不惜一切代价 迎战Wannacry

5月13日凌晨,面临来势汹汹的WannaCry勒索软件威胁,绿盟科技应急指挥中心启动了最高级别应急响应,成立应急响应团队,从各产品线、各地工程服务及一线销售抽调精英力量,应对突如其来的攻击,一场应急响应的战斗打响!

不惜一切代价 帮助客户

13日凌晨打响的这场战斗,正是在绿盟科技应急指挥中心的统一指挥下,与各大行业客户携手展开的行动。日夜奋战的目的只有一个,不惜一切代价保障客户业务系统安全。

  1. 5月12日晚间,NTI绿盟威胁情报中心监测到可疑攻击;
  2. 5月13日凌晨,陆续接到来自各地的现场值守工程师的通报,随后截获恶意样本;
  3. 5月13日上午10时,经过梳理确认,预警通告正式发送给各大客户;
  4. 5月13日上午10时,绿盟未知威胁分析系统TAC率先实现WannaCry勒索病毒检测,并随后给出检测报告;
  5. 5月13日上午12时,NIPS/NIDS/NF/RSAS产品防护能力已经确认就绪;
  6. 5月13日下午1时,安全服务团队经过慎重验证,率先发布一键加固脚本,当天持续更新3个版本;
  7. 5月13日下午1时,各地服务团队结合多年服务客户业务的经验,开始实施修补加固动作,协助用户升级产品,安装补丁;
  8. 5月13日下午5时,NTI威胁情报中心发布WannaCry勒索病毒监测及分析报告;
  9. 5月14日,根据威胁情报中心NTI及各地客户反馈的信息,绿盟科技应急指挥中心决定,紧急调配500台入侵防范NIPS和脆弱性评估RSAS设备驰援客户一线,为不具备网络边界防范能力的客户免费提供设备,协助客户完成应急处置。

请需要提供技术支持的客户联系绿盟科技的客户经理,或者拨打绿盟科技服务热线400-818-6868

NTI威胁情报中心 持续监控事态进展

应急指挥中心下达的应对措施,需要有足够的信息支撑,方能百战不殆。在整个应急过程中,NTI威胁情报中心始终在持续监控Wannacry勒索病毒的发展态势。目前,其感染分布已十分广泛。

截止发稿时止,绿盟威胁情报中心NTI收录的IOC已高达60条,包含了53条恶意文件的HASH信息,供入侵检测及防御系统等安全设备调用,率先将应急响应研究成果转化为安全联防能力。

NTI收录的IOC中,包含了IP地址、C&C(144...3)、开关域名(http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com)、53条恶意文件的HASH信息、5条漏洞信息。IOC用以标识攻击事件特征,可供入侵检测及防御系统等安全设备进行调用,从而实现攻击识别和拦截的作用。

NTI目前正在持续监控中。

快速响应 得益于成熟的勒索软件防护方案

近2年,绿盟科技持续监控并深入研究勒索软件的发展态势,逐渐形成了较为完备的勒索软件整体防护方案,这个方案在今年3月份的RSA 2017期间首次亮相。这个方案包括:

  • 安全产品防护,5款安全产品形成有效联动,包括
    • TAC未知威胁检测,可捕获恶意样本,对恶意样本报警,联动 NIPS 阻断恶意样本传播;
    • TAC-E勒索软件检测,专为勒索软件而生,检测并阻断勒索软件的钓鱼及鱼叉攻击;
    • NIPS网络入侵防护,可检测 EternalBlue; 可以检测利用 NSA 工具入侵之后,使用Doublepulsar 留下的后门并阻断入侵。
    • NF下一代防护墙,可以阻断445端口流量,防止针对该端口的进攻;并与金山V8+组成协同联动方案,对内部终端进行安全检查,对于不能满足要求的终端,阻断其上网;并与TAC及堡垒机形成联动;
    • 金山V8+,已经提供了升级,发布Wannacry勒索病毒专杀版本。
  • 安全运营体系,以安全平台为基础,提供高效的安全保障
    • TVM威胁漏洞管理平台,协助机构客户实现高效的安全漏洞全生命周期闭环管理,从根本上杜绝利用系统安全漏洞的恶意攻击和恶意代码感染风险。
    • BVS安全配置核查系统,协助机构客户制定操作系统的统一安全配置策略基线,并可使用自动化手段对策略配置的落实情况进行检查,督促包括Windows服务器和桌面终端在内的信息资产有效实现最小化的安全策略配置。
    • NGSD云安全桌面解决方案,协助机构客户建立云安全桌面机制,更高效地实现终端系统安全策略的统一集中管理,降低分布式桌面系统的整体安全风险。
  • 安全服务体系,让客户获得专家级安全服务体验。
    • 安全意识培训,在之前Locky勒索软件攻击事件中,绿盟科技已经推出了“钓鱼邮件测试平台”及相关服务;
    • 应急响应服务,绿盟科技应急响应服务提供高效的信息安全事故响应机制,帮助客户尽快对有重大危害的计算机和网络安全事件作出响应。

我们应该看到应对勒索软件,需要整个安全运维生命周期来进行,既有安全策略,安全流程,也有安全产品的使用,是一个持续的,长期的,不断更新的过程。

如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880

Spread the word. Share this post!

Meet The Author

Leave Comment