特级一级毛片视频免费观看,成人影片亚区免费无码,免费国产污网站在线观看不要卡,国产69精品久久久久妇女,色综合久久中文字幕综合网

     最近，俄羅斯黑客 Darkside 搞了件大事。

這家去年8月才出道的“黑客新人”攻擊了美國最大成品油管道運營(yíng)公司，直接導致美國東海岸8800公里汽油輸送“大動(dòng)脈”癱瘓，首都華盛頓和東部17州均受到嚴重影響，汽油期貨直接飆升至三年新高。據最新消息，該公司聲稱(chēng)業(yè)務(wù)已恢復。

不過(guò)，據最新消息，5月13日，美國成品油管道運營(yíng)公司為此向黑客支付了500萬(wàn)美元的贖金。

哪些行業(yè)會(huì )是勒索攻擊的高發(fā)地區？

根據深信服千里目安全實(shí)驗室發(fā)布的《2020勒索病毒年度報告》可知，如今網(wǎng)絡(luò )攻擊種類(lèi)繁多，其中最令人恐懼的網(wǎng)絡(luò )攻擊之一便是勒索軟件（勒索病毒攻擊以防為主，目前大部分勒索病毒加密后的文件都無(wú)法解密）——通過(guò)加密主機數據文件從而勒索贖金的病毒程序。

▲各行業(yè)勒索病毒感染分布（圖源深信服千里目實(shí)驗室《2020年度勒索病毒報告》）

從行業(yè)來(lái)看，政企單位、科研教育、政府遭受的勒索攻擊最多，總占比接近3/4；由于這些行業(yè)的業(yè)務(wù)對數據文件依賴(lài)較大，安全防護薄弱，系統設施脆弱等因素，極易成為勒索病毒的主要攻擊目標。

因此，深信服認為有必要提供一個(gè)真實(shí)有效的安全解決方案，給予各行業(yè)一個(gè)清晰的防護思路，避免在遭遇勒索攻擊時(shí)造成無(wú)法挽回的損失。

打造一個(gè)全流程閉環(huán)的勒索防護解決方案迫在眉睫

深信服基于近1000個(gè)用戶(hù)的最佳實(shí)踐總結出勒索病毒的防護思路：在云網(wǎng)端的多層架構下，針對勒索病毒在突破邊界、病毒投放、加密勒索、橫向傳播等各個(gè)環(huán)節，實(shí)現實(shí)時(shí)攔截、快速查殺、多重監測和有效處置，為客戶(hù)提供全方位的勒索防護能力。

在勒索病毒防護方面，深信服已有一套完整的安全解決方案。

▲勒索防護方案思路

具體而言，這套安全解決方案包含四個(gè)層次，即攔截——查殺——監測——閉環(huán)處置。

一、攔截

攔截能力覆蓋發(fā)起勒索攻擊時(shí)和被勒索攻陷后，又細分為五個(gè)環(huán)節，即勒索預防、勒索專(zhuān)項防護、慢速爆破防御、RDP 登錄二次攔截、進(jìn)程控制。

1、在勒索預防環(huán)節，為確保終端安全性，必須安裝殺毒軟件、修復操作系統安全漏洞才能接入網(wǎng)絡(luò )，減少終端中勒索病毒的風(fēng)險，可采用網(wǎng)絡(luò )準入類(lèi)產(chǎn)品，如深信服全網(wǎng)行為管理AC（以下簡(jiǎn)稱(chēng)深信服AC）建立終端入網(wǎng)安全基線(xiàn)。

2、在勒索專(zhuān)項防護環(huán)節，由于漏洞修復成本極高導致內網(wǎng)遺留大量未修復漏洞，給攻擊者預留了潛在的漏洞利用攻擊機會(huì )，故需采用有效識別漏洞且維護便捷方式，業(yè)內常以網(wǎng)絡(luò )串接防護設備，如采用深信服下一代防火墻（以下簡(jiǎn)稱(chēng)深信服AF）內置 8000+漏洞特征庫，并基于攻擊泛化的漏洞覆蓋技術(shù)，從漏洞共性攻擊與利用方式，打造具備泛化能力的漏洞語(yǔ)法檢測引擎，同時(shí)通過(guò)云端全球共享情報5分鐘完成同步，漏洞攻擊有效攔截率 98.7％。

而針對勒索擴散行為，需快速縮小范圍，隔離問(wèn)題主機，可通過(guò)深信服終端檢測響應平臺（以下簡(jiǎn)稱(chēng)深信服EDR）則利用無(wú)文件攻擊防護和勒索誘餌防護對勒索病毒進(jìn)行實(shí)時(shí)掃描監測，防止病毒進(jìn)一步加密擴散。

