伴隨著互聯網的深入發展,以勒索軟件為代表的惡性網絡攻擊事件日漸增多,如WannaCry勒索軟件及其變種自2017年5月份以來在全球范圍內大規模肆虐,百余個國家的網絡和重要數據曾遭到破壞。
近日,美國最大的輸油管道商Colonial Pipeline遭遇了來自勒索軟件的網絡攻擊,被迫緊急下線關閉部分網絡設備,導致美國東部沿海各州供油的關鍵燃油網絡陷入癱瘓,美國也因此宣布進入國家緊急狀態。
該事件的發生再一次為人們敲響網絡安全的警鐘:企業網絡安全防護時刻不能松懈!
受類似事件影響,近年來國家不斷完善網絡安全相關立法,從法律層面對網絡安全管理、數據安全管理等提出了更高的要求規范。在金融、電信、醫療、電力、制造等關系國計民生的重要行業大力推廣網絡安全建設,通過多年的努力,企業防勒索軟件攻擊的能力得到顯著提升。
知識拓展:勒索軟件的基本原理是將病毒代碼偽裝后利用系統軟/硬件漏洞、軟件供應鏈攻擊、蠕蟲病毒、無文件攻擊技術等非法手段,盡可能廣泛的傳播并感染終端電腦。一旦感染終端后立即對本地文件進行不可逆加密,對用戶數據造成無法預估的損失;同時感染終端會主動掃描局域網內的其它終端進行傳播,對企業正常的生產、運營造成重大挑戰。
作為國內信息安全技術企業的代表廠,明朝萬達在WannaCry勒索軟件傳播伊始便投入了安元實驗室的骨干研究員對其原理與運行機制進入了深入分析。
信息專家通過分析勒索軟件本身的執行過程得知,勒索軟件對文件進行加密的前提是必須擁有文件的編輯權限。對于文件的編輯權限,操作系統目前提供了兩層管理機制:第一層是基于用戶的管理,鑒于目前終端登錄用戶基本都是運行在最高權限,勒索軟件基本上可以直接利用此權限進行破壞,無法進行有效的管控;第二層是進程對文件的權限,當進程對文件進行操作時可以對其操作權限進行控制,可以在本層面上對勒索軟件進行防護。
在深入分析勒索軟件的工作原理的基礎上,公司基于“主動防御,徹底阻斷”的設計思路,于2017年底正式推出了針對性的防護產品:Chinasec(安元)數據安全保鏢。
本產品將重要路徑下的文件與合法進程綁定,只有合法進程才能夠擁有文件的所有操作權限,非法進程無法對目標文件進行編輯,繼而達到防止勒索軟件進程對文件進行破壞的目的。
產品功能
產品支持將終端上的關鍵目錄設置為安全防護目錄,只有白名單進程可以對防護目錄中的文件執行讀寫等文件操作,其它任何進程對防護目錄下的文件只有讀權限。這樣就阻斷了勒索軟件對防護目錄的文件內容進行非法加密的攻擊鏈,達到對防護目錄中文件的保護目標。
支持對當前終端上防護目錄的添加、修改與刪除、啟用與停用等控制功能;支持對白名單進程進行添加、修改與刪除功能。
支持對終端進程訪問受保護路徑的文件進行日志記錄,并著重審計非白名單進程對防護目錄中文件的讀取情況。
支持通過客戶端首頁展示當前終端的安全防護記錄情況,支持展示終端安全防護路徑數量、白名單進程數量、防御的非法操作次數等信息。
產品特性
產品基于勒索軟件對文件的操作行為出發,摒棄傳統針對病毒特征繁瑣的偵測判定方法,禁止了一切可疑進程對文件的操作,無論是已知病毒或是未知病毒,都無法對文件造成損害。
產品是針對防護路徑做了有效的權限防護,和防護路徑下的文件格式無關。對于特殊的文件格式也無需進行定制化的適配。
產品在使用過程中只需要設置簡單的防護路徑、白名單進程列表等策略即可達到防御效果,使用簡便。
