2017年5月12日,一個名為“WannaCry”的勒索病毒在全球攻城掠地,150多個國家?guī)资f臺電腦接連被“薅羊毛”。安全人員像救火一樣研究病毒樣本、提醒用戶盡快修補(bǔ)漏洞,試圖止住蔓延的趨勢。
然而時至今日,勒索病毒依然屢殺不絕,本文的主角——某大型生產(chǎn)企業(yè),不久之前剛與勒索病毒展開了多次較量。
01 病毒來了
這家位于西南地區(qū)的企業(yè)集團(tuán),是集研發(fā)、教學(xué)、生產(chǎn)、銷售為一體的大型生產(chǎn)制造商,曾先后獲得“國家級高新技術(shù)企業(yè)”、“中國馳名商標(biāo)”等榮譽(yù)稱號。
近年來,隨著企業(yè)迅速發(fā)展,為保障業(yè)務(wù)能持續(xù)穩(wěn)固、安全和高效地運行,該企業(yè)先后購置了下一代防火墻、防病毒軟件等安全產(chǎn)品,建立起日臻完善的“安全邊界防護(hù)體系”。
然而,2018年9月某日凌晨,隨著不知名的黑客入侵,企業(yè)生產(chǎn)系統(tǒng)的服務(wù)器被勒索加密,造成若干業(yè)務(wù)線停止運轉(zhuǎn),以往的所有安全投入瞬間一文不值,穩(wěn)若磐石的安全現(xiàn)狀被徹底打破了。
不同于傳統(tǒng)計算機(jī)病毒,中了病毒后采用重啟服務(wù)器等方式就能恢復(fù)。勒索病毒被業(yè)界稱之為“數(shù)字綁票”,一旦被它“纏身”,就如同給企業(yè)掛上了定時炸彈。更嚴(yán)重的是,企業(yè)局域網(wǎng)里若有一臺服務(wù)器被入侵控制后,黑客通常會在內(nèi)網(wǎng)掃描入侵更多機(jī)器,造成大面積的病毒感染。
爭分奪秒。該企業(yè)第一時間重視了該病毒,并連夜組織安全工程師進(jìn)行排查,所幸,此次被勒索的數(shù)據(jù)庫在備份期間被加密,業(yè)務(wù)系統(tǒng)并未大規(guī)模感染。于是,企業(yè)通過解密方式找回“未成功備份但被勒索”的文件。
02 余波未平,第二次絕命來襲
一夜之間,勒索病毒兇猛襲擊過的戰(zhàn)亂現(xiàn)場讓該企業(yè)心有余悸。
誰都無法預(yù)知是否會再次發(fā)生二次感染、三次感染。誰也不敢想象,下一個勒索病毒再次到來時,一旦出現(xiàn)“一臺感染,一片崩潰”的局面,大量的解密成本以及業(yè)務(wù)癱瘓、數(shù)據(jù)泄漏造成的嚴(yán)重后果。
“不能再次在陰溝里翻船”,這是擺在企業(yè)面前最重要的問題!于是,經(jīng)過多方考量和篩選,該企業(yè)選擇美創(chuàng)諾亞防勒索系統(tǒng),通過“后臺管理中心+前端代理”的部署方式,重點保護(hù)辦公OA、訂單管理等部分業(yè)務(wù)系統(tǒng)。
如圖所示:其中,后臺管理中心部署在該企業(yè)數(shù)據(jù)中心的服務(wù)器上,設(shè)置固定IP地址,保證能與終端客戶端聯(lián)網(wǎng)訪問;在被保護(hù)業(yè)務(wù)服務(wù)器上部署諾亞防勒索系統(tǒng)前端代理客戶端。
眾所周知,自勒索軟件被發(fā)現(xiàn)以來,一直難以有效的阻止和防范,諾亞防勒索系統(tǒng)真的能夠有效防御勒索病毒的攻擊?這在企業(yè)部分高層心中留下了疑問。
而就在一周后,勒索病毒再次到訪,與諾亞防勒索來了場狹路相逢。