3、在慢速爆破防御環(huán)節：目前大部分勒索病毒為繞過(guò)各系統自帶或安全設備的閾值破解防護，使用慢速爆破難以被安全設備檢測的方式，這也是很多用戶(hù)使用傳統的IPS或防火墻仍中勒索病毒的原因。

對此，深信服AF自研口令暴破深度檢測引擎，基于多時(shí)間窗口尺度異常登錄檢測和精細化日志審計分析算法結合，并通過(guò)多種特征綜合判定登錄成功或失敗的狀態(tài)，突破加密流量暴破、慢速/分布式暴破的檢測盲區，跳出解密困局，檢測率高達95%。

4、在 RDP 登錄二次攔截環(huán)節：RDP 爆破作為唯一或者主流的感染方式，先通過(guò)釣魚(yú)郵件/釣魚(yú)網(wǎng)站/漏洞利用等，再 RDP 爆破，或者直接 RDP 爆破。

典型代表：LockCrypt、 Crysis 、Planetary、GlobeImposter 等，主要利用了遠程桌面協(xié)議 RDP 應用的廣泛性以及攻破后使用上的便捷性。

需針對遠程訪(fǎng)問(wèn)服務(wù)器的行為進(jìn)行二次密碼驗證，防止黑客遠程登錄服務(wù)器進(jìn)行勒索病毒投放，減輕服務(wù)器資產(chǎn)損失的風(fēng)險，可采用終端安全平臺，如深信服EDR。

5、在進(jìn)程控制環(huán)節：由于勒索形成前會(huì )利用系統進(jìn)程進(jìn)行偽裝，故需針對服務(wù)器全系統進(jìn)程進(jìn)行可信識別與控制，如通過(guò)通過(guò)深信服EDR可信進(jìn)程的加固防護技術(shù)，以進(jìn)程學(xué)習、手動(dòng)導入的可信進(jìn)程的防護策略，阻止非可信的勒索進(jìn)程運行與破壞可信進(jìn)程。

二、查殺層面

預防之后，最重要的是要對勒索病毒保持時(shí)刻警惕，經(jīng)常查殺。包含兩個(gè)環(huán)節，即檢測和查殺環(huán)節。

隨著(zhù) AI 技術(shù)的誕生以及物聯(lián)網(wǎng)應用的普及，勒索軟件呈爆發(fā)式增長(cháng)，據統計每14秒就會(huì )發(fā)生一次勒索攻擊事件。因此，勒索病毒的種類(lèi)也越來(lái)越多，單純的檢測方法無(wú)法完全檢測。

2、在查殺環(huán)節，深信服 EDR 基于文件信譽(yù)引擎將病毒文件的md5特征值進(jìn)行全網(wǎng)通報；也可針對md5特征，主動(dòng)進(jìn)行全網(wǎng)威脅定位，從而在全網(wǎng)進(jìn)行圍剿式查殺。

與此同時(shí)，配合深信服下一代防火墻采用流模式和啟發(fā)式文件掃描技術(shù)，對 HTTP、 SMTP、 POP3、 IMAP、 FTP、 SMB 等多種協(xié)議類(lèi)型的近百萬(wàn)種病毒進(jìn)行查殺，以及可對多線(xiàn)程并發(fā)、深層次壓縮文件等進(jìn)行有效控制和查殺。

此外，還可利用人工智能引擎通過(guò)對數億維的原始特征進(jìn)行分析和綜合，強大泛化能力，大幅提升對變種、未知勒索威脅的檢出及查殺效果。

三、監測層面

查殺之后要做的工作時(shí)監測勒索病毒的活動(dòng)路徑。主要包含監測和告警兩個(gè)環(huán)節。

在監測環(huán)節又細分為 C&C 非法通信檢測、流量行為監測、攻擊鏈監測、勒索誘捕監測。

由于病毒變種數量多，傳統監測方式難免會(huì )存在漏網(wǎng)之魚(yú)。

1、在勒索主機進(jìn)行 C&C非法 通信時(shí)，常以動(dòng)態(tài)域名進(jìn)行隱藏，深信服 AF 創(chuàng )新引入 DGA 動(dòng)態(tài)域名、DNS 隱蔽隧道等檢測技術(shù)識別惡意連接。

2、在流量行為監測方面，則主要基于深信服安全感知平臺SIP(以下簡(jiǎn)稱(chēng)深信服SIP）內置的勒索專(zhuān)項檢測系統，采用業(yè)界獨創(chuàng )的動(dòng)態(tài)流檢測技術(shù)（非規則漏洞檢測、異常點(diǎn)檢測、進(jìn)程級網(wǎng)端檢測、異常行為利用、多階段攻擊等APT場(chǎng)景檢測點(diǎn)等）。

