1、2017 向勒索软件Say No WannaCry 永恒之蓝”危机介绍WannaCry 勒索软件介绍谁已受到影响?最初,攻击似乎仅限于英国更具体说是英国国家卫生署(National Health Service,简称 NHS,是一家公共政府机构)但短短几个小时内就成为了全球性病毒,现已影响 150 个国家/地区的 200,000 家企业,包括俄罗斯、西班牙、德国和美国。FedEx、Renault、Nissan、Deutsche Bahn 和 Telefonica 等著名公司都报告了该攻击。后门及其它影响:除了勒索之外,蠕虫还循环通过系统上的每个 RDP 会话,以该用户的身份运行勒索软件。它好像
2、还会安装 DOUBLEPULSAR 后门,可能允许未来的远程代码执行,并且会损坏影子卷,加大恢复的难度。(注意:如果蠕虫在执行前未被捕获,此影子卷副本损坏还会使下一代 AV 很难逆转影响。)杀灭开关:一名恶意软件研究人员意外发现 WannaCrypt 上有一个“杀灭开关”。它与固定域 的检测相关。如果域成功返回 HTTP 响应,杀灭开关就会阻止蠕虫传播。请注意,如果受感染的机器无法到达此域(因网闸、防火墙的阻隔或被过滤),则不会触发杀灭开关。它只会尝试一次到达那里。虽然杀灭开关减慢了此勒索软件的扩散,为企业提供了一个修补的时间窗,但可能等不了几天又会出现新的变种。(仅仅周日一天就发现了三个新的
3、变种在作祟。)因此任何人都不可忽视修补的紧迫性。此勒索软件的扩散“类似于瘟疫”WannaCry 勒索软件介绍 怎样防范勒索软件的威胁常见的预防勒索软件的9大措施1.为关键操作系统和应用安装补丁 2.确保杀毒软件更新至最新版本,并已计划定期扫描 3.管理特权帐户的使用 4.实施以数据为重点的访问控制 5.制定、实施并执行软件规则 6.禁用来自 Microsoft Office 文件的宏指令7.实施应用白名单 8.将用户限定在虚拟化或集装化的环境中 9.经常备份关键文件Ivanti 2017 解决方案如何防范勒索软件Ivanti 关于防范此勒索软件及其它勒索软件的建议n保持系统在最新状态:如果使用
4、的 Windows 操作系统版本较旧但受支持,请保持系统在最新状态。考虑使用集中补丁管理解决方案来简化部署,帮助确保部署已经过补丁合规性全面检测的补丁。n不支持的 Windows 和 WannaCrypt 版本:(Windows XP、Vista、Windows 8、Server 2003 和 Server 2008):Microsoft 发布了紧急补丁,可在此处查找。更新:Ivanti 发布了“补丁与合规性”定义更新,用于检测和修补 XP 和 Server 2003 的这一脆弱性。更多信息请参阅:https:/ Ivanti 端点管理(以前的 Landesk 管理套件)或 Ivanti 端点
5、安全(以前的 Landesk 安全套件),请参阅补丁与合规性登录页面。n对于 Ivanti SCCM 补丁插件/Windows 服务器补丁(以前的 Shavlik Protect)/OEM 客nProtect 和 SDK:将 XML 更新到 2.0.2.2417 并部署 MS17-010,确保旧操作系统都已部署最新的补丁包。nSCCM 补丁插件:部署三月份星期四补丁日发布的安全包和补丁以修补漏洞。n上述操作系统在 2017 年 3 月及以后的任意安全月度质量汇总中也会修补此漏洞Ivanti 端点安全对勒索软件提供多层式防护n2016.3 版本新增:自动检测带有加密特征的主机行为,遇到非法勒索加
6、密动作自动进行阻止Ivanti 端点安全对勒索软件提供多层式防护n2017.1 版本新增:可以立即隔离遇到安全风险的主机Ivanti 端点安全对勒索软件提供多层式防护n2017.1 版本新增:使用此版本可以检测未修补的浏览器,将访问仅限于预先批准的网站Ivanti 端点安全对勒索软件提供多层式防护n2017.1 版本新增:使用此版本可以检测未修补的浏览器,将访问仅限于预先批准的网站Ivanti 端点安全对勒索软件提供多层式防护n2017.1 版本新增:防范最新的无文件攻击趋势,我们新的文件保护规则将缓解脚本和无文件攻击Ivanti 补丁管理器 修复MS7-010Ivani对最新的勒索软件补丁的
7、更新自动匹配对应的系统,下载对应的修补程序灵活的修复任务临时任务建立一个组无人值守自动修复设置步骤6:分发过程中如果有机器关机,当重新开机后会从服务器同步任务,自动开始分发任务,无需管理员干预19LANDesk 服务器ROUTERROUTERSite-to-SiteWAN步骤1:管理员开始软件分发任务步骤2:在每个子网智能(人工)选择子网代表终端步骤3:每台子网代表机开始下载软件包步骤4:其它目标机器从已经下载的本地机器上开始获取软件包步骤5,如果子网代表机关闭或失败,其它机器将自动成为新的子网代表ONONONONONONONOFFOFFOFFOFFOFFOFFOFF分支机构本地网络n 补丁分
