安全419《勒索攻击解决方案系列推荐》天融信篇

 

作为一种活跃且广泛的网络安全威胁，建设相应的能力已成企业、组织必做之事，我们今天将为您呈现《勒索攻击解决方案系列推荐》次篇内容，此次我们带领大家走进的是我国首家网络安全企业——天融信科技集团（以下简称：天融信），看看他们是如何应对勒索软件攻击所带来的新威胁。

 

 

我们仍然先大致了解一下这家企业：天融信科技集团（证券代码：002212）创始于1995年，是国内首家网络安全企业，亲历中国网络安全产业的发展历程，如今已从中国第一台自主研发防火墙的缔造者成长为中国领先的网络安全、大数据与云服务提供商。创立至今，天融信已连续21年位居中国网络安全防火墙市场第一，在安全硬件、整体网络安全市场处于领导者地位。天融信在全国70余个省市地区设有分支机构，现有员工6000余名，其中研发技术人员超过4000名，客户广泛遍布政府、金融、电信、教育、医疗、能源、交通、制造等各行各业。

 

天融信是我国网络安全行业的见证者，作为国内首家网络安全企业，就勒索攻击这一话题天融信想必更具发言权，下面我们就进入正题，安全419在对话天融信云安全市场总监黄安松之后，对他们的勒索攻击解决方案作出如下了解：

 

 

勒索病毒为企业的安全防护带来了新的挑战和难题，文件一但被加密就不可逆，所以做好安全防护非常重要，关于针对勒索病毒的日常防护问题。”黄安松在接受安全419采访时概括表达到，针对勒索攻击重点不是治，而是防，需加强事前预防、防御能力、是持续对抗的过程，企业应构建持续的监控和分析机制，形成主动安全防御体系。

 

为此，天融信针对勒索病毒的防护也提出了整体解决方案，从事前、事中、事后构建持续的预防、防御、检测和响应能力，致力于为用户构建闭环的安全防护措施，提升用户整体网络安全防护水平。

 

 

黄安松告诉我们，在天融信勒索病毒防御解决方案中，事前方面，处于边界上的安全防护产品包含天融信下一代防火墙、僵木蠕、防病毒网关等安全产品构建边界安全防线，同时，结合EDR产品的系统防御、网络防御、病毒防御等能力构建终端PC侧的主动防御能力；事中方面，处于边界的安全设备和终端上的EDR产品可以对客户主动入侵、勒索病毒进行实时监测，及时阻止威胁发生；在事后方面，EDR可对勒索病毒进行快速隔离处置、全网查杀，同时备份一体机将助力企业快速恢复业务和数据。

 

黄安松指出，勒索病毒的防护绝不是任何一种防御手段就能够“一劳永逸”，需要持续不断的完善防护体系，需要专业的人员提供专业指导，天融信在全国有70多个分支机构、1000+安全服务工程师，可提供7×24小时的安全服务能力，通过“产品+服务”、“线上+线下”的方式，构建一站式安全防御体系。

 

 

勒索攻击可以追溯更远历史，但 WannaCry 勒索病毒的爆发可以说是勒索攻击时代到来的标志性事件。在2017年，WannaCry  攻击影响了全球公司，国际、国内企业均有遭受攻击，甚至包含一些国际化企业。

 

“在此期间，天融信作为国内领先的网络安全厂商，持续为诸多企业单位提供勒索病毒防御和事后处置服务，为他们提供攻击防护、事后溯源和数据恢复等能力。”黄安松表示，从 WannaCry 攻击事件中天融信对勒索攻击做了进一步的研判，发现企业之所以大面积中招，主要是对终端一侧普遍欠缺防护所致，多数企业一直以来对终端安全处于忽视状态。

 

 

所以说，WannaCry 的爆发对全行业终端安全敲响警钟的同时，也定义了勒索防护的主战场，那就是薄弱的终端。针对于此，天融信推出的终端威胁防御系统 EDR 将助力企业化解来自于终端一侧的被勒索风险。黄安松告诉安全419，天融信 EDR 产品集主动防御、病毒查杀、漏洞补丁、终端安全管控于一身，针对勒索攻击为代表的黑客攻击，将全方位的保障用户的终端安全。

 

 

据其介绍我们了解到，天融信 EDR 产品基于基因识别、虚拟沙箱、ATT-CK 等终端安全防护技术，可对终端未知病毒行为进行监控和分析分析，如通过基因识别可有效识别已知勒索病毒和变种病毒，结合虚拟沙箱、ATT-CK 攻击模型可对未知勒索病毒恶意行为进行监控，及时发现攻击行为，实现已知和未知威胁防护。

 

黄安松强调，天融信 EDR 在分析过程中实行静、动两态机制，基于基因识别库分析是静态，为保障识别的准确率，还加入 ATT-CK 攻击模型、动态虚拟沙盒分析，在虚拟沙盒当中（又称 EDR 微型实验室），未知文件对系统有没有危害一验便知。

 

