2018勒索病毒白皮書 (政企篇)
2018年,全國共有430餘萬臺計算機遭受勒索病毒攻擊;攻擊以伺服器定向攻擊為主,輔以撒網式無差別攻擊手段;最常使用的攻擊手段是遠端桌面弱口令暴力破解。2018年,政府單位最容易遭到勒索病毒攻擊,佔被攻擊單位總數的21.0%;金融終端最容易遭到勒索病毒攻擊,佔被攻擊終端總數的31.8%。在感染勒索病毒的政企單位中,政府單位數量最多,佔被感染單位總數的24.1%;感染GlobeImposter的最多,佔被感染單位總數的34.0%。
——《2018勒索病毒白皮書(政企篇)》,360終端安全實驗室
第一章,勒索病毒整體攻擊態勢
2018 年,勒索病毒攻擊特點也發生了變化: 2017 年,勒索病毒由過去撒網式無差別攻擊逐步轉向以伺服器定向攻擊為主,而 2018 年,勒索病毒攻擊則以伺服器定向攻擊為主,輔以撒網式無差別攻擊手段。
一、整體態勢
摘要: 2018 年共有 430 餘萬臺計算機遭受勒索病毒攻擊, 12 月攻擊最盛。
根據 360 網際網路安全中心的資料 (包括 360 安全衛士和 360 防毒的查殺資料) , 2018 年共計 430 餘萬臺計算機遭受勒索病毒攻擊(只包括國內且不含 WannaCry 資料)。值得關注的是,在 2018 年 11 月和 12 月,由於 GandCrab 勒索病毒增加了蠕蟲式(蠕蟲下載器)攻擊手段以及 Satan 勒索病毒加強了伺服器攻擊頻次,導致攻擊量有較大上升。
需要指出的是,以上趨勢僅基於監控資料,實際許多使用者是黑客通過伺服器攻擊滲透入侵內網後投放的勒索病毒,亦或使用者終端不聯網通過內網其他機器感染的勒索病毒,這些情形下是無法監控到資料的。
二、活躍家族
摘要: 2018 年 GandCrab 、 GlobeImposter 、 CrySis 這三大家族勒索病毒的受害者最多,合計佔比高達 80.2% 。
根據 360 反勒索服務統計的資料, 2018 年 GandCrab 、 GlobeImposter 、 CrySis 這三大家族勒索病毒的受害者最多,合計佔比約 80.2% 。本年度的活躍家族除了少數病毒,都有針對政企使用者進行的攻擊,因此企業使用者仍然是勒索病毒最熱衷的攻擊物件。 360 終端安全實驗室統計的使用者反饋資料,大體和這個資料類似,後文將有詳細分析。
以下是 360 反勒索服務統計資料得到的分析圖:
三、傳播特點
摘要: 2018 年度勒索病毒最常使用的攻擊手段是遠端桌面弱口令暴力破解攻擊。
勒索病毒採用的傳播手段和其他病毒類似,不過 2018 年度最為常用的攻擊手段卻是遠端桌面弱口令暴力破解攻擊,大量政企、個人使用者反饋的勒索病毒都是基於此攻擊方式。
下面根據病毒傳播影響範圍、危害大小列出最常用的幾種攻擊方式。
1. 弱口令攻擊
有多種系統或軟體的弱口令遭受攻擊,這裡勒索病毒最常用的是遠端桌面登入弱口令。除此外,勒索病毒弱口令攻擊還包括針對資料庫系統、 Tomcat 管理賬戶、 VNC 等弱口令的攻擊。
2.U 盤蠕蟲
U 盤蠕蟲過去主要用於傳播遠控和挖礦病毒,但在 2018 年 11 月突然出現傳播 GandCrab 勒索病毒的現象。 360 終端安全實驗室曾對該類蠕蟲做了詳細分析,具體可參見:
https://mp.weixin.qq.com/s?__biz=MzI2MDc2MDA4OA==&mid=2247485868&idx=1&sn=96ccb8bd5f34d2187173abc49bdad18e
