鸿萌安全小课堂第五讲邀请函:科力锐勒索拦截系统与灾难应急恢复

首页 > 鸿萌动态

时间:2023-09-15 15:19:49

天津鸿萌科贸发展有限公司是科力锐数据安全产品的授权代理商。

科力锐勒索拦截系统设置五道防线,对勒索病毒进行层层拦截。通过采用真实的勒索攻击测试,查看主机文件是否被加密,可以验证其勒索拦截有效性和产品价值。

鸿萌安全小课堂第五讲将由科力锐科技有限公司工程师为大家介绍与演示科力锐勒索拦截系统及灾难应急恢复。名额有限,欢迎致力于数据安全业务的同仁踊跃报名:

第一道防线:已知勒索病毒防护

勒索拦截系统基于已知勒索行为DNA指纹库,针对文件系统层操作系统层、磁盘读写层进行全方位动态追踪检测,快速检测已知勒索病毒。

检测原理:

  1. 通过将某个特定的已知勒索病毒拷贝到无任何防护措施的主机中VM1进行测试,结果显示测试文件被加密,证明勒索病毒真实有效。
  2. 再将该病毒拷贝到传统杀毒软件的主机VM2中,检验现有防护措施有效性;

仅有一款杀毒软件提示报警,证明并不是所有的杀毒软件都能对已知勒索病毒防护,主要取决于规则库的大小,而基于规则库的防护,一定具有滞后性!

  1. 再将该病毒拷贝到刚刚安装勒索拦截系统VM3中,检验勒索拦截系统有效性。

打开测试文件,验证测试文件处于正常状态,随后运行勒索病毒,勒索拦截系统出现弹窗告警:检测到已知勒索病毒,触发已知勒索防护规则,并且已经自动将此病毒阻止并隔离,测试文件也未被加密。说明勒索拦截系统能够对这款已知勒索病毒进行拦截阻断。

第二道防线:未知勒索病毒防护

基于AI智能学习技术,为每个主机建模分析,生成唯一的合法行为DNA特征库,任何非法行为将会触发深度检测及告警,精准识别未知勒索病毒。

检测原理:

1、将客户提供未知勒索病毒拷贝到现有防护措施主机VM2中,检验传统杀毒软件对最新未知病毒的拦截效果;

运行该最新未知勒索病毒,传统杀毒软件未出现弹窗告警。随后点开测试文件,显示被加密无法打开,说明传统杀毒软件无法查杀这款最新未知勒索病毒。

2、再将该病毒拷贝到刚刚安装勒索拦截系统主机VM3中,检验勒索拦截系统对最新未知勒索病毒的拦截效果;

运行该最新未知勒索病毒,勒索拦截系统出现弹窗告警:检测到疑似勒索软件病毒行为,触发未知勒索防护规则。此时,我们也可对此病毒进行阻止、隔离、挂起等操作。随后点开测试文件,显示未被加密,说明勒索拦截系统能够拦截阻断掉这款最新未知勒索病毒。

第三道防线:勒索诱捕拦截

智能部署诱饵文件,发现勒索病毒即生成“诱饵森林”,通过图遍历算法让诱饵文件的读取加密进入循环,阻塞勒索进场,拦截勒索操作。

在部署方式上,传统安全厂商只在关键的文件目录下部署诱饵文件,存在勒索病毒跳过的问题。而科力锐诱饵文件通过静态部署与动态投喂相结合的方式,可有效避免诱饵文件被跳过。针对静态部署而言,除了在临时目录、临时文件夹下不投放诱饵文件,其余文件目录下均会投放诱饵文件,形成诱饵森林,勒索病毒无论加密那个文件目录,均会碰到诱饵文。同时,针对勒索病毒再加密文件时会磁盘遍历这一特性,通过动态投喂的方式,改变多阶B+树关键码指向,将诱饵文件主动投喂给勒索病毒,使得勒索病毒加密时会首先加密诱饵文件。通过静态部署和动态投喂的方式,让勒索病毒无处可逃。

同时,为了避免使用人员的误操作,对诱饵文件做了隐身处理,诱饵文件对于正常操作者来说是不可视的,需要借助能看见文件系统的第三方软件,比如CFF打开目录,才可以看到。

检验重复加密的有效性;

传统的厂商的诱饵文件是一次性的,被加密之后就无效了,抵挡不住多次重复攻击。针对刚刚的文件目录,可以看到诱饵文件是处于被加密的状态,为了验证科力锐诱饵文件重复加密的有效性,我们再去运行另外一款最新的未知勒索病毒。此时诱饵文件以及被加密诱饵文件的修改日期,可以看到是15点59分。随机,再去运行另外一款未知勒索病毒,和刚才一样,出现弹窗告警:已发现未知勒索病毒,触发未知勒索规则,再此查看诱饵文件时间,显示是16点01分,并且原来测试文件也都显示正常,未被加密,说明新的诱饵文件生效,将此未知勒索病毒拦截阻断掉了。证明了重复加密的有效性。

第四道防线:响应处置中心

攻击行为实时上报,处置策略一键下发,高危进程、异常文件、感染主机有效隔离等操作,对威胁快速响应处置。

如今勒索病毒肆虐,有个很重要的原因就是采用了进程注入技术,可以将病毒行为注入到现有合法进程中,模拟现有进程进行加密勒索行为。这也是让很多基于进程黑白名单去做勒索病毒防护失效的技术。进程黑白名单不仅配置起来复杂,需要一个个进程去配置,而且很难防范进程注入、隐藏到正常进程里面的勒索病毒。而我司采用的是进程DNA技术,即进程本身和进程所依赖的环境来共同判断是否是可疑行为。即便是一个已知进程,但是他做出了一些破坏文件的高位行为、他的进程堆栈依赖是不可信是未授权的,我们依然会对其深入检测或者拦截阻断,从而有效防范进程注入、隐藏到进程中的病毒。

第五道防线:可信安全区

可为文件、应用、磁盘提供可信安全保障,非授权不能读、写、删除、拷离可信安全区,非授权无法调用可信安全区内的API接口。

1、目录可信安全区:只能新增文件,无法改写、删除、拷离可信安全区;

将某个文件目录配置为可信安全区之后,那在这个文件目录可信安全区里面,就只能去新增文件,无法对该文件目录里的文件进行改写、删除、以及拷离。适用于历史的财务数据、历史的客户信息/订单信息、PACS业务系统等不需要频繁修改的文件/数据/业务系统等。 同时,为了便于使用人员对于目录里面的文件的首次创建及修改,在管控平台可以设置目录可信安全区允许改写和删除时长,比如设置10分钟,意思就是在10分钟内是允许对该文件改写和删除的,超过这个时间,将不在允许任何程序改写、删除、拷离。

2、应用可信安全区:SQLserver数据库中的数据只能被SQLserver的进程或自定义进程进行改写和删除,恶意程序CFF无法改写

当配置了SQL SERVER数据库为可信安全区后,SQL Server数据库中的数据就只能被SQLserver的进程或者配置的其他进程进行改写和删除,当然是在合法进程环境下,如果SQLserver的进程被注入,也是无法对数据库数据进行改写和删除的。

上一篇: 鸿萌数据安全课堂第四讲: 英方软件及土星云分布式存储
下一篇: 鸿萌安全小课堂第五讲:科力锐勒索拦截系统与灾难应急恢复