云和虚拟化环境中,边界的模糊化和动态化导致传统边界安全防护策略失效,使得勒索病毒的传播更为迅猛,而传统威胁检测手段无法识别其在云内的横向传播,因而勒索病毒对云环境会造成更大的危害。

轻代理部署示意图

360虚拟化安全管理系统针对云的边界模糊化、资源粒度粗放化、安全手段缺失等云上特性,可针对勒索病毒的传播渗透-投放执行-通信-横向传播等攻击链条,及时发现威胁并进行安全处置,最大限度降低勒索病毒给用户云工作负载造成的损失。

1. 针对勒索病毒渗透阶段,360虚拟化安全管理系统通过检测恶意的帐号暴力破解行为,有效防止勒索病毒利用弱口令手段来进行渗透,通过入侵防御功能对进入云工作负载的流量进行深度包检测(DPI),精准匹配漏洞的利用特征,有效拦截利用漏洞的渗透。

2. 在恶意软件投放执行阶段,360虚拟化安全客户端利用AVE,QEX,QVM、云查等多种病毒引擎有效查杀勒索病毒,其实时防护能力更是可在病毒落地时就将其隔离。同时,360虚拟化安全管理系统具备进程黑白名单功能,可将系统允许运行的进程限制在最小范围内,防止未知勒索病毒的运行。

3. 针对远程通信阶段,360虚拟化安全管理系统基于360大数据威胁情报能力,结合IOC特征,在云工作负载上完成进程及端口级别的匹配,精准定位到病毒进程,最大限度的降低勒索病毒对于用户资产的破坏。

4. 针对横向传播阶段,360虚拟化安全管理系统对其它工作负载进行加固和漏洞扫描确认修复,减少传播范围。

360虚拟化安全管理系统通过对勒索病毒攻击链的全链路应对措施,将主机配置加固、安全防护、威胁情报多种技术手段协同联动,形成防御-监测-响应的自适应安全体系,从而构成主动全面的云安全防护方案。

转自:https://www.secrss.com/articles/2580