這種傳播方式的出現,導致 2018 年 11 月 GandCrab 勒索病毒突然成規模的爆發,令許多使用者遭受攻擊。
3. 系統、軟體漏洞
由於許多使用者安全意識不足,導致許多 NDay 漏洞被黑客利用進行攻擊。 2018 年,有多個勒索軟體家族通過 Windows 系統漏洞或 Web 應用漏洞入侵 Windows 伺服器。其中最具代表性的當屬 Satan 勒索病毒, Satan 勒索病毒最早於 2018 年 3 月在國內傳播,其利用多個 Web 應用漏洞入侵伺服器,如下表所示。
4. 其他攻擊方式
相比前面幾種攻擊方式,其他攻擊方式的影響要小不少,這些方式主要包括:
( 1 )軟體供應鏈攻擊:以 unnamed1989 勒索病毒(“微信支付勒索病毒”)為代表,該勒索病毒主要是因為開發者下載了帶有惡意程式碼的易語言第三方模組,導致呼叫該模組所開發出來的軟體均被感染了惡意程式碼。根據統計,在此次事件中被感染的軟體超過 50 餘種。此外 RushQL Oracle 資料庫勒索病毒也屬於軟體供應鏈攻擊。
( 2 )無檔案攻擊方式:比如 GandCrab 勒索病毒就採用了“無檔案攻擊”進行傳播,其技術原理主要通過 Powershell 將 GandCrab 編碼加密後以記憶體載荷方式載入執行,實現全程無惡意程式碼落地,從而躲避安全軟體的檢測。
( 3 )郵件附件傳播:這種方式通過郵件附件傳播病毒下載器,誘使使用者點選執行下載器下載勒索病毒後中毒。此方式在 2016-2017 年是勒索病毒最常見的傳播方式,但在 2018 年已經很少被採用。
下圖是 360 反勒索平臺接收到的反饋案例統計,可以看到通過遠端桌面弱口令攻擊方式傳播的案例佔比最高,高達 62.9% ,其次是共享檔案被加密,佔比為 11.1% ,而通過 U 盤蠕蟲進行傳播的案例佔比則為 10.4% 。
(以上資料直接引用 360 網際網路安全中心的資料)
第二章,政企遭遇勒索攻擊分析
由於感染政企客戶更有可能獲得贖金,再加上勒索病毒本身也以伺服器定向攻擊為主,所以, 2018 年政企客戶被勒索病毒攻擊的勢頭尤其凶猛,各行各業都遭到了無差別攻擊。
一、攻擊力度
本節資料來自 360 企業安全公有云安全監測資料(只包括國內且不含 WannaCry 資料),以每日被攻擊終端為基本研究單位,本地已經可以查殺的勒索病毒不在統計之列。
摘要:勒索病毒對政企單位的攻擊以單點試探為主, 79.8% 僅嘗試攻擊一臺終端。
在政企單位所遭遇的勒索病毒攻擊事件中,單日單次攻擊事件僅針對一臺終端的比例佔到攻擊事件總量的 79.8% ,僅有 0.6% 的攻擊事件針對的終端總數超過 50 臺。
摘要:政府行業的單位最容易遭到勒索病毒攻擊,佔被攻擊單位總數的21.0%。
在遭遇勒索病毒攻擊的政企單位中,政府單位的數量最多,佔到被攻擊單位總數的 21.0% ;其次是衛生、能源單位,佔比分別為 12.1% 、 8.8% 。
摘要:金融行業的終端最容易遭到勒索病毒攻擊,佔被攻擊終端總數的 31.8% 。
在遭遇勒索病毒攻擊的政企終端中,金融行業終端最多,佔到總攻擊終端數量的 31.8% ;其次是政府、能源終端,佔比分別為 10.4% 、 9.0% 。
二、感染分析
