方案设计
某国有企业由于员工安全意识薄弱、企业安全防范措施缺乏,误点了带病毒的垃圾邮件中的附件,导致挖矿病毒在内部网络传播蔓延。该病毒在内网利用445端口及“永恒之蓝”漏洞肆意传播,导致应用服务器CPU、内存等系统资源被全部占满,网络流量也异常激增,严重影响生产及办公环境,并存在重要资料泄漏的风险。
通过邮件攻击是常见的APT攻击手段之一。APT(Advanced Persistent Threat)是指高级持续性威胁,本质是针对性攻击。
利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击。
针对APT攻击特性及用户环境现状,我们提出以下改进建议:
Ø 在现有网络架构的网络接入区域增加下一代防火墙、防毒墙等设备,以阻止应用层的黑客入侵及网页访问、文件下载等渠道进入的病毒;
Ø 在企业邮件服务器前,部署带APT攻击防护的反垃圾邮件设备,以尽可能增加APT攻击者的攻击成本,达到防护目的;
Ø 将网络逻辑分离,根据功能划分多个VLAN,各VLAN间通过端口限制访问;
Ø 根据安全规范,增加安全管理区,并在安全管理区增加威胁发现、堡垒机、喜数天镜IT检测、态势感知等设备,以实现常态化的检测机制,及时发现问题;
Ø 在服务器区部署服务器防病毒软件,在办公区部署桌面防病毒软件。
Ø 通过访问策略,加强各个区域的管理,避免未经审核的非法接入及病毒的传播。
Ø 通过喜数漏扫服务及渗透测试服务,被动防御与主动防御手段相结合,最终建立立体安全防御体系。
产品清单