应对频发勒索攻击,山石网科为医疗行业信息化提供全面解决方案
时间:2018-11-06
时间:2018-11-06
导读:随着信息技术的高速发展,医疗行业信息化建设已成为国际发展趋势,更是我国医疗改革的前进方向。但事物总有双面性,在如火如荼的医疗行业信息化发展的背后,信息安全问题始终如影随形。近年来,针对医疗机构的勒索、挖矿、医疗信息泄露等医疗行业信息安全事件层出不穷,医疗信息系统已经成为不法黑客的重点攻击对象之一。
新闻中心
随着信息技术的高速发展,医疗行业信息化建设已成为国际发展趋势,更是我国医疗改革的前进方向。但事物总有双面性,在如火如荼的医疗行业信息化发展的背后,信息安全问题始终如影随形。近年来,针对医疗机构的勒索、挖矿、医疗信息泄露等医疗行业信息安全事件层出不穷,医疗信息系统已经成为不法黑客的重点攻击对象之一。 根据2017年CryptoniteNXT医疗网络研究报告显示,十大医疗机构安全事件中,前6起都是勒索事件。并且在2017发生的针对医疗机构的重大勒索事件就有36起,是2016年的两倍。同时2018年多家医疗机构感染勒索病毒,造成业务系统大面积瘫痪,数据丢失等严重问题。如何保障医疗机构的业务系统稳定运行,有效防止勒索病毒的攻击,是目前医疗行业亟待解决的问题。
对勒索病毒的攻击提供全生命周期的检测和防御手段,保障医疗业务系统的安全性和稳定性。
山石网科勒索软件防御方案
勒索软件等高级威胁往往采用不同的攻击手段,如WannaCry利用了MS17-010漏洞,而其他高级威胁通常会利用垃圾邮件,网站挂马等方式来进行传播,因此单一的防护策略往往无法起到有效的防护效果。
山石网科提出的勒索软件防御方案将勒索软件的生命周期分为攻击前、攻击中、攻击后三个不同的阶段,针对不同阶段的威胁入侵,采用对应防护手段,保证终端设备不受勒索软件的侵犯。
攻击前
开启垃圾邮件过滤服务
山石网科邮件过滤服务提供全球范围内最新的垃圾邮件情报,从发件人、正文内容、URL、附件等多个维度进行分析,能快速、高效对垃圾邮件和钓鱼邮件进行分类检测,拦截通过垃圾邮件进行传播的勒索软件。并且采用邮件哈希与云端交互,不泄露邮件内容,更便捷、安全。
在对象界面,左侧垃圾邮件过滤菜单中,新建防护模板,开启针对垃圾邮件和群发垃圾邮件的防护。
▲启用邮件过滤
开启入侵防御服务
山石网科入侵防御服务是专业的网络入侵攻击检测和防御手段,提供8000+入侵规则,覆盖2-7层,包含被勒索软件广泛利用的漏洞,阻断勒索软利用漏洞进行入侵。
在对象界面,左侧入侵防御菜单中,新建防护模板,开启针对漏洞入侵攻击防护。
▲启用入侵防御
开启IP信誉服务
山石网科IP信誉服务提供高效的风险IP流量过滤,防止暴力破解者、僵尸肉鸡、DDoS攻击者以及垃圾邮件发送者等攻击流量渗透进入企业边界,从勒索软件源头进行防护。
在网络界面,左侧安全域菜单中,编辑安全域,启用边界流量过滤,开启针对网络恶意流量过滤。
▲启用IP信誉
开启恶意站点防护
山石网科病毒过滤服务内置恶意URL样本库,能对用户访问的站点进行管控,阻止用户访问存在勒索软件的恶意站点及钓鱼站点。
在对象界面,左侧病毒过滤菜单中,新建模板,启用恶意网站访问控制。
▲启用恶意站点防护
攻击中
开启病毒过滤服务
山石网科病毒过滤服务是对抗勒索软件家族有效的防护手段,在设备中内置百万级的病毒样本,包括诸多勒索软件家族的特征,在第一时间拦截勒索软件,防止终端设备感染勒索软件。
在对象界面,左侧病毒过滤菜单中,新建防护模板,开启针对已知勒索软件家族进行防护。
▲启用病毒过滤
开启云沙箱服务
