杰思安全“勒索蠕虫”事件分析及解决方案

  传统处理方案的局限性:

  1、 防火墙封445端口、IPS产品升级防护范围有限。

  此次传播方式是外部侵入,“内部开花”。光从外围边界防火墙封堵445端口或用IPS产品拦截,效果有限。

  对大量不在防火墙/IPS保护范围内的局域网或数据中心内部主机没有作用。

  同时,单机封445端口会影响很多用户文件及打印共享相关的业务服务。

  2、 打补丁费时费力风险高

  此次“勒索蠕虫”基本影响全系统Windows操作系统,涉及补丁种类和主机数量很大。单台机器、单点操作,短时间内很难完成所有的补丁的安装升级。

  同时,很多系统打了补丁后还会出现死机、重启、应用系统异常等问题,风险和影响更大。目前已经有客户反应,在打补丁后,业务系统被异常重启。

  3、 杀毒软件升级和专杀工具响应滞后

  此次“勒索蠕虫”在不到24小时内已出现多个变种,杀毒软件和专杀工具仍然采用升级特征库处理的方式,有一定的滞后性,响应太慢。

  并且,无法对可能潜伏的未知木马或恶意程序进行检测,隐患得不到根本消除。

  同时,专杀工具批量部署和升级因工作量巨大,在较大型网络应用困难。

  杰思安全解决方案及优势

  1、 基于行为检测的广谱拦截

  杰思安全产品在主机上的安全探针会通过智能行为检测,自动识别来自外部对主机的漏洞利用行为,通过实时对系统内核调用的监控分析,拦截由此次漏洞产生的入侵和勒索软件植入,无需打补丁、封端口和禁用服务即可有效应对现有及后续新的未知变种攻击。

  2、 抑制感染主机的扩散传播

  网络内的主机一旦感染此次勒索软件,将成为新的传播扩散源头,继续对网内其他主机进行扫描入侵。因一些感染主机位置不好确定或因为业务需要,不能马上对其进行断网处理,成为网络中的“毒瘤”。当在其上部署杰思安全产品后,会自动抑制其对网络中其他主机的扩散入侵,减少对整体网络的持续性破坏。

  3、 发现与消除伴生隐患风险

  此次“勒索蠕虫”的入侵虽主要以勒索为目的,但其已经在主机系统上撕开了一个口子,后续的各种未知恶意程序会被轻松植入并长期潜伏,为后续持续性攻击做好准备。杰思安全产品的未知威胁检测模型,发现主机系统异常行为和程序的变化点,帮助用户挖出潜伏的未知恶意程序,还用户一个更干净的主机系统。

  4、 轻量化快速部署

  针对这种突发的大范围威胁事件,响应处理争分夺秒。不到5MB的杰思安全主机端安装程序,适用于全系列Windows平台,便于批量快速分发部署,安装后无需配置即时防护。

第 1 /  10 页
点击查看余下全文