在科技日益发达的今天,我们在信息技术领域取得了令人瞩目的进步,每隔3-5年便会有新的技术革命来颠覆我们对以往信息技术的认知。但是对于计算机病毒这个诞生于年的“幽灵”,似乎一直没有找到“行之有效”且“物美价廉”的处理方案。
随着“数字化转型”、“管理升级”、“两化融合”、“互联网及大数据”等诸多因素的推动,企业在业务信息系统、管理软件等业务系统的投入在逐年增加,但是企业对于信息安全的理解仍处于“低位”,既缺乏专业的人才,也缺乏必要的投入,绝大多数企业在计算机病毒防御领域的理解就是:通过免费的杀毒软件就可以为企业的服务器、PC提供必要的防御。其实,这种观点是错误的。安全派企业信息安全联合实验室(以下:“安全派实验室”)通过对大量企业的安全案例的调查和研究发现,绝大多数遭到病毒侵袭的企业(特别是遭受到勒索病毒攻击的企业)并非没有任何防御措施,而是已经在内部的服务器端和PC端安装了杀毒软件,自动开启防御模式,并且定期更新病毒库。既然安装了杀毒软件,为何又频频中招?能否有行之有效的解决方案?本文将以通俗易懂的方式详细阐述如何防范新型计算机病毒。
01计算机病毒是什么?在国务院发布的《中华人民共和国计算机信息系统安全保护条例》中有明确解释,计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码,同时计算机病毒是一个程序,一段可执行码。就像生物病毒一样,具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力,它们能够快速蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上,当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来,具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。
02计算机病毒如何感染企业服务器和PC?计算机病毒与“新冠病毒”在传播方式原理相同,那就是:通过某种媒介进行“接触”!计算机病毒接触企业的服务器和PC的方式主要有以下几种(按照热度进行排序):
操作系统漏洞:安全补丁滞后,导致没有及时安装;或者业务系统对操作系统版本限制,无法安装最新的安全补丁;黑客会通过自动化的扫描程序在互联网进行扫描,搜寻防护薄弱的操作系统;
弱口令爆破:黑客通过自动化的口令猜解程序,对直接暴露在互联网上的应用系统的账户(主要是:admin和administrator)和口令进行破解,获取权限;
钓鱼网站或钓鱼邮件:诱使用户执行或安装恶意程序;
浏览不安全的网站:浏览网页的时候,使用的浏览器会自动执行网站提供的插件,并且为了提高访问速度,自动下载缓存文件;
下载、安装未经认证的程序:下载免费软件、免费电影的同时,也会有很大概率下载安装恶意程序,例如,下载安装某品牌电脑桌面管家后,会自动安装该品牌的浏览器程序、电影播放器;
使用移动存储设备:很多计算机病毒程序隐藏于移动存储设备的底层,仅通过格式化的方式无法根除计算机病毒。
当计算机病毒接触到企业的服务器和PC之后,会调用预制的功能进行扫描,然后进行“繁殖”、“隐藏”,以及进行种种破坏行为,例如,加密数据、侵占服务器计算资源(计算比特币,又叫“挖矿”),为用户造成巨大的损失。
03为什么已经安装防病毒软件,还是会被计算机病毒侵袭?根据安全派实验室对年遭受勒索病毒攻击的企业案例(统计数据截至年11月24日)的分析显示:显示超过87%的被勒索企业在服务器端已经安装了杀毒软件,并且开启病毒库定时升级的功能。为何已经安装杀毒软件的服务器还会被勒索病毒侵害?关键问题在于防病毒软件的病毒处理机制。
目前主流的防病毒软件主要通过病毒样本与病毒库进行特征匹配的方式来鉴别病毒,即广泛采集病毒样本,并将该病毒的特征信息更新至病毒库中,只要服务器端和PC端的防病毒程序的病毒库持续升级更新,就能够识别出病毒,并进行处置。基于特征匹配方式的病毒处理机制的优点是:查杀效率高,但缺点也很突出,就是无法识别未知计算机病毒和高可持续性攻击(APT攻击)。随着计算机技术的突飞猛进,计算机病毒技术和攻击技术也取得了相当大的进步。
对于未知计算机病毒的理解,大家可以联想年底爆发的新冠病毒,目前已知的所有抗生素对这种新出现的冠状病毒毫无作用。对于防病毒软件来说,因为从没有采集过这种病毒的特征,也就无法进行识别与查杀。
