爱数新闻

我们经常听到面对网络安全威胁，没有人能够幸免。

无论是企业、政府还是高校，概莫能外。

 事实上，整个话题的焦点已经从“如果您遭受攻击” 转变为 “您能多快做出响应”。

下一个“永恒之蓝”，你准备好了吗

自2017年5月12日以来，全球爆发了大规模蠕虫勒索软件感染事件，近百个国家数十万台计算机被感染，这次攻击范围广泛，造成损失和影响巨大。

勒索软件是一个由来已久的概念，从1989年诞生的首个知名勒索软件 AIDSTrojan，到2017年全球性的 WannaCry 勒索病毒爆发，虽然勒索软件已经催生了许多变种，但其 “勒索” 的原理是一致的。

AnyRobot 勒索病毒响应指南

一.实时监控系统漏洞和风险，加强内网安全屏障

背景说明：

WannaCry 利用电脑上的 TCP 445 端口（Server Message Block/SMB）进行病毒传播。随机生成 IP，并利用 SMB 漏洞攻击网络中其他未感染主机，其传播方式类似于蠕虫病毒。AnyRobot 可以通过实时监测系统漏洞，预防安全风险。

具体做法：

• 监测已知的 Microsoft 系统漏洞（如 MS17-010）等，在仪表盘中显示没有安装最新修补程序的主机数及占比、主机名等信息。

• AnyRobot 可以定期扫描配置数据，如防火墙状态、主机系统 TCP445/139 端口状态，并将其保存为原始数据，安全地存储在 AnyRobot 后台。用户可以自定义安全基线标准”和告警策略，告警任务会自动将配置数据与“安全基线标准”进行比较，并在仪表盘中列出不符合安全基线标准的配置项、源主机等信息。

• 监视内部网段，以报告异常的 SMBv1连接 TCP/139、TCP/445 是扫描活动还是其他。

二.基于独特的文件扩展名，快速排查、协助阻断勒索软件扩散

背景说明：

WannaCry 感染主机后，存储在主机上的文件将被加密，加密文件的过程是先从主机上删除源文件，再创建与源文件相同的文件，并修改文件扩展名，这是一个连续的事务。AnyRobot 可以建立基于事务特征的监控告警策略，快速发现和判断主机是否感染。

具体做法：

• 建立告警任务，如果文件扩展名为 “Wncry”，可确定已被 WannaCry 感染，邮件通知管理员处理。AnyRobot 支持以异常文件扩展名创建监控告警项，可以定期扫描文件，自动触发告警。

• 在仪表盘中显示加密文件数和占比、受感染主机数和占比、文件路径、受感染主机的时间趋势、加密文件的时间趋势等信息，为管理员提供处理线索，便于控制感染的传播。用户可以自定义仪表盘，将多个来源、类型的日志可视化添加到 AnyRobot 仪表盘中做关联呈现。

三.在感染控制后提供安全事件的定性报告

具体做法：

• 在感染控制后，我们需要全面检查现有系统的状态，跟进 Windows 修补活动的进展，扫描是否仍存在系统漏洞，如果发现易受攻击的系统应立即隔离和修补。AnyRobot 提供实时动态图表，可以一目了然地呈现系统、配置项状态。

• 报表导出，向上级部门提供安全事件分析报告，协助建立安全防护机制。AnyRobot 支持导出、分享可视化、仪表盘，可以用于向上汇报。

AnyRobot 勒索病毒响应指南价值

网络安全防范措施是必不可少的，它可以有效地应对已知的勒索病毒。然而，通过AnyRobot 建立风险预警与快速响应体系，不仅可以帮助及早发现病毒主机，迅速控制勒索蔓延，而且还可以应用于突发的、未知的勒索病毒变种和更广泛的安全事件管控。