对于勒索组织擅于利用漏洞开展攻击这一趋势，天融信 EDR 产品具备补丁管理、漏洞修复、虚拟补丁技术，对于可以更新补丁的终端，可通过 EDR 一键修复漏洞，对于部分无法打补丁的系统，可通过虚拟补丁进行有效防御，有效抵御黑客组织通过漏洞发现的攻击行为。

 

 

黄安松指出，数据的高价值往往会使受勒索企业妥协，转而支付赎金，高价值数据又往往需要将攻击特定化，这导致勒索攻击近两年开始向APT趋势发展。据了解，在对应的解决方案方面，天融信高级威胁检测系统、全流量威胁溯源系统、NGFW 下一代防火墙等产品组成的 APT 解决方案矩阵，将对 APT 攻击实施围剿。

 

对于 APT 攻击最常见的突破口是钓鱼攻击，如何让企业员工识别出其中的安全风险将变的至关重要。

 

安全419了解到，天融信科技集团专门成立了一家专注教育培训服务和人才生态建设的专业服务公司——北京天融信教育科技有限公司（简称天融信教育），曾为国内数百家政府部门、组织机构、知名企业、知名高校提供培训和服务。

 

天融信教育提供的培训服务多种多样，其中系统化的网络安全教育就是其中之一，行业组织就通过调研发现，多数网络问题最终有超过一半可追溯最终落实为人的问题，即企业员工往往会成为网络安全当中的薄弱环节，而通过专业化的培训教育则可以将因为人的问题降到最低。

 

 

黄安松是首位接受安全419采访时表达出“勒索加密之后无法恢复”观点的行业专家，他表示，勒索病毒通常基于AES 、RSA、RC4等加密算法实施加密，基本不可逆。他以标志性事件美国最大的成品油管道运营商Colonial Pipeline勒索事件为例证实他的观点，事实上在该公司CEO的授权下，他们最终妥协的向攻击者缴纳了赎金。

 

黄安松指出，只有两种情况下勒索加密才可能被破解，一个是加密算法相对简单，另一个是勒索组织自身的加密秘钥公开。在这两种情况下，你可能会找到可用的破解器，但通常情况下企业对于已加密数据是处于无能为力状态的。

 

在这一方面，事后的备份恢复将体现其高价值的一面。天融信数据安全产品类别中的备份一体机就可以针对勒索攻击带来的数据加密提供快速业务、数据再生。

 

 

据了解，天融信备份一体机主要针对数据的存放进行相应的数据保护，为数据提供完整的存储、备份、容灾综合解决方案。天融信备份一体机系列产品是一种集备份、容灾、磁盘阵列、虚拟磁带库等功能为一体的软、硬件一体化备份平台。为用户环境提供了各类数据与应用的备份恢复，并且提供业务灾难接管功能。该产品能够对异地、多节点、云备份提供支持，支持海量文件备份，并提供持续数据保护功能。

 

黄安松还分享了一个案例，一家医院的运维管理人员曾找到他们，据称，该医院常年遭受黑客攻击，为此运维人员上线部署了备份服务器，但再次被攻击运维人员寄希望于能通过备份服务器恢复数据之时，发现备份服务器已被黑客关闭……而原本就基于安全基因考量的天融信备份一体机在这方面就有全方位的考量，由于数据采用实时加密保护，天融信备份一体机备份数据保持着高有效性。

 

 

另据安全419了解到，天融信目前同样有涉及网络安全保险领域，其业务形式是与国任财产保险股份有限公司、北京安鹏保险经纪有限责任公司合作达成，在“信息安全服务+评估认证+保险+理赔取证”一整套网络安全保险机制当中，天融信将在承保前、中、出险后提供评估、监测、应急响应等一系列工作。

 

 

距离安全419发布《勒索攻击解决方案系列推荐》选题预告还不足半月，勒索攻击就在全球制造多起攻击事件，其中以 Expeditors 和 NVIDIA 遭受勒索攻击最为受人关注，两家都是年营收百亿美元规模的巨鳄，其中并不陌生的是芯片供应商 NVIDIA，Expeditors 则是美国的一家物流企业，且在我国运营有相关业务，其体量处于物流领域全球前十水平。

 

我们不禁的会想，像 Expeditors 和 NVIDIA 这种级别的大企业，难道他们就没有相应的安全能力建设吗？其实这正是勒索攻击难以防范的根本所在，在本次采访时黄安松曾说这样一段让人印象深刻的话：“黑客可能比你自己还要了解自己的业务”，因为你的在线业务可能一直处于更新迭代，一旦因为管理不善、防护疏漏，任何一点引发的安全问题都可能会为企业带来致命一击。

 

以上为此次我们对天融信针对勒索攻击所能提供的安全能力进行的全面了解，针对《勒索攻击解决方案系列推荐》选题，我们还将持续走进更多网络安全企业，来观察他们针对不同行业、不同用户和不同环境以及技术能力之间的细节与区别，希望能为企业做出针对性部署防护起到借鉴和帮助作用，敬请持续关注。

 

同时我们也欢迎更多拥有同样实力的安全企业自荐，只要你的安全解决方案、能力得到我们的认可，我们的最终目的只有一个，那就是帮助我们最终企业用户，避免他们成为勒索攻击的下一个受害者。