CSDN|实战 | 对抗外部威胁防护和勒索病毒，大厂怎么做？( 二 )

本文插图
随之而来的是企业的安全运营工作开展困难，包括统一运营能力缺失、洞悉风险能力缺失、快速响应能力缺失等。当前很多企业并没有这种设备统一管理以及日志统一分析能力，不能有效地聚合成一个安全事件，从而错过最佳的营救时间。
如何有效应对挑战？
针对上述问题，当前客户面临的安全问题从外至内如下图所示，其中大部分问题都来自于网络和端点，故分为网络安全问题和终端安全问题。包括：

访问控制：对外部互联网主机无法进行有效隔离控制，缺乏访问控制等基本手段。
入侵防御：对操作系统、数据库、Web服务等存在的漏洞利用行为无法有效防御。
业务保护：针对业务服务器的攻击，如非法扫描、数据注入、后门植入等攻击无法有效防御。
网站监测：无法持续监测网站篡改、挂马、黑链、漏洞等事件，需要管理员三班倒监控风险。
勒索病毒：无法在网络流量测防御来自邮件、FTP、SMB协议传输，导致的勒索病毒入侵行为。
未知威胁：本地无法识别的未知文件、未知连接、未知域名直接放心，导致内网受到严重危害。
行为监控：内部员工通过U盘、即时通讯等将病毒带入企业内部，无法有效根治。
威胁隔离：受感染主机会快速将病毒扩散到其他内网主机，导致损失进一步扩大。
环境兼容：企业采用虚拟化技术来提供虚拟桌面，虚拟桌面缺乏有效防御威胁的手段。
终端防御：对新型的勒索病毒、挖矿病毒等攻击无法进行有效防御。

本文插图
深信服提出了如下的建设思路：
(1) 安全需要纵深保护
加强安全基础性保障建设，通过设备间协同联动在防御机制上形成合力，包括网络保护、终端安全、协同联动。你可能会疑惑？我们企业购买了防火墙，是不是就意味着安全。其实，买了防火墙只是做了访问控制，买了终端只是做了静态的病毒库，而且更新不具有时效性，这种情况应对现在变化的网络很难有效，所以提出了协同联动的机制，网络和终端通过信息共享，威胁情报互换充分二次校验威胁。
以勒索病毒为例，为什么传统的防护方案总是呢？

第一步，外网到内网的传播

首先在攻击手段上就有很多方式，包括钓鱼邮件、水坑站点、捆绑下载等。

第二步，安装与C&C通信

当我们勒索病毒在我们的服务器爆发之后，它通常都会和互联网的主控台建立反向连接，我们称为C&C互联。接着互联网主控台就会下发一些恶意指令，比如加密文件、回传信息、病毒特征掩饰等。

第三步，漏洞利用提权/加密勒索

程序开始在系统中释放，包括很多操作系统提权操作、代码混淆等。

第四步，横向持续扩散

接着横向传播感染更多的服务器，包括RDP爆破、蠕虫式传播等。

本文插图
所以传统防火墙如果只是做了业务层的访问控制，杀毒仅覆盖已知的病毒库，那很可能方案是失效的。
(2) 安全需要快速处置
第二个主要是安全管理的能力，包括攻击开始、停留时间、响应时间等检测。从扫描入侵开始，如果设备安全能力较足，越早发现越好。同时，从识别到响应也需要一定时间，比如样本提取、样本分析等。威胁清除方法包括：登录防火墙查看安全日志、判断威胁等级及严重性、定位疑似IP及电话询问用户、病毒扫描及定位威胁和事件。如何更好、更快的检测威胁尤为重要。