2017年5月12日,一個名為“WannaCry”的勒索病毒在全球攻城掠地,150多個國家?guī)资f臺電腦接連被“薅羊毛”。安全人員像救火一樣研究病毒樣本、提醒用戶盡快修補漏洞,試圖止住蔓延的趨勢。
然而時至今日,勒索病毒依然屢殺不絕,本文的主角——某大型生產企業(yè),不久之前剛與勒索病毒展開了多次較量。
01 病毒來了
這家位于西南地區(qū)的企業(yè)集團,是集研發(fā)、教學、生產、銷售為一體的大型生產制造商,曾先后獲得“國家級高新技術企業(yè)”、“中國馳名商標”等榮譽稱號。
近年來,隨著企業(yè)迅速發(fā)展,為保障業(yè)務能持續(xù)穩(wěn)固、安全和高效地運行,該企業(yè)先后購置了下一代防火墻、防病毒軟件等安全產品,建立起日臻完善的“安全邊界防護體系”。
然而,2018年9月某日凌晨,隨著不知名的黑客入侵,企業(yè)生產系統(tǒng)的服務器被勒索加密,造成若干業(yè)務線停止運轉,以往的所有安全投入瞬間一文不值,穩(wěn)若磐石的安全現狀被徹底打破了。
不同于傳統(tǒng)計算機病毒,中了病毒后采用重啟服務器等方式就能恢復。勒索病毒被業(yè)界稱之為“數字綁票”,一旦被它“纏身”,就如同給企業(yè)掛上了定時炸彈。更嚴重的是,企業(yè)局域網里若有一臺服務器被入侵控制后,黑客通常會在內網掃描入侵更多機器,造成大面積的病毒感染。
爭分奪秒。該企業(yè)第一時間重視了該病毒,并連夜組織安全工程師進行排查,所幸,此次被勒索的數據庫在備份期間被加密,業(yè)務系統(tǒng)并未大規(guī)模感染。于是,企業(yè)通過解密方式找回“未成功備份但被勒索”的文件。
02 余波未平,第二次絕命來襲
一夜之間,勒索病毒兇猛襲擊過的戰(zhàn)亂現場讓該企業(yè)心有余悸。
誰都無法預知是否會再次發(fā)生二次感染、三次感染。誰也不敢想象,下一個勒索病毒再次到來時,一旦出現“一臺感染,一片崩潰”的局面,大量的解密成本以及業(yè)務癱瘓、數據泄漏造成的嚴重后果。
“不能再次在陰溝里翻船”,這是擺在企業(yè)面前最重要的問題!于是,經過多方考量和篩選,該企業(yè)選擇美創(chuàng)諾亞防勒索系統(tǒng),通過“后臺管理中心+前端代理”的部署方式,重點保護辦公OA、訂單管理等部分業(yè)務系統(tǒng)。
如圖所示:其中,后臺管理中心部署在該企業(yè)數據中心的服務器上,設置固定IP地址,保證能與終端客戶端聯網訪問;在被保護業(yè)務服務器上部署諾亞防勒索系統(tǒng)前端代理客戶端。
眾所周知,自勒索軟件被發(fā)現以來,一直難以有效的阻止和防范,諾亞防勒索系統(tǒng)真的能夠有效防御勒索病毒的攻擊?這在企業(yè)部分高層心中留下了疑問。
而就在一周后,勒索病毒再次到訪,與諾亞防勒索來了場狹路相逢。
客戶發(fā)現裝了諾亞防勒索系統(tǒng)的服務器正常運行,中招的恰恰是那些沒有安裝諾亞防勒索的服務器。其中,財務PC被勒索,導致當月發(fā)薪日員工工資無法進行核算及發(fā)放,大量報銷等財務表格無法使用。同時數據中心服務器被加密,關鍵數據面臨丟失的風險。
03 全面部署,與勒索病毒說不
在回溯整個與勒索病毒的較量中,美創(chuàng)諾亞防勒索系統(tǒng)完美應對第二次勒索攻擊的考驗,這讓客戶徹底打消了之前顧慮,并連夜將剩余的服務器裝上“諾亞防勒索”產品,全面防范勒索病毒攻擊,從而實現:
1. 主動防護已知和未知的勒索病毒,全面防范勒索病毒攻擊,確保信息系統(tǒng)的高可用和數據安全性。
2. 保護Oracle,SQL Server,MySQL,DB2等關鍵數據庫系統(tǒng)在受到勒索病毒入侵時,依然保持正常運轉,在極端情況下最底限保證數據不被破壞,數據不丟失。
3. 統(tǒng)一的策略,安全管控各主機,無需額外增加安全管理和人力成本,大大節(jié)省了管理上所需花費的開銷。
4. 健全安全風險防護機制和積極響應機制,未雨綢繆,提高網絡健壯性和抗攻擊能力。
“勒索病毒出現的概率還會存在,甚至持續(xù)升級,沒有哪一家企業(yè)能‘獨善其身’。不過,諾亞防勒索對未知病毒防御和誘捕,以及優(yōu)秀的帶毒生存能力,至少不會讓我們過于擔心。 ”
一家醫(yī)療行業(yè)CIO這樣表示道 。
關于諾亞防勒索:選擇我,絕非偶然
無數次的事件證明,傳統(tǒng)殺毒軟件往往對勒索病毒束手無策。這是因為傳統(tǒng)殺毒軟件依賴于黑名單方式,只有當能夠偵測并捕獲到勒索軟件疫情并將其加入黑名單后,才能有效地攔截病毒。然而:
目前,已知勒索病毒庫種類并不全,且本地特征庫升級遠遠落后病毒的更新速度,無法實現病毒100%的匹配,未匹配的病毒依然可以執(zhí)行;
傳統(tǒng)防毒軟件或采用引擎分析技術對惡意軟件進行分析,但挖礦病毒與勒索軟件往往非常隱蔽、具有針對性、無明顯破壞特征,當防毒引擎分析發(fā)現之時往往已經對系統(tǒng)文件進行了加密。
美創(chuàng)科技通過大量勒索病毒分析,推出專門針對勒索病毒的安全防護產品“諾亞”防勒索系統(tǒng),對無論是辦公電腦上的類型化文檔(*docx、*xlsx等),還是服務器上的數據庫文件,以及啞終端(ATM、加油站等),都可以徹底的擺脫勒索病毒的困擾。
諾亞防勒索系統(tǒng)采用獨特的底層白名單技術,對文檔、數據庫文件進行主動防護,確保只有被允許的合法操作才能被執(zhí)行,一切未被允許的操作都被禁止,避免勒索病毒對文件的加密和修改。即使業(yè)務系統(tǒng)未及時安裝補丁,也可防止漏洞被利用進行勒索加密。這樣即使有新的勒索病毒出現,諾亞防勒索系統(tǒng)也可以全面無憂的防范新病毒的攻擊,從根本上對勒索病毒說不。
