狙击病毒 保藏这一篇干货就够了

时间:2021-09-19 21:19:12


自 “WannaCry”勒索病毒发生发火以来,慢慢淡出视线的病毒问题又开始在各企事业单位大面积残虐,据国家互联网应急中心颁布的2018年度安适态势呈报统计,CNCERT 捕获勒索软件近 14 万个,全年总体泛起增长趋势,重要行业关键信息根本设施逐渐成为勒索软件的重点打击方针,此中,当局、医疗、教育、研究机构、制造业等行业成为重灾区。如何有效进行防止病毒成为网络安适事情中亟待解决的难题。本文旨在通过对病毒关键问题的分析,辅佐用户更全面梳理病毒防御体系的扶植思路,同时提出锐捷网络病毒定位防护全流程解决方案。

       问题一:为什么这两年病毒在各重点行业大面积发生发火?
对付病毒打击者来说,核心诉求是利益获取。以往的病毒打击事件,大部分以数据偷取为主,同时通过数据倒卖等手段进行变现。受限于数据精准获取及变现渠道限制,更多以单点安适事件为主,很难形成规模发生发火效应。而近几年跟着虚拟货币的兴起,病毒打击变现变得非常简单和隐蔽,打击者只要掌握了资源的可用性,就可以借助网络货币快速变现,巨大利益差遣下导致以“勒索病毒”、“挖矿病毒”为代表的病毒不停蔓延。

       问题二:为什么有杀毒软件、IPS、防火墙等安适防护法子,病毒依然泛滥?
       杀毒软件、IPS、防火墙等传统防护手段,虽然必不成少,但均属于以特征库为核心的被动防护方案,在病毒防护的实际应用场景中,面临“时效、单点、溯源”三大核心问题。

1、防护时效的滞后
基于特征库的防御手段,对付病毒的防御均会经历:① 新病毒呈现② 样本收罗 ③ 厂商解读④特征提取⑤ 特征库更-⑥ 用户端更新 ⑦ 病毒检测与查杀,七个法式。这个周期一般在数小时至数天之间。时效的天然滞后性,在应对频繁变种病毒时效果往往不尽如人意。据CNCERT统计,2018年全年勒索软件 GandCrab 更新了19 个版本,且由于勒索病毒性质的特殊性,一旦被传染,即使后续特征库更新,也可能造成无法弥补的损掉。


狙击病毒 保藏这一篇干货就够了


  此外受限于用户网络环境中,各厂商特征库差异、设备无法联网、更新授权过期等各类因素限制,即使是已知病毒也会造成严重伤害。以发生发火两年多的WannaCry首个版本病毒为例,在2019年很多的用户网络中依然被发明,这让人们意识到仅仅依靠传统被动防御方案已经无法满足日益突出的病毒防护需求。


狙击病毒 保藏这一篇干货就够了


  2、单点防护,体系单薄
在大都的用户网络中,每每以部署杀毒软件为独一的病毒方案法子。锐捷认为,杀毒软件作为病毒入侵的最后一道樊篱,必不成少,但却远远不够,一旦杀毒软件被打破,出格是新型的病毒,则会直接碰触到业务系统及数据。病毒防护必需依赖于全面的防护思路,通过多层、多维的防护法子,构建完整的病毒防护体系。

3、入侵难以溯源
溯源问题一直是安适防护中非常关键的一环,找到安适问题的源头,从根柢上予以解决,才华制止陷
入救火式的事情模式中。而传统的以查杀为主的防止方案,并无法找到病毒入侵的源头,网络和系统的脆弱点依然存在,每每被反复操作,造成病毒问题周而复始。如何进行溯源体系扶植是病毒防护中非常重要的一环。

问题三:如何成立合理、有效的病毒防御的体系,实现病毒问题可管可控。
       在病毒防护体系扶植时,我们需要分析病毒入侵的素质。虽病毒类型各异,但从病毒入侵的过程是存在共性的,这与洛克希德-马丁公司提出的“网络杀伤链”理论非常契合。即整个入侵过程,一般会经历侦查跟踪、刀兵构建、载荷投诉、缝隙操作、安置植入、命令与控制、方针达成七个阶段,每个阶段均会有对应的行为或特征,可用于进行检测防护。固然对应的最有效检测防护技术手段也不一致,在越早的杀伤链环节发明和阻止打击,病毒防护效果就越好,修复和时间本钱就越低,而绝非只有到安置植入后,才进行介入检测防护,否则所做的防护事情往往事倍功半。


狙击病毒 保藏这一篇干货就够了


  问题四:依据网络杀伤链为指导,每个阶段应具备什么样病毒防护能力,锐捷可以供给什么样的方案?
从每个阶段所带来的影响分析,在网络杀伤链的前三个阶段进行有效监测防护,是病毒防护的最佳阶段,此时病毒还未对业务造本钱色的影响,监测防护事情所带来的价值最为明显,下面我们通过差别阶段的分析,供给合理的防护方案建议。

1、侦查跟踪阶段
主要方针:打击者搜寻方针主机的弱点
常用手段:高危端口探测、恶意缝隙扫描、身份凭证测验考试等
关键问题:如何对可疑的探测行为快速的捕获和判断?

锐捷解决之道:
① RG-DDP 动态防御:通过虚拟大量虚假主机,快速诱导捕获探测行为,构建病毒入侵的快速监测机制,同时扩大打击面、耽误被入侵时长,降低打击告成概率。由于不给与特征库,天然解决了特征库模式时效问题。