本節資料來自 360 終端安全實驗室接到的政企單位感染勒索病毒後的應急響應請求。總體政企使用者感染範圍達到歷史新高,可以說是前所未有的影響。
摘要: 5 月是政企單位感染勒索病毒的最高峰,其數值是最低谷時的 5.3 倍。
2018 年,政企單位感染勒索病毒的最高峰出現在 5 月,最低谷出現在 2 月,最高峰月份感染勒索病毒的單位數量是最低谷時的 5.3 倍。
摘要:政府單位是感染勒索病毒的重災區,數量是被感染政企單位總數的 24.1% 。
在被勒索病毒感染的政企單位中,政府單位的佔比最高,佔到被感染政企單位總數的 24.1% ;其次是衛生、公檢法單位,佔比分別是 14.9% 、 7.2% 。
摘要: GlobeImposter 最難防範, 34.0% 受害政企單位感染了該勒索病毒。
在感染勒索病毒的政企單位中, 34.0% 感染了 GlobeImposter , 22.0% 感染了 GandCrab , 17.6% 感染了 Crysis , 10.1% 感染了 Satan ,仍然有 7.5% 單位感染 WannaCry 。
摘要:四大勒索病毒都愛感染政府行業, WannaCry 的感染則相對平均。
GlobeImposter 感染最多的是政府單位,佔感染政企單位總數的 29.6% ;其次是衛生行業,佔比為 16.7% ; GandCrab 感染最多的是政府單位,佔感染政企單位總數的 28.6% ;其次是公檢法行業,佔比為 11.4% ; Crysis 感染最多的是政府單位,佔感染政企單位總數的 25.0% ;其次是衛生行業,佔比為 21.4% ; Satan 感染最多的是政府單位,佔感染政企單位總數的 25.0% ;其次是衛生行業,佔比為 18.8% ;而 WannaCry 的感染則相對平均。
第三章,勒索病毒發展趨勢預測
2018 年勒索病毒攻擊產生的影響和危害達到新的高度,特別是針對伺服器的攻擊,給廣大政企使用者帶來了前所未有的影響。 360 終端安全實驗室預計, 2019 年勒索病毒威脅仍將在病毒威脅排行榜上執牛耳領跑眾毒。
以下是從不同的側面對未來勒索病毒發展趨勢的預測分析。
一、 緊跟漏洞發展步伐
2018 年除了 Satan 利用眾多 Web 應用漏洞進行傳播外,最有技術進取心的就要數 GandCrab 了,比如 GandCrab 在 V5 版本先後加入了對 CVE-2018-8120 、 CVE-2018-8440 、 CVE-2018-0896 等漏洞的利用技術。
二、 更多的傳播方式
2018 年除了常規模式外,新出現了利用 U 盤蠕蟲傳播勒索病毒的手段,此外利用軟體供應鏈傳播也在本年得以實現,使得短時間內大量使用者遭受攻擊。我們預計 2019 年勒索病毒傳播方式將繼續擴充套件。
三、 攻擊面和目標擴大化
2016 年出現的 RushQL Oracle 資料庫勒索病毒在 2018 年得以死灰復燃,此種病毒和其他勒索病毒最大的不同點在於它只破壞資料庫的結構,而不是加密磁碟檔案,這屬於典型的資料庫攻擊。我們預計 2019 年勒索病毒攻擊目標將繼續擴大,包括各種作業系統、應用程式都將成為勒索病毒攻擊的目標 。
四、 被攻擊的裝置種類不斷擴大
以往勒索病毒主要攻擊 PC 和伺服器以及部分移動裝置,未來包括工控裝置、嵌入式裝置、 IoT 裝置等都可能面臨勒索病毒攻擊的風險。
第四章,勒索病毒應急響應指南
