行业背景

近年来，随着网络的快速发展，大部分传统行业逐渐实现了数字化、网络化及智能化的转型，在拥抱产业互联网化的浪潮中，也暴露出一系列网络安全问题。2017年开始勒索病毒大规模爆发，乘机发难，疯狂敛财，影响日渐扩大。近几年由勒索病毒攻击造成的国内外大小事件层出不穷，全球范围内的政府、交通、能源、医疗等社会基础服务设施，成为了勒索病毒攻击的目标。

根据奇安信《2019年网络安全应急响应分析报告》得出：2019年全年政府机构、大中型企业安全事件遭受攻击常见木马排名前三的为勒索病毒、挖矿木马以及一般木马。攻击政府机构、大中型企业的常见勒索病毒分别为GlobeImposter勒索软件、Wannacry勒索软件、Crysis勒索软件、GandCrab勒索软件等。面对日益猖狂的勒索病毒，政企单位需要加强自身网络安全防护建设，建立起完善的安全防护措施，构建防御、检测、响应和预测的自适应安全防御体系，才能有效的检测和防护勒索病毒，保证内部网络及信息系统的安全。

业务挑战

近年来，随着网络的快速发展，大部分传统行业逐渐实现了数字化、网络化及智能化的转型，在拥抱产业互联网化的浪潮过程中，也暴露出一系列网络安全问题。2017年开始，勒索病毒大规模爆发，疯狂敛财，由勒索病毒攻击造成的国内外大小事件层出不穷，全球范围内的政府、交通、能源、医疗等社会基础服务设施，成为了勒索病毒攻击的目标。

奇安信《2019年网络安全应急响应分析报告》显示：2019年政府机构、大中型遭遇的病毒攻击事件中，勒索病毒排名第一，以GlobeImposter、Wannacry、Crysis、GandCrab等居多。

解决方案

面对日益猖狂的勒索病毒，奇安信推出勒索病毒防护解决方案，帮助政企单位加强自身网络安全防护建设，建立起完善的安全防护措施，构建防御、检测、响应和预测的自适应安全防御体系，实现对勒索病毒的有效检测和防护，保证内部网络及信息系统的安全。

方案部署架构图如下：

在针对勒索病毒防护安全建设过程中，方案关注以下关键能力建设：

1.防御能力：通过一系列策略集、产品和服务，通过减少被攻击面来提升攻击门槛，并在受影响前拦截攻击动作。

2.检测能力：用于发现逃过防御网络的攻击，从而降低威胁造成的“停摆时间”以及其他潜在的损失。

3.响应能力：目标是实现高效调查和补救被检测分析功能(或外部服务)查出的安全事件，以提供入侵认证和攻击来源分析，并产生新的预防手段来避免未来的安全事件。

4.预测能力：通过对外部黑客行动的学习，主动锁定对现有系统和信息具有威胁的新型攻击，并对漏洞划定优先级和定位。该情报将反馈到预防和检测功能，从而构成整个处理流程的闭环。

一、防御能力建设

方案通过从网络入口到需要防御目标均设置防御节点的方式，进行防御能力建设：

1. 智慧防火墙

在互联网接入区域及其他区域边界处部署智慧防火墙，通过防火墙规则、威胁情报及云端威胁情报中心对内部网络失陷主机进行定位,实现网络边界处对失陷主机的检测、发现和及时处理，防止因为失陷主机造成的信息外泄或者对外发起恶意攻击，使政企单位面临经济损失及法律风险。

2. 终端安全管理系统

在网络内部终端部署天擎终端安全管理系统，构建有效抵御已知病毒、勒索病毒、漏洞、未知恶意代码和高级威胁APT攻击的终端安全防御体系。

天擎能够实现：

• 终端木马、病毒查杀

• 勒索病毒检测和防护

• 违规终端接入管控

• 终端违规软件管控

• 终端漏洞的及时修复

• 终端安全状况的统一管控

目前，天擎可以对大部分勒索病毒进行检测和查杀，并通过敲诈先赔服务免除客户后顾之忧。

此外，天擎EDR模块能够与天眼威胁感知系统联动，准确检测内部的失陷主机，并通过天擎进行响应处置；天擎还可以与智慧防火墙联动，实现对内部风险主机或失陷主机进行安全管控。

3. 终端安全准入系统

在内部网络部署终端安全准入系统，实现终端发现、访客注册、认证授权、合规检查、隔离修复、访问控制、入网追溯等“一站式”的入网控制管理流程。所有终端接入网络，访问核心区域资源，都必须进行身份认证，同时进行入网安全检查，对不符合安全要求的终端，根据事先设置的策略进行隔离和修复，直到达到合规入网的管理规范要求为止。而且，终端安全准入系统还可以提高天擎客户端的部署率，保障入网终端是在安全可控范围内，保证内网的安全。

4. 服务器安全管理系统

在物理服务器系统上部署天擎，通过内核级加固、强制访问控制、应用自保护、沙盒等技术等提高服务器操作系统对抗黑客攻击及恶意代码的能力，有效检测及拦截已知和未知安全威胁，全方位保障服务器操作系统、业务系统和数据内容的安全。系统支持主流的硬件平台、操作系统和应用，同时支持物理机和虚拟化架构（xen、vmware、hyper-v等），支持异构网络部署，实现跨平台的统一管理。

二、检测能力建设

方案主要通过在内部网络中部署奇安信天眼威胁感知系统，进行检测能力建设。天眼可基于自有的多维度海量互联网数据，进行自动化挖掘与云端关联分析，提前洞悉各种安全威胁，并向客户推送定制的专属威胁情报。同时，天眼还能实现未知威胁的早期快速发现，并可对受害目标及攻击源头进行精准定位，实现入侵途径及攻击者背景的研判与溯源。

天眼能够实现：

• 检测发现传统防护手段漏过的未知威胁

• 在隔离网络环境下检测未知威胁

• 对企业内的海量数据进行安全分析

• 对企业内已发现的问题进行攻击回溯

• 精准及时地处理通过威胁情报发现的终端的安全威胁

三、响应能力建设

方案通过产品之间的联动响应以及应急响应服务机制，实现响应能力建设。

1. 天擎&天眼、防火墙&天眼联动响应

天擎通过EDR模块与天眼联动，构建对未知漏洞（0day）利用、未知恶意代码植入、勒索病毒、APT等攻击过程从精确检测到深度防御的纵深防范闭环体系，实现终端的安全防护。

智慧防火墙通过NDR模块与天眼联动，构建网络层面的已知威胁与未知威胁的发现，并通过防火墙联动实现有效的网络层安全防护。

2. 应急响应服务机制建立

建立安全事件应急响应机制，对安全事件进行检测、分析、协调、处理，保护资产安全属性的活动，并协同建立有效的防御策略来抵御网络安全威胁。

四、预测能力建设

方案通过将奇安信云端海量数据的分析成果定期同步至方案中涉及到产品，实现对APT攻击、勒索病毒、新型木马、特种免杀木马的规则化描述。同时通过威胁情报解读定期推送分享服务，向政企单位分享APT攻击行为和事件情报、攻击团伙情报、恶意代码和漏洞利用情报、攻击团伙活跃态势情报等，建立预测预警能力。

客户价值

1. 协助客户建立有效的自适应安全防御体系，有效实现勒索病毒防护。

2. 为客户提供覆盖“边界+终端+云端”、基于威胁情报的多层次智慧检测、防御措施。

3. 为客户建立数据驱动的“自动化+人工响应”的有效处置机制。

4. 为客户建立“云端威胁情报+本地威胁检测”的安全预测预警能力。