當前位置:
首頁 > 最新 > 專題直播:勒索病毒頻發,醫療業務怎樣守關?

專題直播:勒索病毒頻發,醫療業務怎樣守關?

最新 03-04

近期,「勒索病毒」、「網路安全」等似乎成為了醫信界2018年的開年代名詞。年後,黑客針對醫院下手,導致醫院系統故障,影響患者就醫,情況極其惡劣。從2017年5月勒索病毒WannaCry對學校、醫療、政府等各個領域的襲擊,到現如今醫院系統被植入升級版勒索病毒,勒索病毒的預防及應急處理刻不容緩。

那麼,如何針對勒索病毒造成的網路安全事件進行應急處置和安全加固?在國內醫療行業較有影響力的醫院信息諮詢自媒體平台醫信微平台的邀請下,深信服醫療事業部副總經理鍾一鳴在其「醫信大講堂」 活動中直播剖析勒索病毒,並分享防治之道。

勒索病毒剖析

什麼是勒索病毒

主機感染勒索病毒文件後,會在主機上運行勒索程序,遍曆本地所有磁碟指定類型文件進行加密操作,加密後文件無法讀取。然後生成勒索通知,要求受害者在規定時間內支付一定價值的比特幣才能恢複數據,否則將銷毀被加密數據。

勒索病毒的發展

近兩年,隨著電子貨幣的發展,很多黑客利用了電子貨幣難以追蹤的特性通過勒索病毒進行電子貨幣勒索,勒索病毒大規模爆發,尤其是Wannacry事件,使得公眾對勒索病毒談之色變。隨著人工智慧、機器學習以及物聯網的普及,未來2到3年內勒索病毒或將更大規模爆發,病毒數量指數增加,預計損失將達到115億美元。

勒索病毒的傳播

勒索病毒必須經過傳播植入到受害者主機才能夠實現勒索。四種常見傳播方式為:

1

釣魚郵件:惡意代碼偽裝在郵件附件中,誘使打開附件,主要對象為個人PC。

2

蠕蟲式傳播:通過漏洞和口令進行網路空間中的蠕蟲式傳播,主要對象無定向,甚至能夠自動傳播,Wanncry病毒、Petya變種均利用了此種方式。

3

查找攻擊源:通過黑色產業鏈中的Exploit Kit來分發勒索軟體。一般針對有漏洞的伺服器。

4

暴力破解:通過暴力破解RDP埠、SSH埠、資料庫埠。主要針對開放遠程管理的伺服器。

值得注意的是,勒索病毒之所以能夠對各個單位造成嚴重的影響,很大的原因是大多數勒索病毒都具備內網傳播感染能力。

勒索病毒應急處置與加固

「中招」後如何解決

在此次直播過程中,鍾一鳴為大家提供了勒索病毒中招後應急處置建議:

1

隔離感染主機:已中毒計算機儘快隔離,關閉所有網路連接,禁用網卡。

2

切斷傳播途徑:關閉潛在終端的SMB,RDP埠等共享傳播埠。關閉異常的外聯訪問。

3

查找攻擊源:手工抓包分析供給源或藉助態勢感知類產品分析。

4

查殺病毒修復漏洞:查殺病毒,打上漏洞補丁,修改口令。

對於大家普遍關注的中招後的數據恢復,鍾一鳴也提供了幾個方案,包括嘗試用數據恢復軟體找到被刪除的源文件通過解密工具破解,解密文件通過winhex對比歷史文件分析文件頭內容恢復,以及通過支付贖金恢複數據等方式。但目前勒索病毒的數據恢復難度較大,部分勒索病毒即便支付攻擊者贖金也未必可以解密被勒索文件,建議防範還是以預防為主。

勒索病毒如何預防

1)避免弱口令,避免多個系統使用同一口令。

2)應用服務管控: 終端上關閉Windows共享服務、遠程桌面控制等不必要的服務,網路層面上防火牆做好應用控制,關閉非必要的互聯網訪問。

3)漏洞管理:定期漏掃;及時打補丁,修復漏洞。

4)安裝殺毒軟體並及時更新病毒庫。

5)數據備份:對重要的數據文件定期進行非本地備份。

6)提高安全意識

不使用不明來歷的U盤、移動硬碟等存儲設備;

不要點擊來源不明的郵件以及附件;

不接入公共網路也不允許內部網路接入來歷不明外網PC。

深信服應對實踐

深信服作為一家專業安全廠商,在幫助大量用戶應對勒索病毒所帶來的威脅同時,也積累了大量針對勒索病毒的處置經驗以及對勒索病毒這種攻擊行為的預防和防禦創新方法。

基於勒索病毒的傳播方式、感染方式、事後勒索行為等的分析理解,深信服把勒索病毒的防禦定位為全方位的安全服務,包括勒索風險安全評估、流量防禦、威脅主機檢測以及快速響應。

勒索病毒風險評估:通過雲端掃描、本地安全檢查、口令掃描等方式掃描可能傳播勒索病毒或被勒索病毒利用的漏洞或脆弱性口令,事前預防勒索病毒的植入途徑。

流量防禦:一方面通過漏洞阻斷、暴力破解防護、郵件查殺等手段進行攻擊投放阻斷與擴散傳播阻斷。另一方面通過下載文件雲查殺對勒索病毒本身進行阻斷。

威脅主機檢測:大型醫療機構內網終端及伺服器比較多,業務相對比較複雜,深信服通過安全感知解決方案能夠全網自動發現勒索病毒受害主機,發現潛伏威脅主機,幫助用戶有效管理大型網路。

快速響應:首先是掃描策略快速下發,檢測是否存在感染隱患;其次是流量端點協同響應,自動阻斷木馬與黑客通信,端點執行掃描、查殺等動作;最後提供高級專家應急響應,不僅全國各地中小城市均有響應服務點,同時提供7*24小時無休在線服務響應。

目前依靠某一台專門的設備或者某一類專門技術並不能解決勒索病毒問題,深信服針對勒索病毒構建的是一套完整的防禦體系。通過全網勒索情報收集、自動化沙盒集群、人工智慧引擎檢測,以及大量安全專家分析,將匯聚到安全雲腦並用大數據及人工智慧的分析來提高檢測防禦的能力,並將安全防禦策略輸送到各個安全設備中,提高安全設備的安全檢測能力。最終通過下一代防火牆、終端檢測響應EDR、安全感知等安全產品的檢測響應能力來實現全生命周期的勒索防護,提升整體的安全防禦能力。

在近期爆發的GlobeImposter 變種勒索病毒事件中,深信服已經幫助華中、華南、西南等多個區域的多家醫院檢測出勒索病毒並查殺,收到不少的好評和感謝。深信服在勒索病毒應對實踐中積累大量實戰經驗,擁有勒索病毒檢測解決方案,勒索病毒防禦響應解決方案,以及體系化解決方案,信服君後續將持續為您介紹,敬請期待!


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 深信服科技 的精彩文章:

純乾貨!深信服2017年安全威脅分析報告之網站安全篇

TAG:深信服科技 |