客户经常面临被勒索病毒攻击现状:
a.事前:可能被勒索病毒攻击的暴露面,无法提前发现并加固,比如勒索常用端口开放(445、3389等),存在勒索常用高危漏洞(永恒之蓝),使用勒索高危组件(Weblogic),90%以上的勒索病毒都是通过这些暴露点攻击进来的
b.事中:针对勒索的慢速口令爆破攻击难以防护
c.事后:
①勒索病毒潜伏:传统杀毒只做文件主机行为,深信服是结合网络行为和终端文件进行分析,除了主机行为查杀,还有网络行为查杀(防火墙重点),勒索、挖矿等这类事件往往只能在爆发前期通过网络通信行为(内部攻击、黑客控制行为)发现;
②无文件攻击:杀毒软件因为担心误判,对一些白进程和文件默认是不检查和处置的,这就给黑客利用机会,通过代码注入手法绕过检测(无文件攻击),这种攻击手法只能通过网络行为分析并配合终端的审计来抓到真正的恶意后门
铭冠网安下一代防火墙AF+终端安全监测响应EDR网端联动解决方案:
A.勒索专项运营
针对业界高危的勒索病毒,从事前勒索暴露面管理(勒索常用端口开放、勒索常用高危漏洞或组件、弱口令),事中应对勒索病毒攻击的对抗(勒索高危漏洞攻击、慢速口令爆破、访问恶意URL、下载恶意软件、钓鱼邮件),事后的联动EDR,通过网络行为查处潜伏的勒索病毒,联动EDR快速隔离处置。
勒索专项运营
B.网络行为查处
AF通过恶意网络行为发现,并联动终端响应模块进行关联溯源,定位出真正存在异常的文件或黑客后门。
网络行为查处
C.远程处置,自动免疫
远程快速查杀:AF联动端点情报,准确定位出有可疑网络行为的终端、以及终端上的可疑进程、文件,配合云端威胁情报,对风险进行判断以及远程处置。
重复问题自动免疫:对于已确认的问题,生成“智能工作流”,下次再发现同样问题,能够自动处理。
防火墙远程一键处置
自动隔离关联恶意域名的文件/进程
铭冠网安下一代防火墙AF+终端安全监测响应EDR网端联动方案优势
下一代防火墙通过叠加了EDR作为防火墙的响应组件,通过网络行为查处,可以发现更多终端威胁,同时快速联动处置;
同时针对勒索病毒,新增了【勒索专项运营】模块,从事前勒索暴露面管理,事中防御能力提升,事后的检测与响应处置,全面防护勒索病毒。
