?jǐn)?shù)據(jù)泄露風(fēng)險(xiǎn),同時(shí)實(shí)現(xiàn)快速還原恢復(fù)數(shù)據(jù),消除數(shù)據(jù)勒索影響。

核心能力8:勒索攻擊溯源取證

在端點(diǎn)側(cè)全面記錄事件活動(dòng)軌跡,關(guān)聯(lián)事件的主機(jī)、惡意進(jìn)程、進(jìn)程文件的子/父級(jí)進(jìn)程、進(jìn)程運(yùn)行時(shí)間、詳細(xì)路徑、安全屬性、網(wǎng)絡(luò)訪問(wèn)關(guān)系、相互調(diào)用關(guān)系多角度分析,迅速定位失陷主機(jī)并還原事件發(fā)生過(guò)程,形成完整事件證據(jù)鏈并構(gòu)建完整威脅場(chǎng)景進(jìn)行立體呈現(xiàn)。

核心能力9:啟動(dòng)勒索保險(xiǎn)理賠

以風(fēng)險(xiǎn)共擔(dān)的理念,與保險(xiǎn)公司合作,創(chuàng)新性地推出了數(shù)據(jù)勒索保險(xiǎn)。通過(guò)完整的保險(xiǎn)采購(gòu)、保險(xiǎn)理賠與全生命周期的服務(wù)流程,確保勒索攻擊防護(hù)的實(shí)時(shí)有效。

采購(gòu)流程

1)銷售 “保險(xiǎn)+風(fēng)險(xiǎn)管控+服務(wù)”解決方案。

2)提供等級(jí)保護(hù)測(cè)評(píng)報(bào)告。

3)提供風(fēng)險(xiǎn)評(píng)估服務(wù)。

4)輸出量化風(fēng)險(xiǎn)數(shù)據(jù)。

5)確認(rèn)保費(fèi)簽訂保單。

保險(xiǎn)流程

核保階段-承保階段-理賠階段。

服務(wù)流程

包括事前識(shí)別與降低、事中監(jiān)控與發(fā)現(xiàn)、事后響應(yīng)與補(bǔ)償。

【免責(zé)聲明】【廣告】本文僅代表作者本人觀點(diǎn)，與和訊網(wǎng)無(wú)關(guān)。和訊網(wǎng)站對(duì)文中陳述、觀點(diǎn)判斷保持中立，不對(duì)所包含內(nèi)容的準(zhǔn)確性、可靠性或完整性提供任何明示或暗示的保證。請(qǐng)讀者僅作參考，并請(qǐng)自行承擔(dān)全部責(zé)任。郵箱：news_center@staff.hexun.com