中兴通讯积极应对,在病毒爆发的最初一刻就敏锐地察觉到了危险,第一时间给出了uSmartDC中兴通讯云数据中心基于端点防御技术的防勒索解决方案,最大限度保证客户的系统安全,全力维护客户的利益。
中兴通讯认为针对当前高发的勒索攻击,仅边界安全方案已不可靠。uSmartDC作为中兴通讯云数据中心整体解决方案,通过集成防勒索攻击安全控制模块,提供了基于端点防护的防勒索功能。防勒索安全控制模块实现了统一安全策略配置和下发、勒索行为的预警和文件堡垒管理等功能,弥补了边界防护的不足,保护了客户的数据安全。
中兴通讯uSmartDC云数据中心
防勒索部署方案
防勒索对抗系统与数据中心的租户安全方案结合,采用端点探针,租户安全管理节点,防勒索管理节点的方式部署。
端点探针:在端点层(物理机、虚拟机)部署轻量级行为监测探针,通过对端点操作和进程行为的时间序列自学习建立端点行为基线库,对操作/进程行为进行甄别、并匹配勒索行为样本库定义实现对威胁态势实时分析和感知,可按策略对攻击行为执行阻断。
租户安全管理节点:提供租户的策略配置,勒索行为预警及上报,文件堡垒管理等功能。
防勒索管理节点:提供统一的策略配置和下发,勒索行为的预警,和文件堡垒的管理功能。
uSmartDC云数据中心防勒索解决方案基于操作和进程行为特征分析进行勒索攻击检测,能实时阻断勒索。文件堡垒对勒索攻击前未感染用户文件的预知性备份,阻断查杀完成后,按需恢复。做到了攻击前备份,日常检测,预警,阻杀,及恢复,是业界第一个具备全流程防勒索功能的云数据中心解决方案。
与传统的特征代码检测法,校验和法,软件模拟法相比,uSmartDC中兴通讯云数据中心防勒索方案的行为检测法可发现未知勒索病毒及其变种、可精准地预报未知病毒并第一时间阻止勒索行为。基于一定规模的恶意代码行为库,能够对系统内核、驱动、进程、指令等诸多对象进行跨时空数据分析。
中兴通讯uSmartDC云数据中心
防勒索原理
- 如何检测
勒索阻击的前提是检测,勒索攻击存在共同且比较特殊的行为,监测行为特征通常包括: INT 13H异常占用;修改系统为数据区的内存总量;对COM、EXE文件做写入动作;病毒程序与宿主程序的切换;文件浏览及异常加密等操作。
端点探针自带勒索行为特征库,将检测到的可疑行为与勒索行为特征库作加权比对,用以确定该行为的可疑与否。开启该功能,将直接阻拦可疑勒索行为,关闭则仅执行可疑勒索行为搜集而不作判断和阻拦;端点探针具有操作和进程行为的自动学习能力,提高攻击行为判断灵敏度,减少误判。
通过向用户提供自行定义检测行为和预警推送的接口,扩充了检测内容和范围,并能定期向用户推送勒索威胁预警。
5/12大爆发的WannaCry勒索软件的报警截图
- 如何阻击
端点探针通过勒索网络回连协议自动识别阻断勒索回连;对异常内网复制行为识别,与“内网连接通道阻断”联动以阻止异常复制行为;对于未知漏洞(0-day),基于攻击行为特征库结合恶意代码的行为分析等判定攻击的可疑行为,以导致的结果为判断依据,若判断为攻击则及时阻断。
提权阻断,并发出警报- 如何备份
非授权文件浏览,创建或修改指定功能类型文件,文件夹的异常浏览轨迹,未许可新进程创建记录等异常行为通常发生于勒索病毒感染过程中,通过上述行为的记录并进行后台的行为分析甄别,可事先预判可能发生的勒索事件,并预知性地把即将被该进程读写的文件复制到文件堡垒。对在勒索阻断之前某些可能已经被恶意加密的少数文件,在阻断查杀完成后,可按需要由文件堡垒恢复数据。
中兴通讯uSmartDC云数据中心
防勒索方案亮点
- 端点防护,边界防御的有力补充
在端点层(物理机、虚拟机)部署轻量级行为监测探针对用户/进程行为甄别,弥补边界防御的不足。
- 文件堡垒,将损失降到最低
文件堡垒提供了勒索预判功能,在可疑情况下,将文件预先备份,尽可能的减少勒索损失。
- 行为分析,防患于未然
基于操作/进程的行为分析,发现未知漏洞,攻击行为判断灵敏,阻拦0DAY攻击。
- 安全中心,全方位防控视图
集中的安全管理中心,安全数据,告警信息一目了然。
中兴通讯作为云安全联盟全球企业会员,一直重视云数据中心的安全问题,把安全作为重中之重,并通过了可信云认证,得到了外部权威机构的安全认证。中兴通讯将继续聚焦客户,全面及时保障客户的数据安全。