山石网科云沙箱服务山石云·影是勒索软件变种检测的有效手段,在云端拥有10亿+海量恶意样本库以及仿真物理分析环境,通过静态样本匹配和动态行为分析,使勒索软件变种无所遁形,并为用户提供威胁检测报告。通过威胁情报共享能力,只要有一台设备检测到了勒索软件变种,那么所有开启云沙箱功能的设备都能进行快速防御。
1)在对象界面,左侧沙箱防护菜单中,新建防护模板,开启勒索软件变种进行防护。
▲启用云沙箱
2)在iCenter界面,右上威胁菜单中,可以查看右云沙箱提供的未知威胁检测报告。
▲云沙箱检测报告
攻击后
开启僵尸网络C2防御服务
山石网科僵尸网络C2防御服务能够监控企业内网中的CC连接行为,发现内网受感染主机,防止僵尸网络/勒索软件等高级威胁进一步破坏企业内网。
在对象界面,左侧僵尸网络C&C防御菜单中,新建防护模板,开启针对内网僵尸主机C2行为进行防护。
▲启用僵尸网络C2防御
山石网科内网威胁检测方案
山石网科内网威胁检测方案,通过部署山石智·感(智能内网威胁感知系统),无需依赖于静态的病毒签名匹配检测,而是通过机器学习和行为分析等多种智能安全技术进行全方位、多维度的内网未知威胁检测,在病毒爆发的第一时间发现威胁并通知管理员采取行动。
部署山石智·感后,开启两大智能安全功能,具体细节如下:
▲开启智能安全功能
高级威胁检测:实时分析勒索软件的网络行为并提取其恶意行为纳入行为特征库中,一旦勒索软件发生变种,山石智·感将实时采集恶意软件的网络行为与已提取的恶意行为作对比,一旦匹配成功就证明该恶意软件是已知某种勒索软件的变种。如下图所示,该主机产生的网络行为与蠕虫病毒Win32.Butileg的恶意行为相匹配,所以证明该主机感染了Worm/Win32.Butileg的变种病毒。
▲高级威胁检测
异常行为分析:山石智·感通过机器学习为内网中的电脑和服务器建立行为模型,根据每台主机不同的网络行为量身定制行为模型并设定安全阈值,实时监测主机是否发生异常。如下图所示,主机在某个时间段内收到了大量的TCP-RST包,大幅度超出正常值,且山石智·感通过联动终端部署的sysmon服务定位到该主机使用了Nmap工具向内网发起了端口扫描,所以可以判定为主机发生了异常。
▲异常行为分析
▲威胁溯源
对勒索病毒的攻击提供全生命周期的检测和防御手段,保障医疗业务系统的安全性和稳定性。
山石网科勒索软件防御方案
勒索软件等高级威胁往往采用不同的攻击手段,如WannaCry利用了MS17-010漏洞,而其他高级威胁通常会利用垃圾邮件,网站挂马等方式来进行传播,因此单一的防护策略往往无法起到有效的防护效果。
山石网科提出的勒索软件防御方案将勒索软件的生命周期分为攻击前、攻击中、攻击后三个不同的阶段,针对不同阶段的威胁入侵,采用对应防护手段,保证终端设备不受勒索软件的侵犯。
攻击前
开启垃圾邮件过滤服务
山石网科邮件过滤服务提供全球范围内最新的垃圾邮件情报,从发件人、正文内容、URL、附件等多个维度进行分析,能快速、高效对垃圾邮件和钓鱼邮件进行分类检测,拦截通过垃圾邮件进行传播的勒索软件。并且采用邮件哈希与云端交互,不泄露邮件内容,更便捷、安全。
在对象界面,左侧垃圾邮件过滤菜单中,新建防护模板,开启针对垃圾邮件和群发垃圾邮件的防护。
▲启用邮件过滤
开启入侵防御服务
山石网科入侵防御服务是专业的网络入侵攻击检测和防御手段,提供8000+入侵规则,覆盖2-7层,包含被勒索软件广泛利用的漏洞,阻断勒索软利用漏洞进行入侵。
在对象界面,左侧入侵防御菜单中,新建防护模板,开启针对漏洞入侵攻击防护。
▲启用入侵防御
开启IP信誉服务
山石网科IP信誉服务提供高效的风险IP流量过滤,防止暴力破解者、僵尸肉鸡、DDoS攻击者以及垃圾邮件发送者等攻击流量渗透进入企业边界,从勒索软件源头进行防护。
在网络界面,左侧安全域菜单中,编辑安全域,启用边界流量过滤,开启针对网络恶意流量过滤。