政企單位如果已經感染勒索病毒,鑑於等待專業人員的救助往往需要一定的時間,所以, 360 終端安全實驗室建議及時採取必要的自救措施,有效止損,將損失降到最低。
一、如何判斷中毒
勒索病毒的主要目的是為了勒索,所以在植入病毒完成加密後,必然會提示受害者您的檔案已經被加密了無法再開啟,需要支付贖金才能恢復檔案。
1. 業務系統無法訪問
2018 年以來,勒索病毒的攻擊不再侷限於加密核心業務檔案,轉而對企業的伺服器和業務系統進行攻擊,感染企業的關鍵系統,破壞企業的日常運營,甚至還延伸至生產線——生產線不可避免地存在一些遺留系統和各種硬體難以升級打補丁等原因,一旦遭到勒索攻擊的直接後果就是生產線停產。
當然,業務系統出現無法訪問、生產線停產等現象時,並不能 100% 確定是伺服器感染了勒索病毒,也有可能是遭到 DDoS 攻擊或是中了其他病毒等原因所致,還需要結合以下特徵來判斷。
2. 電腦桌面被篡改
伺服器被感染勒索病毒後,最明顯的特徵是電腦桌面發生明顯變化,即:桌面通常會出現新的文字檔案或網頁檔案,這些檔案用來說明如何解密的資訊,同時桌面上顯示勒索提示資訊及解密聯絡方式,通常提示資訊英文較多,中文提示資訊較少。
3. 檔案字尾被篡改
伺服器感染勒索病毒後,另外一個典型特徵是:辦公文件、照片、視訊等檔案的圖示變為不可開啟形式,或者檔案字尾名被篡改。一般來說,檔案字尾名會被改成勒索病毒家族的名稱或其家族代表標誌,如: GlobeImposter 家族的字尾為 .dream 、 .TRUE 、 .CHAK 等; Satan 家族的字尾 .satan 、 sicck ; Crysis 家族的字尾有 .ARROW 、 .arena 等。
二、如何緊急自救
政企單位如果已經感染勒索病毒,鑑於等待專業人員的救助往往需要一定的時間,所以 360 終端安全實驗室建議及時採取必要的自救措施,及時止損,將損失降到最低。
1. 隔離中招主機
當確認伺服器已經被感染勒索病毒後,應立即隔離被感染主機。 隔離的目的,一方面是為了防止感染主機自動通過連線的網路繼續感染其他伺服器,另一方面是為了防止黑客通過感染主機繼續操控其他伺服器。
隔離主要包括物理隔離和訪問控制兩種:物理隔離常用的操作方法是斷網和關機;訪問控制常用的操作方法是加策略和修改登入密碼。
2. 排查業務系統
業務系統的受影響程度直接關係著事件的風險等級。評估風險,及時採取對應的處置措施,避免更大的危害。所以, 在已經隔離被感染主機後,需要對區域網內的其他機器進行排查,檢查核心業務系統是否受到影響,生產線是否受到影響,並檢查備份系統是否被加密等,以確定感染的範圍。
3. 聯絡專業人員
在應急自救處置後,建議第一時間聯絡專業的技術人士或安全從業者,對事件的感染時間、傳播方式,感染家族等問題進行排查。
請撥打 360 企業安全集團全國 400 應急熱線: 4008 136 360 轉 2 轉 4 。
三、如何進行恢復
一般來說,可以通過歷史備份、解密工具、重灌系統來恢復被感染的系統,建議在專業人員指導下進行,避免造成其他不必要的損失。
1. 歷史備份還原
事先進行備份,既是最有效也是成本最低的恢復檔案的方式。如果事前已經對檔案進行了備份,就不會再擔憂和煩惱,可以直接自行恢復被加密的檔案。值得注意的是,在檔案恢復之前,應確保系統中的病毒已被清除,已經對磁碟進行格式化或是重灌系統,以免插上行動硬碟的瞬間,或是網盤下載檔案到本地後,備份檔案也被加密。
