来自 网络 2022-04-12 06:30 的文章

网站防御_防三高_零误杀

网站防御_防三高_零误杀

注意:本博客于5月15日(星期一)更新。

首先,如果您是SonicWall的客户,并且您正在使用我们的网关防病毒、入侵预防服务和捕获高级威胁保护,那么您的SonicWall防火墙自4月17日以来一直在保护您的网络免受WannaCry勒索软件和传播该软件的蠕虫的侵害,2017年。自《准则》第一版发布以来,我们已经确定了几个新的变体,并发布了其他应对措施。随着我们的Capture Labs研究团队发现更多信息,我们将继续更新此博客,并为客户的防火墙自动提供额外保护。

更多信息:

这起大规模勒索软件攻击因关闭英国国家卫生服务(NHS)系统中的多家医院而臭名昭著,因此阻止患者接受危重护理。这次袭击袭击了全世界100多个国家,受害者人数不计其数。WannaCry是特洛伊木马/勒索软件和蠕虫的组合,利用名为EternalBlue的SMB文件共享协议漏洞。影子经纪人在2017年4月泄露了永恒蓝,这是NSA开发的一个更大漏洞的一部分。此漏洞会影响不同版本的Microsoft Windows操作系统,包括许多处于生命周期结束状态的版本。尽管微软在3月14日发布了大量修补程序来解决此漏洞,但由于许多组织尚未应用修补程序,此次攻击仍然很危险。

蠕虫/勒索软件包的第一个版本有一个kill开关,该开关被意外地用于禁用蠕虫功能,从而在上周五减慢了其进程,2017年5月12日。然而,防御ddos自动防御的吗,新的变种在野外出现,没有这种弱点。虽然第一个版本的蠕虫代码不能再传播勒索软件代码,但由WannaCry 1.0加密的系统将保持加密。不幸的是,没有已知的解密方法可以在不向网络罪犯付款的情况下恢复受WannaCry影响的文件(这是不建议的)。

自2017年5月12日星期五以来,SonicWall的Capture Labs发布了六个新签名,以阻止WannaCry的所有已知版本。还值得注意的是,防火墙上的SonicWall安全服务具有针对此代码的许多组件的内置保护,从阻止与WannaCry Command and Control(C&C)服务器的联系,到阻止利用任何未修补的SMB Microsoft漏洞(如EternalBlue)的尝试。

SonicWall Capture Labs在影子代理文件转储后立即在4月中旬分析了EternalBlue攻击,并对所有SonicWall进行了保护防火墙在第一次公开攻击之前就已经存在。此漏洞的所有已知版本都可以通过主动下一代防火墙安全服务从SonicWall保护的网络中阻止。

作为SonicWall的客户,请确保您的下一代防火墙具有主动网关安全订阅,以接收针对已知勒索软件攻击(如WannaCry)的自动实时保护。网关安全包括网关防病毒(GAV)、入侵预防(IPS)、僵尸网络过滤和应用程序控制。这套技术具有针对WannaCry(GAV的一部分)的签名,针对Microsoft安全公告MS17-010(IPS的一部分)中概述的漏洞提供保护,ddos自动防御设置,它还阻止了与WannaCry的有效负载来自的C&C服务器的通信(僵尸网络过滤的一部分)。

由于SonicWall电子邮件安全使用与网关安全相同的签名/定义,我们可以有效阻止传递初始感染路径的电子邮件。确保所有电子邮件安全服务都是最新的,以阻止恶意电子邮件。由于65%的勒索软件攻击都是通过网络钓鱼电子邮件发生的,因此在进行安全意识培训时,路由ddos防御软件,这需要成为重点。此外,使用SonicWall内容过滤服务的客户应激活该服务,以阻止与恶意URL和域的通信,这与僵尸网络过滤破坏C&C通信的方式类似。

作为最佳实践,始终对所有SSL/TLS(DPI-SSL)流量进行深度数据包检查,因为超过50%的恶意软件是加密的。这将使您的SonicWall安全服务能够识别和阻止所有已知的勒索软件攻击。启用DPI-SSL还允许防火墙检查未知文件并将其发送至SonicWall Capture Advanced Threat Protection for multi engine processing,以发现和阻止未知勒索软件变体。

查看我们的网页,了解更多有关SonicWall如何防范勒索软件的信息。

针对EternalBlue的GAV/IPS签名的最新列表截至2017年5月14日太平洋标准时间上午11:45,

本次攻击背后的一方已经发布了本次攻击的几种变体,我们已经为其建立了保护措施(见上文)。为确保您免受新开发的更新和类似的复制攻击,请首先应用参考资料部分列出的Microsoft提供的Windows修补程序。其次,应用SonicWall的多引擎网络沙箱Capture Advanced Threat Protection(Capture ATP),检查进入您网络的可疑文件,发现并阻止最新的威胁,就像我们使用Cerber勒索软件所做的那样。启用该服务的阻止直到判决功能,以分析网关上的所有文件,在恶意软件进入您的网络之前消除恶意软件。此外,Capture Labs将继续向客户发送有关新威胁的Sonic警报。