勒索病毒如何防禦？交科所聯合美創科技給出實踐方案

在巨大利益驅動下，勒索病毒已成為當前網路安全工作的主要威脅之一，據埃森哲預測，未來五年，全球將遭受5.2萬億美金的損失。面對這一威脅，公安部交通管理科學研究所選擇主動出擊，聯合美創科技對自身環境內部的環境及資產安全實施了整體的風險評估，針對以勒索病毒為代表的未知安全威脅做好安全防範工作，以確保業務資料資源的安全性。

 

2021年3月，美國最大的保險公司之一CNA遭到勒索病毒攻擊，被迫支付4000萬美元贖金；5月，美國東部輸油管道公司遭遇勒索軟體攻擊，進而引發美國東海岸大面積燃料短缺；6月，全球最大肉類供應廠商之一JBS遭遇勒索病毒攻擊，被迫支付價值1100萬美元贖金.....

在巨大利益驅動下，勒索病毒已成為當前網路安全工作的主要威脅之一， 據 埃森哲預測，未來五年，全球將遭受5.2萬億美金的損失。那勒索病毒為何有這麼大的能量？政企機構面對愈發猖獗的勒索病毒，難道只能“躺平”嗎？勒索病毒如何防禦？

面對這個問題，公安部交通管理科學研究所選擇主動出擊，給出了不一樣的答案。

01 客戶簡介
公安部交通管理科學研究所（簡稱“交科所”）成立於1985年，是公安部直屬的從事道路交通管理工程技術研究的公益性科研機構，主要從事公安交通管理科技資訊化、道路交通事故預防及鑑定、城市和公路交通管控、公安交通管理大資料及雲端計算、物聯網涉車管理、公安交通指揮中心設計建設、機動車及駕駛人牌證、自動駕駛執行安全研發測試、交通安全宣教裝備等技術研發應用，負責全國道路交通安全產品和交警執法裝備質量監督檢測、全國公安交警幹部培訓等業務。

多年來，交科所以“科技讓道路交通更安全更暢通”為發展願景，以建設“國內一流、國際知名國家級科研機構”為奮鬥目標，立足全國、支撐一線、服務社會，為持續推進道路交通治理能力現代化提升，提供重要決策支援、技術支撐和人才保障。

 

02 需求背景

當前，隨著公安部交通管理科學研究所交通管理科技資訊化的推進與發展，各部門核心業務資料的安全防護需求也愈發強烈，對業務資料的安全性也提出了更高的要求。

面對勒索病毒在全國範圍內的大面積爆發，公安部交通管理科學研究所也對自身環境內部的環境及資產安全實施了整體的風險評估，決定在逐步完成安全加固的同時， 針對以勒索病毒為代表的未知安全威脅做好安全防範工作，以確保包括核心業務資料庫在內的業務資料資源的安全性。

03 解決方案

針對勒索病毒攻擊，為保護交科所的核心業務資料庫。美創科技基於豐富的勒索病毒防禦經驗，對本次建設採取的安全防護核心思想為 嚴格控制資料庫檔案的“寫”許可權，監控所有程式的寫操作，對於非法寫操作進行阻斷，從而對勒索病毒的寫操作進行控制。

諾亞防勒索系統部署拓撲

具體技術措施為指定資料庫型別和新增信任可執行程式（如oracle.exe），新增需要保護的現有的資料庫檔案，新建的資料庫檔案會自動受到保護，只允許可信任執行程式對受保護的資料庫檔案執行相關操作，如果有未授權執行程式試圖修改資料庫檔案，將被認定為可疑勒索事件並被及時攔截。

 

安全部署時，美創科技透過在公安部交通管理科學研究所業務資料庫上安裝防勒索軟體agent，利用防勒索集中管控平臺統一實時監控並及時下發安全策略，包括檔案保護策略，執行策略，信任執行程式等等，這些策略會自動推送到終端資料庫伺服器系統。

另外，鑑於勒索病毒的無差別廣譜特徵，美創科技 諾亞防勒索系統內建病毒誘捕系統，精確識別勒索病毒的入侵和告警。當勒索病毒對誘餌檔案進行了加密或者刪除等操作，所有相關資訊都會上傳至服務端，透過管理中心可以及時進行可疑病毒研究。同時，防勒索系統可以實時監控受保護客戶端的狀態，包括裝置名、作業系統、裝置型別、IP地址、Mac地址、訪問時間等。

04 客戶收益

1、產品部署方式採用防勒索輕代理模式，對資料庫與業務系統效能幾乎無影響，同時可以實現產品快速部署和版本升級。

2、對各種已知勒索病毒和未知勒索病毒都具備免疫能力，安全機制遵循主動防禦的思想，在安全措施上對勒索軟體的執行原理進行控制，並支援和其它主機安全防護措施共同作用。

3、對勒索軟體惡意嘗試加密資料檔案的過程及勒索軟體的資訊進行全記錄，並上傳至服務端。資訊包括：操作行為、勒索軟體程式、執行結果、檔名、產生時間等資訊。監控被保護終端的執行情況。