2. 解密工具恢復
絕大多數勒索病毒使用的加密演算法都是國際公認的標準演算法,這種加密方式的特點是,只要加密金鑰足夠長,普通電腦可能需要數十萬年才能夠破解,破解成本是極高的。通常情況,如果不支付贖金是無法解密恢復檔案的。
但是,對於以下三種情況,可以通過 360 提供的解密工具恢復感染檔案。
1) 勒索病毒的設計編碼存在漏洞或並未正確實現加密演算法。
2) 勒索病毒的製造者主動釋出了金鑰或主金鑰。
3) 執法機構查獲帶有金鑰的伺服器,並進行了分享。
可以通過網站( http://lesuobingdu.360.cn/ )查詢哪些勒索病毒可以解密。例如:今年下半年大規模流行的 GandCrab 家族勒索病毒, GandCrabV5.0.3 及以前的版本可以通過 360 解密大師進行解密。
需要注意的是:使用解密工具之前,務必要備份加密的檔案,防止解密不成功導致無法恢復資料。
3. 重灌作業系統
當檔案無法解密,也覺得被加密的檔案價值不大時,也可以採用重灌系統的方法,恢復系統。但是,重灌系統意味著檔案再也無法被恢復。另外,重灌系統後需更新系統補丁,並安裝防毒軟體和更新防毒軟體的病毒庫到最新版本,而且對於伺服器也需要進行鍼對性的防黑加固。
當然,還有一種我們並不推薦的恢復方式,就是通過支付贖金來解密。勒索病毒的贖金一般為比特幣或其他數字貨幣,數字貨幣的購買和支付對一般使用者來說具有一定的難度和風險,所以即便選擇支付贖金的解密方式,也不建議自行支付贖金,請聯絡專業的安全公司或資料恢復公司進行處理,以保證資料成功恢復。
四、如何避免中毒
360 終端安全實驗室提醒廣大政企單位從以下角度入手進行勒索病毒防範:
1. 及時更新最新的補丁庫
病毒大規模爆發的原因都是因為補丁安裝不及時所致,及時更新補丁是安全運維工作的重中之重。
如果由於業務特殊性,對打補丁有著要求非常嚴格的要求,建議選擇專業的補丁管理產品。例如 360 終端安全產品就集成了先進的補丁管理功能,能夠進行補丁編排,對補丁按照場景進行灰度釋出,並且對微軟更新的補丁進行二次運營,能夠解決很多相容性問題,更大程度解決補丁難打的問題。
2. 重要資料定期隔離備份
儘量建立單獨的檔案伺服器進行重要檔案的儲存備份,即使條件不允許,也應對重要的檔案進行定期隔離備份。
3. 提高網路安全基線
掌握日常的安全配置技巧,如對共享資料夾設定訪問許可權,儘量採用雲協作或內部搭建的 wiki 系統實現資料共享;儘量關閉 3389 、 445 、 139 、 135 等不用的高危埠,禁用 Office 巨集等。
4. 保持軟體使用的可信
平時要養成良好的安全習慣,不要點選陌生連結、來源不明的郵件附件,開啟前使用安全掃描並確認安全性,儘量從官網等可信渠道下載軟體,目前通過軟體捆綁來傳播的病毒也在逐漸增多,尤其是移動應用環境,被惡意程式二次打包的 APP 在普通的軟體市場裡非常常見。
5. 選擇正確的反病毒軟體
隨著威脅的發展,威脅開始了海量化和智慧化趨勢。對於海量化的威脅,就需要利用雲端計算的能力來對抗威脅海量化的趨勢,因此在選擇反病毒軟體時,需要選擇具備雲查殺能力的反病毒軟體。
6. 建立高階威脅深度分析與對抗能力
很多智慧威脅通過多種手段來躲避傳統反病毒軟體的查殺,這時就需要建立高階威脅深度分析和對抗能力,從終端、事件和時間等多維度綜合分析,配合 全流量威脅檢測手段,可以更加有效的 識別新興威脅。
