事件回溯：醫(yī)院中病毒致網(wǎng)絡擁堵

近日，甘肅某醫(yī)院出現(xiàn)大面積的網(wǎng)絡擁堵，掛號、就診等出現(xiàn)延緩，大批患者滯留、無法正常就醫(yī)。

該醫(yī)院第一時間安排了工程師對網(wǎng)絡擁堵原因開展排查。經(jīng)初步排查，系內(nèi)網(wǎng)中存在大量勒索病毒，不斷攻擊內(nèi)網(wǎng)的機器，進而引發(fā)了網(wǎng)絡擁堵的情況。

明確原因之后，當務之急就是“殺毒”。該醫(yī)院開始陸續(xù)召集國內(nèi)外知名殺毒軟件廠商進行“殺毒”測試，但由于勒索病毒變種多更新快等特征，依靠這些傳統(tǒng)殺毒軟件根據(jù)規(guī)則庫查殺，并不能揪出病毒的源頭，成效甚微。

隨后，該醫(yī)院找到了安恒信息。安恒信息網(wǎng)絡安全工程師通過全局分析，部署安恒主機衛(wèi)士EDR。測試初期，安恒主機衛(wèi)士EDR對20臺終端PC進行測試，客戶端視圖如下：

? ? ? ?

成功安裝后，安恒主機衛(wèi)士EDR對主機進行快速掃描，掃描發(fā)現(xiàn)惡意程序27個。經(jīng)過客戶驗證及安恒信息技術人員手工加工具分析后，確定就是此次勒索病毒的一部分。

經(jīng)過與院方的溝通，又增加了對20臺終端PC（兩層）和4臺服務器進行測試，都能準確掃描出病毒所在。

（圖：系統(tǒng)截圖）

病毒初步定位后，五步來解決問題：

Step1：開啟安恒主機衛(wèi)士EDR的誘餌引擎，防止未知類型勒索病毒加密主機數(shù)據(jù)。

Step2：利用安恒主機衛(wèi)士EDR的漏洞管理功能，修復相關漏洞，內(nèi)網(wǎng)主機也通過EDR下發(fā)離線補丁。

Step3：利用安恒主機衛(wèi)士EDR對已感染病毒的主機進行網(wǎng)絡隔離，阻止其繼續(xù)攻擊內(nèi)網(wǎng)其他主機，并對其進行病毒查殺。

Step4：針對病毒能不斷自我復制的這一特征，通過安恒主機衛(wèi)士EDR的病毒免疫功能阻斷其再生并進行免疫，遏制病毒在本機的擴散。

Step5：全盤復查結合手工查殺，全面清理勒索病毒。

本次測試殺毒項目，該醫(yī)院充分認可了安恒信息在終端檢測、病毒查殺等方面的能力。安恒主機衛(wèi)士EDR還成功應用于河北某三甲醫(yī)院、浙江某軌道交通集團等，擁有較多的行業(yè)案例。

終端安全：安恒主機衛(wèi)士EDR

病毒感染、木馬入侵、黑客攻擊等已成為網(wǎng)絡安全威脅的一大難題，而這些絕大多數(shù)是通過終端感染傳播的，終端已成為大多數(shù)安全事件的目標和發(fā)生地，比如竊取數(shù)據(jù)、破壞系統(tǒng)、潛伏下來以備后續(xù)使用，因此保證終端安全及有效管理顯得尤為重要。同時，終端安全管理也是國家政策法規(guī)及等保的重要內(nèi)容。

安恒主機衛(wèi)士EDR是安恒信息在深入分析與研究常見黑客入侵技術的基礎上，總結歸納大量的安全漏洞信息和攻擊方式后，研制開發(fā)的新一代終端安全防護產(chǎn)品。

安恒主機衛(wèi)士EDR集成了豐富的系統(tǒng)防護、網(wǎng)絡防護、Web應用防護、工具箱、批量配置、流量畫像、定期巡檢、病毒查殺、資產(chǎn)指紋等功能。通過自主研發(fā)的文件誘餌引擎，輸出勒索專防專殺能力；通過內(nèi)核級東西向流量隔離技術，實現(xiàn)網(wǎng)絡隔離與防護；擁有補丁修復、外設管控、文件審計、違規(guī)外聯(lián)檢測與阻斷等主機安全能力。

目前產(chǎn)品廣泛應用在服務器、桌面PC、虛擬機、工控系統(tǒng)、國產(chǎn)操作系統(tǒng)、容器安全等各個場景。

客戶說

安恒信息在終端檢測、病毒查殺等擁有專業(yè)的產(chǎn)品和服務，能快速地發(fā)現(xiàn)病毒、構建終端安全防御，幫助我們高效地解決了網(wǎng)絡擁堵的問題，保障了業(yè)務連續(xù)和數(shù)據(jù)安全。