网络病毒全流程防护解决方案

图1：网络病毒全流程防护解决方案

概述

计算机病毒自诞生之初就如附骨之蛆一样不断的在网络世界里传播和流行，给我们的信息系统造成了非常大的破坏和经济损失。近年来随着高额利益的驱使，病毒攻击事件频频爆发并且愈演愈烈。越来越多的黑客及网络黑产人员开始利用病毒传播来攻击企业、教育、政府等单位机构来获取不正当的利益。例如2017年开始爆发的WannaCry及其变种勒索病毒涉及危害150多个国家，造成了无数用户的重要数据丢失以及数千亿人民币的损失。用户如果只是单纯的使用杀毒软件来防护越来越力不从心，往往只能事后查杀处理不断的陷入救火式的困境。面对网络病毒泛滥的危害，构建一套病毒快速定位及全流程的防护体系将成为网络安全建设中的重要一环。

网络病毒全流程防护解决方案

本文主要内容：

• 网络病毒攻击概况

• 网络病毒防护难点

• 网络病毒杀伤链条

• 全流程网络病毒防护

• 网络病毒防护部署方案

• 方案总体价值

图2：目录

网络病毒攻击概况

随着网络货币的兴起，让病毒攻击变现变得简单和隐蔽，近年来网络病毒攻击爆发主要基于勒索软件和挖矿病毒。2019年权威的云安全机构截获勒索软件样本共174万个，感染次数为224万次；挖矿病毒样本总体数量为213万个，感染次数为1,628万次。

图3：网络病毒攻击概况

网络病毒防护难点

网络病毒防护有三大难点，分别是时效慢、难溯源、防单点

1. 时效慢

   特征模式在时效上有着天然滞后性，在加密勒索病毒爆发后影响更为严重，一旦加密，查杀于事无补。

2. 难溯源

   安全特征库不可穷尽，各种客观因素导致病毒特征库与用户端不同步让已知病毒和威胁也会造成严重危害 。

3. 防单点

   病毒检测与防护机制只是单点机制，无法形成体系，同时面临部署难题 纯查杀并不能找到入侵的本源，脆弱点仍可能被再次利用。

图4：网络病毒防护难点

网络病毒杀伤链条

网络病毒入侵的本质：虽病毒类型各异，但从病毒入侵的过程是存在共性的，这与洛克希德-马丁公司提出的“网络杀伤链”理论非常契合。即整个入侵过程，一般会经历侦查跟踪、武器构建、载荷投送、漏洞利用、安装植入、命令与控制、目标达成七个阶段。

“杀伤链”这个概念源自军事领域，它是一个描述攻击环节的六阶段模型，该理论也可以用来反制此类攻击（即反杀伤链）。每一个环节都是对攻击做出侦测和反应的机会为病毒攻击在每个阶段发现与防范提供依据。这就像传统的盗窃流程。小偷要先踩点再溜入目标建筑，一步步实行盗窃计划最终卷赃逃逸。只需要针对小偷盗窃的流程阶段做出相应的预防就可以避免损失以及捉住小偷。

图5：网络病毒杀伤链条

全流程网络病毒防护整体架构

整体架构中各个组件可以在安全大数据平台的构架下协同联动，实现各个阶段对病毒的定位发现和清除，也可以单独工作，独立发现和定位病毒。

图6：全流程网络病毒防护整体架构

图7：侦查跟踪阶段

图8：侦查跟踪阶段病毒防护

图9：载荷投递阶段

图10：漏洞利用及安装植入阶段

图11：命令与控制阶段

图12：网络病毒防护部署方案

方案总体价值

通过部署网络病毒全流程防护解决方案，可以帮助用户在网络病毒爆发前可以及时发现潜在网络病毒攻击风险、可以与云端同步特征更新避免未知病毒的攻击、可以协同大数据防御、流量探针、防火墙、沙箱等安全设备协同防御最后可以及时发现并修补系统漏洞避免被病毒利用传播等防护价值。

图13：方案总体价值