客戶發(fā)現(xiàn)裝了諾亞防勒索系統(tǒng)的服務(wù)器正常運行,中招的恰恰是那些沒有安裝諾亞防勒索的服務(wù)器。其中,財務(wù)PC被勒索,導(dǎo)致當(dāng)月發(fā)薪日員工工資無法進(jìn)行核算及發(fā)放,大量報銷等財務(wù)表格無法使用。同時數(shù)據(jù)中心服務(wù)器被加密,關(guān)鍵數(shù)據(jù)面臨丟失的風(fēng)險。
03 全面部署,與勒索病毒說不
在回溯整個與勒索病毒的較量中,美創(chuàng)諾亞防勒索系統(tǒng)完美應(yīng)對第二次勒索攻擊的考驗,這讓客戶徹底打消了之前顧慮,并連夜將剩余的服務(wù)器裝上“諾亞防勒索”產(chǎn)品,全面防范勒索病毒攻擊,從而實現(xiàn):
1. 主動防護(hù)已知和未知的勒索病毒,全面防范勒索病毒攻擊,確保信息系統(tǒng)的高可用和數(shù)據(jù)安全性。
2. 保護(hù)Oracle,SQL Server,MySQL,DB2等關(guān)鍵數(shù)據(jù)庫系統(tǒng)在受到勒索病毒入侵時,依然保持正常運轉(zhuǎn),在極端情況下最底限保證數(shù)據(jù)不被破壞,數(shù)據(jù)不丟失。
3. 統(tǒng)一的策略,安全管控各主機(jī),無需額外增加安全管理和人力成本,大大節(jié)省了管理上所需花費的開銷。
4. 健全安全風(fēng)險防護(hù)機(jī)制和積極響應(yīng)機(jī)制,未雨綢繆,提高網(wǎng)絡(luò)健壯性和抗攻擊能力。
“勒索病毒出現(xiàn)的概率還會存在,甚至持續(xù)升級,沒有哪一家企業(yè)能‘獨善其身’。不過,諾亞防勒索對未知病毒防御和誘捕,以及優(yōu)秀的帶毒生存能力,至少不會讓我們過于擔(dān)心。 ”
一家醫(yī)療行業(yè)CIO這樣表示道 。
關(guān)于諾亞防勒索:選擇我,絕非偶然
無數(shù)次的事件證明,傳統(tǒng)殺毒軟件往往對勒索病毒束手無策。這是因為傳統(tǒng)殺毒軟件依賴于黑名單方式,只有當(dāng)能夠偵測并捕獲到勒索軟件疫情并將其加入黑名單后,才能有效地攔截病毒。然而:
目前,已知勒索病毒庫種類并不全,且本地特征庫升級遠(yuǎn)遠(yuǎn)落后病毒的更新速度,無法實現(xiàn)病毒100%的匹配,未匹配的病毒依然可以執(zhí)行;
傳統(tǒng)防毒軟件或采用引擎分析技術(shù)對惡意軟件進(jìn)行分析,但挖礦病毒與勒索軟件往往非常隱蔽、具有針對性、無明顯破壞特征,當(dāng)防毒引擎分析發(fā)現(xiàn)之時往往已經(jīng)對系統(tǒng)文件進(jìn)行了加密。
美創(chuàng)科技通過大量勒索病毒分析,推出專門針對勒索病毒的安全防護(hù)產(chǎn)品“諾亞”防勒索系統(tǒng),對無論是辦公電腦上的類型化文檔(*docx、*xlsx等),還是服務(wù)器上的數(shù)據(jù)庫文件,以及啞終端(ATM、加油站等),都可以徹底的擺脫勒索病毒的困擾。
諾亞防勒索系統(tǒng)采用獨特的底層白名單技術(shù),對文檔、數(shù)據(jù)庫文件進(jìn)行主動防護(hù),確保只有被允許的合法操作才能被執(zhí)行,一切未被允許的操作都被禁止,避免勒索病毒對文件的加密和修改。即使業(yè)務(wù)系統(tǒng)未及時安裝補(bǔ)丁,也可防止漏洞被利用進(jìn)行勒索加密。這樣即使有新的勒索病毒出現(xiàn),諾亞防勒索系統(tǒng)也可以全面無憂的防范新病毒的攻擊,從根本上對勒索病毒說不。
