WannaCry(又叫Wanna Decryptor),是一種性質惡劣、危害極大(dà)的電(diàn)腦(nǎo)病毒,主要通(tōng)過郵件、木馬、網頁挂馬等形式進行(xíng)傳播。由于這種病毒利用各種加密算(suàn)法對文件進行(xíng)加密,一旦感染一般無法解密,必須拿(ná)到私鑰才能破解。新統計(jì)數(shù)據顯示,100多(duō)個(gè)國家(jiā)和(hé)地區(qū)超過10萬台電(diàn)腦(nǎo)遭到了勒索病毒攻擊、感染。勒索病毒是自熊貓燒香以來(lái)影(yǐng)響力大(dà)的病毒之一。
WannaCry主要利用了微軟“視(shì)窗”系統的漏洞,以獲得(de)自動傳播的能力,能夠在數(shù)小(xiǎo)時(shí)內(nèi)感染一個(gè)系統內(nèi)的全部電(diàn)腦(nǎo)。該病毒的受害者大(dà)都是行(xíng)業機構和(hé)大(dà)型企業,如果政府、企業及醫(yī)院不注重日常計(jì)算(suàn)機及網絡的安全防護,則後果不堪設想!今天我們就一起來(lái)學習如何在日常避免病毒的感染,及企業應購買哪些(xiē)産品來(lái)保護信息安全。
1. 盡量關閉不必要的端口,如:445、135,139等,對3389,5900等端口可(kě)進行(xíng)白名單配置,隻允許白名單內(nèi)的IP連接登陸;
2. 盡量關閉不必要的文件共享;
3. 采用高(gāo)強度的密碼,避免使用弱口令密碼,并定期更換密碼;
4. 不要點擊來(lái)源不明(míng)的郵件以及附件;
5. 及時(shí)更新系統,更新應用程序,打全系統及應用程序補丁程序;
6. 請(qǐng)注意備份重要文檔。備份的佳做(zuò)法是采取3-2-1規則,即至少(shǎo)做(zuò)三個(gè)副本,用兩種不同格式保存,并将副本放在異地存儲。
務必将所有(yǒu)控制(zhì)點實施深度防禦以阻止勒索軟件傳播。
下面為(wèi)大(dà)家(jiā)介紹幾款賽門(mén)鐵(tiě)克的産品,為(wèi)您的安全保駕護航!
終端:Symantec Endpoint Protection & ATP: Endpoint (EDR)
EDR可(kě)以通(tōng)過深度監控、精準分析和(hé)工作(zuò)流程自動化加快威脅搜索和(hé)響應。
運用人(rén)工智能驅動的分析、調查手冊和(hé)無可(kě)匹敵的威脅情報,及時(shí)檢測、搜索、隔離和(hé)消除所有(yǒu)端點的威脅入侵。
• 高(gāo)級機器(qì)學習技(jì)術(shù)可(kě)檢測多(duō)态惡意軟件
• 模拟器(qì)可(kě)解壓躲避式惡意軟件,同時(shí)行(xíng)為(wèi)分析可(kě)揭示勒索軟件活動
• IPS 會(huì)阻止勒索軟件下載加密密鑰的企圖
• 檢測到勒索軟件時(shí)隔離端點,從而避免橫向移動
• 在所有(yǒu)端點搜索勒索軟件感染迹象
Email:Symantec Messaging Gateway
強大(dà)的高(gāo)級威脅防護和(hé)反垃圾郵件解決方案全面保護您的本地電(diàn)子郵件安全。
• 在文件或文檔內(nèi)執行(xíng)惡意迹象靜态分析
• 發送電(diàn)子郵件前觸發沙盒中潛在的惡意腳本,一旦出現惡意行(xíng)為(wèi)迹象立即阻斷
• 發送電(diàn)子郵件前采用實時(shí)鏈接追蹤技(jì)術(shù)阻止惡意鏈接,并在郵件投遞後單擊鏈接時(shí)立即進行(xíng)分析
Web:Symantec Secure Web Gateway一款高(gāo)級網絡安全雲服務,可(kě)對所有(yǒu)用戶實施一緻的網絡安全和(hé)合規策略,不受任何位置和(hé)設備限制(zhì)。
• 阻斷惡意站(zhàn)點,包括命令和(hé)控制(zhì)服務器(qì)以及加密服務器(qì)
• 利用多(duō)層防護技(jì)術(shù)和(hé)實時(shí)威脅饋送,分析來(lái)自未知 URL 的文件是否存在可(kě)疑行(xíng)為(wèi),從而判斷是否存在勒索軟件活動
• 惡意軟件分析可(kě)查找是否存在勒索軟件特定行(xíng)為(wèi),并在發送前觸發沙盒中的未知文件
工作(zuò)負載:Symantec Data Center Security: Server Advanced
整套的服務器(qì)防護、監控和(hé)工作(zuò)負載微分段,适用于私有(yǒu)雲和(hé)本地數(shù)據中心環境。
• 預置的 IPS 規則可(kě)防止勒索軟件在系統上(shàng)安裝或執行(xíng)可(kě)執行(xíng)文件
• 未采用全面 IPS 防護的客戶可(kě)部署策略以攔截特定的惡意軟件可(kě)執行(xíng)文件
• 應用其他規則攔截所有(yǒu)進站(zhàn)/出站(zhàn) SMB 通(tōng)信
• 還(hái)可(kě)向全局非運行(xíng)列表添加可(kě)執行(xíng)文件哈希值來(lái)阻止勒索軟件
如果不幸感染了病毒,将已中毒的機器(qì)盡快斷網,使用殺毒軟件進行(xíng)查殺。
• 已有(yǒu)SEP的客戶,建議開(kāi)啓SEP IPS模塊,查找和(hé)阻止勒索病毒擴散。
• 推薦購買ATP或者CAS進行(xíng)網絡層的安全防護。
• 針對自建的郵箱服務器(qì),推薦購買SMG進行(xíng)郵件安全防護。
• 針對服務器(qì)無法及時(shí)打補丁的情況,推薦客戶購買DCS:SA進行(xíng)服務器(qì)的安全加固。
