《医疗行业勒索病毒的刨析与防范课件.pptx》由会员分享,可在线阅读,更多相关《医疗行业勒索病毒的刨析与防范课件.pptx(29页珍藏版)》请在三一办公上搜索。
1、勒索病毒剖析与防范,主机感染勒索病毒文件后,会在主机上运行勒索程序,遍历本地所有磁盘指定类型文件进行加密操作,加密后文件无法读取。然后生成勒索通知,要求受害者在规定时间内支付一定价值的比特币才能恢复数据,否则会被销毁数据。,什么是勒索病毒?,勒索病毒事件回顾,WannaCry勒索病毒,2017年5月12日WannaCry在全球爆发,勒索病毒使用MS17-010永恒之蓝漏洞进行传播感染。短时间内感染全球30w+用户,包括学校、医疗、政府等各个领域,Globelmposter勒索病毒,首次出现在2017年5月,主要钓鱼邮件传播,期间出现多种变种会利用RDP进行传播 。2018年2月中旬新年开工之际
2、Globelmposter变种再度来袭。,受害者勒索界面,勒索病毒的发展和进化,勒索即服务(RaaS)市场规模年增长 25 倍,无特定目标勒索手段粗糙,AIDS木马世界首例勒索病毒,1989,Archievus木马首次采用非对称加密,LockerPin首例安卓勒索软件,WannaCry军用级漏洞利用,2006,2015,2017,针对特定目标难以解密、追踪15年损失约3.15亿美元,大规模破坏损失2年增长15倍,2019,每14秒一次勒索攻击病毒数量指数级增加损失将达到115亿美元,利用机器学习物联网设备,勒索病毒传播需要植入到受害者主机的常见四种方式,钓鱼邮件,恶意代码伪装在邮件附件中,诱使
3、打开附件典型案例:Locky、Petya变种主要对象:个人PC,蠕虫式传播,通过漏洞和口令进行网络空间中的蠕虫式传播典型案例:WannaCry、Petya变种主要对象无定向,自动传播都有可能,Exploit Kit分发,通过黑色产业链中的Exploit Kit来分发勒索软件典型案例:Cerber主要对象:有漏洞的业务Server,勒索病毒常见传播方式,暴力破解,通过暴力破解RDP端口、SSH端口,数据库端口典型案例:.java 、 Globelmposter变种主要对象:开放远程管理的Server,勒索病毒常见传播方式,微信公众号,Web服务,移动存储工具,勒索病毒运行后对预定的文件类型进行加
4、密,文件加密,完成文件加密后,弹出勒索对话框引起受害者注意,弹框勒索,对内部网络主机进行弱点探测,网络探测,对存在弱点的内网主机进行弱点利用并传播勒索病毒,内网传播,内网传播感染,勒索病毒内网传播方式,勒索病毒攻击演示,勒索病毒的特点和挑战,网络勒索,病毒变异,虚拟货币,传播手段,传统杀软难以检验难以人力收集样本,盈利方式直接难以监管追踪,多种传播手段单一防御检测方法难以应对,勒索病毒预防措施-安全管理制度,建立完善的安全管理制度并严格执行,严格管理互联网访问权限,避免引入外部风险;严格控制内网终端接入移动存储设备,避免引入安全风险;网络管理员应该周期性的使用网络检查设备检查网络或关注和整理网
5、络安全设备生成的日志报表,了解网络是否存在安全风险,及时整改;禁止人为关闭计算机终端防病毒软件等安全软件;私人计算机终端禁止接入医院网络;强制所有安全设备/软件每天更新规则库并每隔一段时间检查更新情况;等等,勒索病毒预防措施-网络层面,根据院内网络实际情况,重新规划安全隔离区域,通过防火墙设备修改配置策略实现区域与区域之间的安全隔离,避免勒索病毒在内网扩散;严格配置外联网络的边界访问控制策略,例如互联网接入区、外联网络接入区等(默认外联机构的网络都是不安全的);关闭不必要的端口访问,仅开放必须的业务端口;加强边界安全防护设备的策略配置,重新检查配置情况,避免因策略配置缺失带来的安全风险;及时更
6、新内外网所有安全设备/安全软件的规则库,目前绝大部分安全产品都是基于特征库匹配的防护模式,更新到最新的规则库有助于防御最新的安全风险;,勒索病毒预防措施-边界隔离,勒索病毒预防措施-系统及应用层面,避免使用弱口令,口令强度要符合规范,并且定期更换,禁止多个终端/服务器使用同一口令;关闭Windows共享服务、远程桌面控制等不必要的服务,仅开放服务器所必需的服务;定期对主机/服务器执行打补丁的操作,确保操作系统时刻处于最新的状态;对重要系统及数据进行定期非本地备份或组建异地灾备平台;不要点击来历不明的邮件正文链接及查看或下载附件信息;,勒索病毒应急处置,“中招”怎么办?,1.隔离感染主机,2.切