7. 提升新興威脅對抗能力
通過對抗式演習,從安全的技術、管理和運營等多個維度,對企業的網際網路邊界、防禦體系及安全運營制度等多方面進行模擬檢驗,持續提升企業對抗新興威脅的能力。
附錄1、2018熱點勒索病毒事件
2018 年,為了賺取更多的贖金,勒索病毒們練就了十八般武藝,充分利用各種縫隙和漏洞發起攻擊,一時間,熱點勒索病毒事件此起彼伏。
1.幾度破解,GandCrab的2018有點傳奇
GandCrab 是 360 網際網路安全中心在 2 月 2 日捕獲的一款新型勒索病毒。該勒索病毒一出現便利用 RaaS 的分發模式迅速在全網範圍內廣泛傳播。 8 月開始陸續採用 RDP 暴力破解方式投放, 11 月利用 U 盤蠕蟲大肆傳播。不過該勒索病毒早期版本可解密。早在 3 月初,羅馬尼亞安全公司 BitDefender 就放出了該勒索病毒的解密工具,為中招使用者提供解密服務。
此後病毒進行了相應的升級來躲避解密。
而 10 月 16 日,一位敘利亞的父親在 twitter 上求助說自己孩子的照片和視訊均被該勒索病毒( v5.0.3 )加密了,但付不起贖金。看到該求助後, GandCrab 作者良心發現,放出了針對敘利亞地區受害者的解密工具。而很快, BitDefender 則放出了 v5.0.3 (含)之前所有版本的解密工具。
2.以吃雞外掛的名義,Xiaoba勒索病毒很張揚
2 月 6 日,一款名為 Xiaoba 的勒索病毒以“吃雞”外掛的名義,在貼吧、 QQ 群等社交平臺中瘋狂擴散。誘騙玩家關閉安全軟體,並對全盤檔案進行加密。此外,該勒索病毒作者還參與其他型別惡意軟體或外掛程式的開發,並高調發布到各種論壇中,很是張揚。
3.專盯高價值伺服器,GlobeImposter陰魂不散
GlobeImposter 只加密伺服器,危害巨大。其中有影響力的事件要數 2 月 24 國內某省級兒童醫院被 GlobeImposter 攻擊出現系統癱瘓狀況。時值兒童流感高發季,醫院大廳人滿為患。事件起因是該院多臺伺服器感染 GlobeImposter 勒索病毒,其中包括資料庫檔案在內的多種重要檔案被病毒加密。黑客要求院方在 6 小時內為每臺中招機器支付 1 個比特幣贖金(當時約合人民幣 66000 餘元)。具不完全統計,僅 2018 年一年期間,該病毒家族就出現了近 100 個新型變種在網路中傳播。
4.三七分成,Saturn開啟傳銷式擴散傳播
3 月 5 日,一款名為 Saturn 的勒索病毒開始發起攻擊。該勒索病毒會要求受害者在 7 天內支付 300 美元等價的比特幣,逾期則會贖金翻倍。但與以往勒索病毒不同,該病毒還採用了一種新的傳播模式——病毒作者會為二次傳播者按照三七的比例進行分成,鼓勵和誘導他人幫助其進行病毒的擴散和分發。
5.勒索or挖礦,Rakhni看配置決定如何賺更多錢
7 月 10 日, Rakhni 勒索病毒家族的最新變種發起了新一波的攻擊。該勒索病毒使用“魚叉式釣魚郵件”進行傳播,誘導受害者開啟郵件附件中的 Word 文件,一旦使用者根據誘導點選了文件中的圖示,則會啟動附帶的惡意程式。與以往不同的是,該程式會根據受害使用者的計算機環境以及配置,自動判斷對受害機器投放勒索病毒和挖礦木馬哪個能為作者賺取更多的利潤。
6. 死灰復燃, RushQL 只為勒索 Oracle 資料庫