▲启用IP信誉
开启恶意站点防护
山石网科病毒过滤服务内置恶意URL样本库,能对用户访问的站点进行管控,阻止用户访问存在勒索软件的恶意站点及钓鱼站点。
在对象界面,左侧病毒过滤菜单中,新建模板,启用恶意网站访问控制。
▲启用恶意站点防护
攻击中
开启病毒过滤服务
山石网科病毒过滤服务是对抗勒索软件家族有效的防护手段,在设备中内置百万级的病毒样本,包括诸多勒索软件家族的特征,在第一时间拦截勒索软件,防止终端设备感染勒索软件。
在对象界面,左侧病毒过滤菜单中,新建防护模板,开启针对已知勒索软件家族进行防护。
▲启用病毒过滤
开启云沙箱服务
山石网科云沙箱服务山石云·影是勒索软件变种检测的有效手段,在云端拥有10亿+海量恶意样本库以及仿真物理分析环境,通过静态样本匹配和动态行为分析,使勒索软件变种无所遁形,并为用户提供威胁检测报告。通过威胁情报共享能力,只要有一台设备检测到了勒索软件变种,那么所有开启云沙箱功能的设备都能进行快速防御。
1)在对象界面,左侧沙箱防护菜单中,新建防护模板,开启勒索软件变种进行防护。
▲启用云沙箱
2)在iCenter界面,右上威胁菜单中,可以查看右云沙箱提供的未知威胁检测报告。
▲云沙箱检测报告
攻击后
开启僵尸网络C2防御服务
山石网科僵尸网络C2防御服务能够监控企业内网中的CC连接行为,发现内网受感染主机,防止僵尸网络/勒索软件等高级威胁进一步破坏企业内网。
在对象界面,左侧僵尸网络C&C防御菜单中,新建防护模板,开启针对内网僵尸主机C2行为进行防护。
▲启用僵尸网络C2防御
山石网科内网威胁检测方案
山石网科内网威胁检测方案,通过部署山石智·感(智能内网威胁感知系统),无需依赖于静态的病毒签名匹配检测,而是通过机器学习和行为分析等多种智能安全技术进行全方位、多维度的内网未知威胁检测,在病毒爆发的第一时间发现威胁并通知管理员采取行动。
部署山石智·感后,开启两大智能安全功能,具体细节如下:
▲开启智能安全功能
高级威胁检测:实时分析勒索软件的网络行为并提取其恶意行为纳入行为特征库中,一旦勒索软件发生变种,山石智·感将实时采集恶意软件的网络行为与已提取的恶意行为作对比,一旦匹配成功就证明该恶意软件是已知某种勒索软件的变种。如下图所示,该主机产生的网络行为与蠕虫病毒Win32.Butileg的恶意行为相匹配,所以证明该主机感染了Worm/Win32.Butileg的变种病毒。
▲高级威胁检测
异常行为分析:山石智·感通过机器学习为内网中的电脑和服务器建立行为模型,根据每台主机不同的网络行为量身定制行为模型并设定安全阈值,实时监测主机是否发生异常。如下图所示,主机在某个时间段内收到了大量的TCP-RST包,大幅度超出正常值,且山石智·感通过联动终端部署的sysmon服务定位到该主机使用了Nmap工具向内网发起了端口扫描,所以可以判定为主机发生了异常。
▲异常行为分析
▲威胁溯源
VMware 虚似化
- 2018-05-09超融合隐型数据中心介绍
- 2018-05-09Nutanix NX-1050、3050、3060硬件概览
- 2018-05-09什么是超融合解决方案中的Web-Scale
- 2018-05-09使用超融合Nutanix管理企业关键应用
- 2018-05-07深信服超融合解决方案
系统集成/网络安全
- 2019-01-18智慧医院网络安全建设新思路
- 2018-11-08山石网科助力建设安全可控的区域卫生信息平台
- 2018-11-06应对频发勒索攻击,山石网科为医疗行业信息化提供全面解决方案
- 2017-06-05透过防火墙迷雾看清威胁形势
- 2016-05-20企业WEB应用防火墙解决方案