7、断传播途径,3. 查找攻击源,4.查杀病毒修复漏洞,已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡;,关闭潜在终端的SMB,RDP端口。关闭异常的外联访问。,抓包分析攻击源,网内查找其他受感染的终端及服务器,查杀病毒,如有漏洞及时打补丁修复漏洞,修改管理员权限帐号口令;,勒索病毒数据恢复,加密原理,1.勒索工具遍历加密文件,2.删除原始文件,只留下加密文件,找到被删除的源文件恢复,1.不同勒索病毒可能采用不同加密算法2.针对大文件勒索病毒为了提升加密效率只加密文件头3.具体加密步骤如下,数据恢复方法,方案一:尝试用数据恢复软件找到被删除的源文件;方案二:通过解密工具破解,解密文件;方案三:通
8、过winhex对比历史文件分析文件头内容恢复方案四:支付赎金恢复数据,部分勒索病毒即便支付攻击者赎金也未必可以解密被勒索文件,勒索病毒的数据恢复难度较大,防范应以预防为主,如下提供几个思路尝试,勒索病毒给我们的启示,安全体系,人工智能,持续对抗,快速响应,事件第一时间响应风险隔离紧急处置持续待命,构建安全体系严格执行实时监控防护策略落地,识别未知风险自动化检测防御提高准确率持续进化,勒索时代前赴后继的黑客新的家族、变种新的攻击方式,攻击投放阻断扩散传播阻断,安全防御-流量防御,勒索病毒阻断,安全防御-威胁感知,数据中心,探针STA,办公区,探针STA,安全感知系统SIS,EDR插件,EDR插件
9、,EDR插件,端点联动,针对大型医疗机构全网自动发现受害主机及服务器,发现潜伏威胁主机,提供安全决策依据;,内网终端及服务器的访问关系梳理,及时发现异常访问流量,访问关系梳理,安全防御-人工智能分析,异常访问行为感知,通过机器学习及大数据人工智能算法,分析内网异常行为,应对未知勒索病毒的攻击行为;,使用安全感知探针方案分析流量可以发现内部潜伏的安全问题。,威胁主机检测,当新型勒索病毒爆发时快速响应,进行针对性的检测与防护,快速响应,阻断勒索病毒攻击中的各个阶段,将勒索病毒御敌于网络之外,流量防御,通过本地、远程手段扫描可能传播勒索病毒或被勒索病毒利用的漏洞或口令脆弱性,事前预防勒索病毒的植入途
10、径,勒索风险安全评估,全方位安全服务,安全防御-应急安全服务,灾备服务-CDP技术实时数据备份,生产服务器,客户端软件,离线存储,前置服务器,灾备管理平台,云端业务验证,本地接管服务器,本地数据中心,IPSec VPN,IPSec VPN,XYClouds,CDP复制,本地CDP复制:秒级数据保护,轻松应对系统中毒、数据被锁云端离线存储:本地系统无法访问,避免云端备份快照被感染应用级别容灾:恢复系统到中毒之前,最大限度还原系统状态云端隔离验证:验证系统安全性,避免已中毒系统再次感染内网,VPC,灾备服务-异地灾备,生产服务器,客户端软件,灾备云,前置服务器,灾备管理平台,云端业务接管,正常的业
11、务访问,切换后的业务访问,本地接管服务器,本地数据中心,IPSec VPN,IPSec VPN,XYClouds,外网用户,内网用户,正常的业务访问,切换后的业务访问,内网应用在本地切换,VPC,域名访问:DNS解析切换,感染,C&C通信,加密勒索,横向传播,下一代防火墙,端点检测响应,安全感知平台,邮件勒索病毒检测,恶意域名DGA,勒索病毒检测进程阻断病毒查杀,SMB解析勒索病毒检测漏洞修复,下一代防火墙,EDR,SIP,勒索病毒,NGAF,NGAF,全网勒索情报,云灾备服务,人工智能引擎,安全专家值守响应,检测防御能力生成,安全云脑,持续对抗,快速响应,全生命周期的勒索防护,勒索病毒防御体系,勒索病毒是一个动态的攻击过程,没有一劳永逸的解决方案,安全需要重新定义,创新安全理念,谢谢,深圳市南山区学苑大道1001号南山智园A1栋Shenzhen nanshan district 1001 xueyuan avenue of nanshan garden A1 building,0755-,深信服官方微信公众号,
