搜索
搜索

關于

/
/
他山之石 | 勒索軟件如何破,數據檢測響應是解藥
全部分類

他山之石 | 勒索軟件如何破,數據檢測響應是解藥

  • 分類:公司新聞
  • 作者:
  • 來源:
  • 發布時間:2020-03-09 12:52
  • 訪問量:

【概要描述】

他山之石 | 勒索軟件如何破,數據檢測響應是解藥

【概要描述】

  • 分類:公司新聞
  • 作者:
  • 來源:
  • 發布時間:2020-03-09 12:52
  • 訪問量:
詳情
 
近幾年來,針對數據的竊密、破壞和毀癱等威脅越來越突出,數據安全已經成為網絡安全體系中的重中之重。眾所周知,數據安全主要包括私密性、可用性和完整性三個方面,相對而言,目前針對數據完整性的安全考慮還較為薄弱。
 
2020年1月,美國國家標準與技術研究院(National Institute of Standards and Technology,NIST)發布數據安全標準草案SP1800-26《數據完整性-檢測和響應勒索軟件及其他破壞性事件》(SP1800系列屬于網絡安全實踐指南類標準),為檢測響應數據在存儲、處理和傳輸過程中的未授權更改,也就是數據完整性方面提供了體系化防護措施。
 
Part.1
 體系結構 
 
網絡安全體系框架應覆蓋識別、防護、檢測、響應和恢復全過程,其中,數據完整性檢測和響應頂層體系結構如下圖所示。
 
 
完整性監控提供了將當前系統狀態與確定安全基線相比較的能力。
 
事件檢測提供了檢測正在發生安全事件的能力,可以由入侵檢測、惡意軟件檢測和用戶異常檢測等系統組成,一般根據威脅模型確定。
 
日志記錄并存儲組織內各組件生成的所有日志信息。
 
取證/分析提供了探測/分析組織內日志的能力,并從中提取有價值的信息。
 
緩解和遏制是利用響應處置手段應對惡意事件,遏制或限制惡意事件造成的影響。
 
報告提供了報告組織內所有活動的能力,供安全團隊分析使用。
 
Part.2
 在各場景中的應用 
 
場景1:通過Web傳播的勒索軟件
 
用戶從外部Web服務器下載勒索軟件,該軟件利用特權升級漏洞在網絡中傳播,并對計算機上的文件進行加密,并要求付費以換取文件解密。
 
應對策略:“事件檢測”檢測惡意軟件,生成日志和警報,另外還檢測可疑網絡行為?!熬徑夂投糁啤敝兄估账鬈浖绦?,并從系統中刪除,另外隔離檢測到惡意活動后的網絡行為?!巴暾员O控”收集文件的更改,包括勒索軟件更改及首次創建或下載到系統?!叭罩尽睂ο嚓P日志聚合以識別攻擊范圍?!皥蟾妗笔褂萌罩拘畔⑻嵘憫幹脮r間?!叭∽C/分析”分析事件以加強對未來攻擊的防御。
 
場景2:通過USB傳播的惡意軟件
 
用戶在計算機上使用USB設備,USB設備中包含自動運行或與用戶交互的惡意軟件,該軟件可修改和刪除用戶計算機上的文件。
 
應對策略:“完整性監控”檢測文件系統更改,記錄變更和刪除日志?!叭罩尽睆牟僮飨到y和完整性監控等收集日志信息?!笆录z測”檢測USB設備的插入行為,以及文件執行操作?!熬徑夂投糁啤蓖V箞绦袗阂馕募?,刪除USB設備上的惡意文件。
 
場景3:通過維護腳本意外刪除虛擬機
 
系統例行維護腳本產生錯誤,例如在Hyper-V系統執行遷移操作,腳本刪除了一個重要的虛擬機(VM),可能是系統意外或人為錯誤造成。
 
應對策略:“完整性監控”檢測虛擬機配置更改和VM刪除?!叭罩尽笔占@些事件?!叭∽C/分析”提供事后分析事件的能力,使安全團隊能夠理解影響、解決腳本中的錯誤,并通知啟動恢復過程。
 
場景4:通過電子郵件創建后門
 
用戶打開了帶有惡意附件的電子郵件,該附件運行時從外部Web服務器獲取文件,然后在身份驗證服務器上創建后門賬戶。
 
應對策略:“完整性監控”將文件更改和活動目錄更改的日志轉發到“日志”功能,用于檢測惡意附件下載和帳戶結構更改?!叭罩尽焙汀皥蟾妗被谑录峁┚瘓?讓安全團隊迅速采取行動解決?!笆录z測”在附件到達用戶收件箱之前和附件下載到系統之后的兩個時間點提供檢測?!熬徑夂投糁啤痹诟郊竭_之前用戶的收件箱以用戶系統前進行緩解?!叭∽C/分析”通過查看網絡流量獲取惡意文件。
 
另外,文檔還列舉了惡意內部人員修改數據庫、惡意內部人員修改文件、通過受損的更新服務器創建后門3個場景下的應用。
 
Part.3
 相關安全工具 
 
SP1800-26中給出了各組件相關工具產品及主要功能,如下表所示。
 
 
 
Part.4
 網御星云解決方案 
 
網御星云內網安全管理系統,是網御星云自主研發的業界領先的網絡和數據安全管理產品。與傳統內網安全管理系統相比,本系統創新地將原來相互獨立的傳統桌面管理、終端數據防泄露和終端防病毒等功能整合成為一套系統,實現真正統一的終端數據管理平臺。在滿足客戶合規需求基礎上,同時解決了數據完整性安全等問題。
 
網御星云內網安全管理系統,同時具備終端基線管理、終端加固、準入控制、非法外聯、主機防火墻、終端審計、軟件/補丁分發、外接及移動存儲管理、終端防病毒和數據防泄露等方面能力,實現了上述完整性監控、事件檢測、日志、取證分析、緩解遏制和報告等,能夠抵御勒索軟件等惡意事件的侵害,助力組織構建高效、安全的終端數據管控體系。
 

掃二維碼用手機看

這是描述信息

服務熱線:
400-810-7766 (24H)
E-mail:

shfw@leadsec.com.cn
地址:
北京市海淀區東北旺西路8號中關村軟件園21號

  • 抖音
    抖音
  • 微信
    微信
  • 微博
    微信

版權所有:北京網御星云信息技術有限公司    京ICP備05080314號     

這是描述信息
永盛游戏官网