医疗行业-勒索病毒的刨析与防范v2.2.pptxVIP

勒索病毒剖析与防范01勒索病毒原理勒索病毒事件回顾什么是勒索病毒？主机感染勒索病毒文件后，会在主机上运行勒索程序，遍历本地所有磁盘指定类型文件进行加密操作，加密后文件无法读取。然后生成勒索通知，要求受害者在规定时间内支付一定价值的比特币才能恢复数据，否则会被销毁数据。WannaCry勒索病毒Globelmposter勒索病毒2017年5月12日WannaCry在全球爆发，勒索病毒使用MS17-010永恒之蓝漏洞进行传播感染。短时间内感染全球30w+用户，包括学校、医疗、政府等各个领域首次出现在2017年5月，主要钓鱼邮件传播，期间出现多种变种会利用RDP进行传播 。2018年2月中旬新年开工之际Globelmposter变种再度来袭。受害者勒索界面勒索病毒的发展和进化WannaCry军用级漏洞利用Archievus木马首次采用非对称加密AIDS木马世界首例勒索病毒LockerPin首例安卓勒索软件利用机器学习物联网设备……20172019198920062015大规模破坏损失2年增长15倍针对特定目标难以解密、追踪15年损失约3.15亿美元每14秒一次勒索攻击病毒数量指数级增加损失将达到115亿美元无特定目标勒索手段粗糙勒索即服务（RaaS）市场规模年增长 25 倍勒索病毒常见传播方式 勒索病毒传播需要植入到受害者主机的常见四种方式钓鱼邮件蠕虫式传播Exploit Kit分发暴力破解通过黑色产业链中的Exploit Kit来分发勒索软件典型案例：Cerber主要对象：有漏洞的业务Server恶意代码伪装在邮件附件中，诱使打开附件典型案例：Locky、Petya变种主要对象：个人PC通过暴力破解RDP端口、SSH端口，数据库端口典型案例：.java 、 Globelmposter变种主要对象：开放远程管理的Server通过漏洞和口令进行网络空间中的蠕虫式传播典型案例：WannaCry、Petya变种主要对象无定向，自动传播都有可能勒索病毒常见传播方式钓鱼邮件暴力破解0Day漏洞社工攻击INTERNET 边界防护 微信公众号Web服务 边界防护 网闸 终端响应 医院外网 医院内网 移动存储工具勒索病毒内网传播方式内网传播感染内网传播网络探测文件加密弹框勒索对存在弱点的内网主机进行弱点利用并传播勒索病毒对内部网络主机进行弱点探测勒索病毒运行后对预定的文件类型进行加密完成文件加密后，弹出勒索对话框引起受害者注意勒索病毒攻击演示勒索病毒的特点和挑战盈利方式直接难以监管追踪虚拟货币病毒变异网络勒索传播手段传统杀软难以检验难以人力收集样本多种传播手段单一防御检测方法难以应对02勒索病毒应急处置与加固勒索病毒预防措施----安全管理制度建立完善的安全管理制度并严格执行严格管理互联网访问权限，避免引入外部风险；严格控制内网终端接入移动存储设备，避免引入安全风险；网络管理员应该周期性的使用网络检查设备检查网络或关注和整理网络安全设备生成的日志报表，了解网络是否存在安全风险，及时整改；禁止人为关闭计算机终端防病毒软件等安全软件；私人计算机终端禁止接入医院网络；强制所有安全设备/软件每天更新规则库并每隔一段时间检查更新情况；等等……勒索病毒预防措施----网络层面根据院内网络实际情况，重新规划安全隔离区域，通过防火墙设备修改配置策略实现区域与区域之间的安全隔离，避免勒索病毒在内网扩散；严格配置外联网络的边界访问控制策略，例如互联网接入区、外联网络接入区等（默认外联机构的网络都是不安全的）；关闭不必要的端口访问，仅开放必须的业务端口；加强边界安全防护设备的策略配置，重新检查配置情况，避免因策略配置缺失带来的安全风险；及时更新内外网所有安全设备/安全软件的规则库，目前绝大部分安全产品都是基于特征库匹配的防护模式，更新到最新的规则库有助于防御最新的安全风险；勒索病毒预防措施----边界隔离深信服 —— 医院整体数据中心拓扑图 灾备数据中心灾备数据中心灾备数据中心生产数据中心生产数据中心生产数据中心 医联体-区县医院医联体-区县医院安全访问安全访问安全访问安全访问ISP1ISP1ISP1ISP1ISP1ISP2ISP2ISP2ISP2ISP2交换机交换机交换机交换机万兆网络万兆网络万兆网络万兆网络 下代防火墙下代防火墙下代防火墙下代防火墙ISP1 网络总体出口网络总体出口网络总体出口网络总体出口网络总体出口千兆网络千兆网络千兆网络千兆网络ISP1住院部门诊部急诊楼住院部门诊部急诊楼住院部门诊部急诊楼住院部门诊部急诊楼 医联体医院-1医联体医院-1住院部门诊部急诊楼上网行为管理上网行为管理上网行为管理上网行为管理应用交付应用交付应用交付应用交付 外网交换网络外网交换网络 WEB、手机APPWE