11 月, 360 終端安全實驗室陸續接到數起使用者反饋,中了 Oracle 資料庫勒索病毒。經確認,該病毒是由“ SQL RUSH Team ”組織發起的 RushQL 資料庫勒索病毒,是因為使用者下載使用了破解版 PL/SQL 導致的。該病毒最早出現在 2016 年 11 月,期間沉寂了 1 年多,直到最近突然呈現出死灰復燃之勢。
7.數萬人中招,“微信支付”勒索病毒短暫的一生
12 月 1 日,國內首次出現了要求微信支付贖金的勒索病毒。該勒索病毒入侵電腦執行後會加密使用者檔案,並在桌面釋放一個“你的電腦檔案已被加密,點此解密”的快捷方式,隨後彈出解密教程和收款二維碼,最後強迫受害使用者通過手機轉賬繳付解密酬金,而且該勒索病毒沒有修改檔案字尾名。
在接到報案後,東莞網警 24 小時內火速偵破“ 12.05 ”特大新型勒索病毒破壞計算機資訊系統案,抓獲病毒研發製作者。
附錄2、關於360終端安全實驗室
360 終端安全實驗室由多名經驗豐富的惡意程式碼研究專家組成,著力於常見病毒、木馬、蠕蟲、勒索軟體等惡意程式碼的原理分析和研究,致力為中國政企客戶提供快速的惡意程式碼預警和處置服務,在曾經流行的 WannaCry 、 Petya 、 Bad Rabbit 的惡意程式碼處置過程中表現優異,受到政企客戶的廣泛好評。
360 終端安全實驗室以 360 天擎新一代終端安全管理系統為依託,為政企客戶提供簡單有效的終端安全管理理念、完整的終端解決方案和定製化的安全服務,幫助客戶解決內網安全與管理問題,保障政企終端安全。
附錄3、關於360天擎新一代終端安全管理系統
360 天擎新一代終端安全管理系統是 360 企業安全集團為解決政企機構終端安全問題而推出的一體化解決方案,是中國政企客戶 3300 萬終端的信賴之選。系統以功能一體化、平臺一體化、資料一體化為設計理念,以安全防護為核心,以運維管控為重點,以視覺化管理為支撐,以可靠服務為保障,能夠幫助政企客戶構建終端防病毒、入侵防禦、安全管理、軟體分發、補丁管理、安全 U 盤、伺服器加固、安全准入、非法外聯、運維管控、主機審計、移動裝置管理、資產發現、身份認證、資料加密、資料防洩露等十六大基礎安全能力,幫助政企客戶構建終端威脅檢測、終端威脅響應、終端威脅鑑定等高階威脅對抗能力,為政企客戶提供安全規劃、戰略分析和安全決策等終端安全治理能力。
特別的是, 360 企業安全還面向所有 360 天擎政企使用者免費推出敲詐先賠服務:如果使用者在開啟了 360 天擎敲詐先賠功能後,仍感染了勒索軟體, 360 企業安全將負責賠付贖金,為政企使用者提供百萬先賠保障,幫政企客戶免除後顧之憂。
附錄4、關於360天擎終端安全響應系統
360 天擎終端安全響應系統( EDR )以行為引擎為核心,基於人工智慧和大資料分析技術,對主機、網路、檔案和使用者等資訊,進行深層次挖掘和多維度分析,結合雲端優質威脅情報,將威脅進行視覺化,並通過場景化和全域性性的威脅追捕,對事件進行深度剖析,識別黑客 / 威脅意圖,追蹤威脅的擴散軌跡,評估威脅影響面,從而協同 EPP 、 SOC 、防火牆等安全產品,進行快速自動化的聯動響應,將單次響應轉化為安全策略,控制威脅蔓延,進行持續遏制,全面提升企業安全防護能力。
宣告:本文來自360終端安全實驗室,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。