1、勒索病毒入侵行为分析

Ø 探测扫描：在攻击前期，黑客会对用户的互联网出口及对外业务发起踩点扫描，寻求防护漏洞，以利用发起攻击；

Ø 入侵突破：黑客发现可利用漏洞或风险后，发起针对性利用攻击，突破边界防护，并侵入主机终端，上传 勒索病毒；

Ø C&C通信：勒索病毒一般都存在远程控制端，病毒需要与控制端进行远程通信，实现黑客远程控制的目的；

Ø 加密勒索：在拿到大量资产后，勒索病毒会集中式全面爆发，对系统目录所有文件进行快速加密，开始勒索。

2、结合勒索病毒行为特征的针对性防护思路

Ø 预防：在攻击发生前，需要整体梳理实时定位内网风险，对风险进行针对解决，如风险端口、漏 洞、授权、备份等；

Ø 防御：对扫描、风险利用攻击、病毒、暴力破解等多种非法攻击手段进行全面防护，阻止病毒进 入内网；

Ø 检测：结合沙箱、人工智能病毒查杀引擎、流量行为分析等方式对.上传文件、异常通信、文件非 法操作行为进行检测；

Ø 响应： 一体化响应模型，在各个流程一旦发现勒索病毒，能智能化的自动进行如告警、隔离、查 杀等响应动作；

Ø 恢复：建立完善的数据备份恢复机制，采用增量备份的方式，可恢复至病毒爆发前一周任意时间点的数据。

网络边界安全防护：使用下一代防火墙（AF），构建边界L2一7的完整防御体系，提供各 类漏洞检测与防护，风险端口检测、恶意软件的过滤，僵尸网络和DDOS攻击检测，为用户网络 边界提供全面的安全防护。

终端的安全防护：终端检测响应平台（EDR），可提供终端的病毒查杀、入侵防御、漏洞 管理、快速响应等多种防护功能，平台集成基因检测、沙箱检测、机器学习与预测等多种新型 检测引擎，实现勒索病毒的高检出和准确率。

相比传统杀毒引擎，SAVE引擎采用了人工智能无特征技术，对不在病毒库里的未知病毒或变种，也能有效地鉴定。       创新微隔离技术，有效应对高级威胁快速传播，将病毒遏制在指定范围之 内，使信息系统环境可控性大大提高。

全网安全运营：安全态势感知平台采用大数据分析架构，通过采集全网安全流量、设备 安全日志融合联动分析，结合人工智能、机器学习、UEBA分析技术，对全网安全态势集中分析 展示，辅助用户定位安全风险、安全事件、失陷主机及反向溯源，构建集团和分支单位全网安 全运营中心，让勒索病毒无处遁形。   

    安全感知平台定位为客户的安全大脑，是一个检测、预警、响应处置的大数据安全分析平台。其以全流量分析为核心，结合威胁情报、行为分析建模、UEBA、失陷主机检测、图关联分析、机器学习、大数据关联分析、可视化等技术，对全网流量实现全网业务可视化、威胁可视化、攻击与可疑流量可视化等，帮助客户在高级威胁入侵之后，损失发生之前及时发现威胁。

联动响应防护体系：态势感知除了采集全网流量日志做集中运营分析，在发现问题后， 还可智能联动如防火墙、行为管理、EDR等安全设备进行自动化安全事件处置及阻断、隔离等， 真正实现安全智能免疫体系。

终端诱饵与全网肃杀： EDR针对勒索病毒，特意开发了针对性的解决功能，通过在内网资 产操作系统的文件目录中插入诱饵文件，捕获勒索病毒加密行为，一旦发现诱饵文件被加密， 立即终止所有文件操作，反向定位勒索病毒，并进行全网针对性查杀，是勒索病毒防护的最后 一道防护屏障，可保障业务系统数据不被加密。

CDP持续数据保护：全面支持主流操作系统、数据库级应用系统，可提供文件、数据库、操作系统、虚拟机、卷等数据备份与应用容灾，提供数据零丢失（RPO等于0），True CDP能够持续监控并记录所有生产业务数据变化，确保病毒发生时数据零丢失，同时可以实现任意时间点数据回退，从而能够有效应对软件故障、病毒入侵（列如WannaCry勒索病毒）、认为操作（误操作、恶意破坏）等逻辑故障。

快速回退到中勒索病毒前一秒状态告别勒索风险

方案价值

1、       全面封锁勒索病毒、黑客攻击的传播渠道、系统漏洞。

2、       能够检测出病毒和黑客攻击全过程，形成全攻击链检出能力。

3、       可发现ATP攻击行为、勒索软件行为、僵尸网络等异常的网络行为。

4、       构建“边界 流量 端点 CDP”的立体联动防护与恢复能力，提升响应速度与风险应对能力。

5、       可检测自助终端的安全合规态势，并可以对仿冒接入等异常行为和APT攻击等恶意行为进行预警和控制，从原来的被动防御转为主动防御。

6、       等保合规，符合国家对等保建设的需求。

7、       确保重要数据在被加密锁定的情况下最大限度的恢复受攻击前1秒状态。

详细方案欢迎详细询:15828178098 18000538844

成都网联达专注企业私有云，企业云灾备，企业云化数据中心建设。专业企业双活数据中心、数据机房云化建设、桌面云建设、服务器虚拟化建设、企业私有云建设方案与产品服务提供商。

 成都网联达通信2013年开始专注从事信息安全等保、云计算、无线覆盖、云数据灾备、态势感知、私有云建设、双活数据中心、桌面云、数据防泄密等信息化系统工程，企业实力强、资质齐全，是深信服、信锐技术、安盟信息、启明星辰、世纪顶点等品牌四川区域核心代理商。

公司代理销售云计算相关产品、网络安全设备、基础网络设备、等保合规设备、数据备份设备、无线覆盖设备、桌面云与服务器虚拟化设备等。公司用“雄厚的技术实力，完善的售后服务”的理念，为各行业客户提供设计、施工、维保一站式的信息系统建设解决方案，并提供完善的售后服务体系，真正做到让客户没有后顾之忧。全国服务热线：15828177098、18000538844（24H）。