国际快件海关监管场所,是深圳机场航空物流的重要组成部分,项目占地6.1万平方米,运营面积约3.3万平方米,包括1栋办公楼,5个独立货库。主要经营国际快件通关业务,提供专业场所与设备设施、信息系统、快件通关过程的监管与辅助等综合服务。
在常见黑客入侵技术的基础上,推出边界到端的“检测+防御”体系,通过明御APT攻击(网络战)预警平台对网络中的已知和未知威胁检测和定位,明御®主机安全及管理系统(EDR)对终端受攻击主机有效防御,形成联合防御。
恶意文件攻击联动阻断
在网络攻击流程中,最为重要的一个环节就是恶意文件投递,一台失陷受控的主机里必然运行着一个或多个恶意文件,发现并阻止恶意文件在主机上运行是网络安全防御的重要手段。
在本联动场景中,APT预警平台对流量进行解析,对协议进行还原,分离出流量中的文件,通过反病毒检测引擎、shellcode静态检测、沙箱动态分析三重检测能力,识别恶意文件,发现病毒、木马、蠕虫的传播行为,定位受感染主机和攻击源,当接收恶意文件的主机IP为内网IP时,同步该恶意文件特征值和内网IP地址给EDR管控平台,由EDR管控平台向该内网IP下发查杀指令。
根据APT预警平台提供的风险资产IP和恶意文件特征值,主机卫士EDR对该主机上的文件进行扫描,并将扫描结果返回给APT预警平台。EDR可对病毒文件进行信任、隔离;根据扫描结果对文件添加信任列表和隔离区域,信任列表里的文件在下次扫描时不再进行扫描,添加到隔离列表里的文件,并可在隔离区域进行删除操作。
之后,用户可以在APT预警平台上查看恶意文件在内网主机上是否已被查杀,是否已执行、存储在什么路径、是否还有其他的病毒等信息。
勒索病毒联合处置
勒索病毒,是一种新型电脑病毒,利用各种非对称加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。勒索病毒文件一旦进入本地,就会自动运行,并在内网横向扩散,寻找加密对象,这种恶意行为性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。目前勒索病毒已经在各行各业泛滥,涉及国计民生的重要行业,比如医疗、交通、政府机构、重要企业等都未能幸免。
勒索病毒变种类型非常快,对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主,对常规依靠特征检测的安全系统是一个极大的挑战。
在此攻击场景中,APT预警平台可以通过威胁情报、行为分析、勒索病毒样本检测等方式,定位感染了勒索病毒的主机,并进一步廓清横向扩散行为,用户可将受感染主机IP同步给主机卫士EDR,EDR可对主机进行病毒查杀,开启勒索防御,确保勒索病毒程序无法启动,当勒索病毒对文件尝试加密时会被EDR诱饵引擎捕获并阻止其加密行为,同时,EDR通过隔离来阻止勒索病毒在内网的扩散或者接收远程控制端指令,进一步对相应主机安装或更新漏洞补丁。