8、发过程示意图补丁管理可以引入自动项目部署机制一个项目中可以集成多个不同任务计划可以给项目中每个阶段任务,定义内容,执行方式和任务时间,任务对象,完成标记等属性任务在完成每个阶段时,会邮件提醒以触发下一阶段任务更适合企业管理时的场景,基于流程的项目触发机制,更高效的管理支持邮件通知和提醒补丁管理项目式部署Ivanti 全平台补丁管理技术LANDESK Shavlik PATCH 数据中心操作系统以及第三方应用软件的补丁管理虚拟化服务器无代理技术Hypervisor 虚拟控制程序的补丁在线或是离线补丁镜像以及回滚操作物理服务器支持无代理 传统代理模式漏洞发现以及修复22Shavlik PROTEC
9、T简介复合网络环境普通工作站Shavlik Protect 功能特点易于使用直观的界面20分钟完成安装配置在一个界面里管理所有设备的资产和补便捷可视化的报表多样的报表选项常用的IT管理脚本支持操作系统补丁以及第三方补丁 可选的安装代理以及无代理技术自动化的补丁管理可选的自定义补丁重启的控制综合的补丁管理 虚拟化支持可以修复在线或离线状态的 VM虚拟主机可以修复VM虚拟模板的补丁修复前自动镜像虚拟机从 vCenter中获取虚拟机信息可修复 hypervisors管理台补丁Shavlik Protect 对软件的补丁支持 Shavlik ProtectMicrosoftPatch Coverage
10、支持所有微软的补丁以及常见的第三方软件的补丁and many moreComprehensive Patch Management Shavlik Protect工作过程25ON-NETWORK WORKSTATIONS/SERVERSPROTECTSHAVLIKCLOUD在企业环境里部署Shavlik服务器1被测试的补丁已放在云端供客户下载2客户端进行扫描并检查需要修复的漏洞3补丁从厂商站点下载并保存在中心端4向目标对象或组推送安装补丁5XMLSCANComprehensive Patch Management Shavlik Protect 的易用性2620分钟内完成安装配置很短的时间内就
11、能体现价值多样化的发现手段可管理的网络部署凭据,支持远程推送安装配置内置多样的可用报告模板高级补丁状态的汇总报告针对主机的补丁明细报告自定义报告直观的报告支持不安装客户端对主机进行扫描和漏洞修复可查看缺失的补丁简单的“右键”修复漏洞的操作可选的自动化修复补丁补丁分发方式Ease of Use无代理资产设备的发现与管理27在你的环境中自动快速的发现设备可选的多样的发现手段可用给每个组或主机设备凭据,进行远程管理 Ease of Use补丁的发现与修复状态跟踪28发现主机 查看漏洞扫描状态查看修复结果信息 无客户端补丁分发29查看已扫描的机器查看缺失补丁的主机右键快速设置修复漏洞可计划任务的自动分
12、发和自动修复任务Ease of Use生成并定制符合您需要的报告30创建可以发布的补丁报告查看高级汇总报表或单台明细报告可自定义的报告或集成第三方报表工具来展现Ease of UseVirtual Support31虚拟化补丁管理通过与虚拟化vCenter集成获取来自虚拟机的资产信息虚拟化无代理补丁管理 -保持 VM虚拟主机的效能 -无需安装客户端 -发现“非法”VM虚拟机修复在线虚拟机 -修复前抓取镜像虚拟服务器端的修复 (WM-ESXi)修复离线VM虚拟机 -插入补丁文件 -隔离 VM虚拟机 -启动-安装-关闭 -重新可用修复VM虚拟机模板32查看虚拟主机清单一键即可获取你虚拟环境的主机信
13、息查看可用更新选择与部署补丁修复VM虚拟主机 Virtual Support33修复ESXi虚拟服务器检查受影响的虚拟主机 查看Hypervisor 更新设置虚拟主机修复可选项Virtual SupportIvanti 应用管理器 白名单及权限控制Ivanti 应用管理器-白名单Trusted Ownership支持厂商签名支持EXE BAT 注册表SHA-1数字签名30%对所有形式的恶意软件(甚至包括零日攻击)的最终防范是只将企业了解并信任的进程和应用程序加入白名单系统权限控制面板系统属性让最终用户以非管理员身份运行,但不会失去生产力或功能,将勒索软件和恶意软件可能造成的损坏限于端点Ivanti 应用管理器-权限控制Thank You!