▲深信服態(tài)勢感知平臺SIP勒索專(zhuān)項檢測頁(yè)面

利用AI 2.0和UEBA2.0技術(shù)（涵蓋13類(lèi)攻擊類(lèi)別以及400+算法模型）進(jìn)行綜合分析，能夠精準的識別不同的勒索軟件家族，并通過(guò)專(zhuān)業(yè)分析識別出勒索病毒感染行為和加密特征，同時(shí)通過(guò)可視化界面為用戶(hù)展示內網(wǎng)整體安全狀況，第一時(shí)間發(fā)現內網(wǎng)橫向掃描、病毒擴散、非法外聯(lián)等勒索病毒行為，全面分析新型勒索病毒的攻擊面及其影響范圍，幫助用戶(hù)在勒索病毒大面積感染前及時(shí)發(fā)現。

3、在告警環(huán)節，利用微信告警通知用戶(hù)，緊急事件會(huì )在2分鐘內發(fā)出，其他事件在告警策略--高級選項--告警頻率處所設定的時(shí)間內發(fā)出。同類(lèi)事件每日推送三次，超過(guò)三次不再推送告警提醒。每日8:00--22:00進(jìn)行告警推送，其余時(shí)間段不主動(dòng)推送任何消息。

四、處置層面

包括三個(gè)環(huán)節，即聯(lián)動(dòng)響應、自動(dòng)化響應、應急處置。

1、在聯(lián)動(dòng)響應環(huán)節，包括聯(lián)動(dòng)封鎖、訪(fǎng)問(wèn)控制、一鍵查殺、進(jìn)程取證、快照備份，并且可根據用戶(hù)的需要，自由組合多項措施進(jìn)行處置。

具體而言，當深信服SIP、AF在實(shí)時(shí)監測到勒索攻擊事件后，基于主機實(shí)體行為分析引擎EBA、聯(lián)動(dòng)EDR快速定位出全網(wǎng)失陷主機，執行聯(lián)動(dòng)封堵，如禁止主機對外訪(fǎng)問(wèn)、清除病毒文件。

此外，深信服 EDR 還可對主機訪(fǎng)問(wèn)的惡意域名進(jìn)行取證，定位訪(fǎng)問(wèn)該域名的子進(jìn)程、父進(jìn)程的詳細信息。

此外，深信服“人機共智”MSS安全運營(yíng)服務(wù)為用戶(hù)提供勒索病毒預防與響應專(zhuān)項場(chǎng)景服務(wù)，服務(wù)專(zhuān)家基于安全運營(yíng)中心百余項勒索病毒Checklist，定期開(kāi)展風(fēng)險排查，并協(xié)助用戶(hù)加固；安全運營(yíng)中心 7*24H持續監測確保第一時(shí)間發(fā)現勒索攻擊、感染、傳播行為，第一時(shí)間為用戶(hù)精準預警，服務(wù)專(zhuān)家在線(xiàn)5分鐘響應，高效閉環(huán)勒索病毒事件。

2、在自動(dòng)化響應環(huán)節，針對勒索事件，配置自動(dòng)響應策略，當SIP檢測到勒索事件時(shí)，自動(dòng)根據響應策略，執行封堵，如聯(lián)動(dòng)AF封鎖該目標主機、聯(lián)動(dòng)EDR禁止主機對外訪(fǎng)問(wèn)、聯(lián)動(dòng)EDR清除病毒文件。

3、在應急處置環(huán)節，又細分為四個(gè)環(huán)節，即準備、檢測&分析、遏制&消除&恢復、總結優(yōu)化。

在準備環(huán)節，準備勒索病毒事件分析處理所需的資源，如通信保障、人員配合、工具等；

在檢測&分析環(huán)節，通過(guò)查看系統日志、殺毒軟件告警日志等對勒索攻擊事件進(jìn)行檢測分析，并報告用戶(hù)安全管理人員；

在遏制&消除&恢復環(huán)節，深信服分布式存儲 EDS 嘗試遏制勒索病毒軟件，限制其影響或范圍，同時(shí)收集證據、執行根本原因分析。在根因分析完畢后快速采取措施進(jìn)行根除，幫助用戶(hù)恢復業(yè)務(wù)正常運轉；

在修復完成后，同用戶(hù)一起回顧事件過(guò)程，對事件原因、處置過(guò)程等進(jìn)行復盤(pán)，總結經(jīng)驗，并輸出事件報告。

綜上，深信服認為只有通過(guò)攔截、查殺、監測、處置四個(gè)階段對勒索病毒進(jìn)行精準、快速的閉環(huán)處置，才能構建整體的勒索病毒免疫力。