高可持续性攻击(APT攻击)是一种近年逐渐泛滥的攻击方式,比较常见的就是无文件攻击。攻击者使用无文件攻击这种方式,无需把攻击的文件或程序下载到目标服务器的磁盘,因此反病毒引擎(没有文件,没有特征,无法进行特征匹配)一般很难检测到,即使通过检测内存来试图追踪内存中的“无文件攻击”,但往往只能采用白名单等传统方法,但攻击者利用内存滞留技术往往能把杀毒软件耍得团团转(例如,限制杀毒软件启动)。Petya病毒,针对MBR(MBR是系统引导程序,对系统的启动的时候会调用MBR)的无文件攻击。Petya病毒隐藏恶意代码在MBR中,就可以实现先于Windows系统加载,从而禁止防病毒软件启动或限制病毒检测引擎启动,从用户维度来看,Petya病毒会使xx电脑安全管家或xx安全卫士显示处于运行中,但是没有任何杀毒功能,从而蒙蔽用户,持续攻击。Petya病毒是继WannaCry后的又一大勒索病毒,它比WannaCry的攻击性更高。将文件加密后,还把一段恶意代码写入MBR以实现持久化攻击,使得主机开机后无法正常启动系统,而是直接显示勒索提示框。
04SECNANO系统如何应对未知威胁既然未知计算机病毒和高可持续性攻击(APT攻击)可以绕过防病毒软件,是否意味着在这场矛与盾的战斗中,企业用户的服务器和PC只能默默的挨打?答案是否定的!因为有了全新一代的终端防御系统:企业终端检测防御云系统(以下简称:SECNANO)。
SECNANO完美的解决了防御未知计算机病毒和高可持续性攻击(APT攻击)的难题。SECNANO通过部署在服务器和PC端的探针,检测所有在服务器和PC上的程序与用户的操作行为(全流量)。这些数据将会被SECNANO的安全云系统通过AI智能分析引擎结合不同的风险分析模型进行多维度的数据分析,判断威胁和风险。
SECNANO威胁处理机制
通过“行为分析”的方式,可以解决未知计算机病毒和高可持续性攻击(APT)所带来的难题,只要出现异常行(例如,干预操作系统进程、扫描、提权、口令猜解)为或者未知行为,探针程序会自动阻断操作,并实时上报安全云,通过AI智能分析引擎和安全工程师的“火眼金睛”鉴定无威胁后方可执行操作。
随着企业信息化建设的不断加强,针对目前主流的ERP系统(用友、金蝶),SECNANO为此专门定制开发了防御策略,能够全过程、无死角的保护ERP系统的安全运行。SECNANO通过强大的检测能力,能够识别出模拟成ERP程序的恶意文件、进程;通过“ERP数据保险柜”和“终端免疫”等多种功能,为ERP系统的数据提供强大的安全保护。
SECNANO检测出模拟成ERP的恶意进程
SECNANO安全云拥有三大分析工具:深度神经网络AI引擎(下一代防病毒引擎)、ROBIN(多引擎恶意样本鉴别平台)和威胁情报分析平台,为用户提供强大、高效、智能的威胁分析能力;SECNANO安全云通过组件化的设计思路,在云端可以根据不同企业业务场景和风险水平,部署不同的检测和防御功能,并能够快速针对突发情况扩展外部防御组件,通过“云端联动”+“人机结合”的方式快速赋能给部署在企业端的探针。对于用户来说,可获得针对自身业务环境的定制化安全策略服务,在保障自身业务系统持续性的前题下实现安全最高保障。
根据企业安全需求,快速赋能企业
综上所述,SECNANO系统的功能特点:
威胁检测分析能力强;
针对ERP系统定制的防御策略和数据保护;
组件化设计理念,可以根据企业需求快速赋能。
05SENCNANO的服务模式对于企业的价值SECNANO通过“服务订阅”的方式为不同类型的企业提供安全能力,在“公有云”模式下,企业端无需配备硬件设备,仅需要在服务器和PC中安装探针即可,该探针一键安装,资源占用极小(30M);SECNANO也同样支持“私有云”和“混合云”模式。
通过“服务订阅”的模式,企业无需配备专业技术人员,从而帮助企业大大减轻投入成本。SECNANO提供7*24小时的安全托管服务,一旦发现威胁会自动处置,极大的提高企业终端安全防御水平。如果发现特殊安全事件,SECNANO的云端值班安全工程师会直接介入,进行人工分析,从而精准处置安全风险。
总结,SECNANO服务模式对企业的价值:
多维度实施监控,安全无死角;
自动化远程安全运维服务,问题处置效率高;
随需而“配”的安全能力,高效、灵活;
云端配备专业安全工程师,为企业提供“量身定制”的增值安全服务。
预览时标签不可点收录于话题#个上一篇下一篇转载请注明:http://www.wangguoqiangq.com/sglbxw/7552.html
