8月3日晚,台湾积体电路制造股份有限公司(简称台积电),遭大规模病毒入侵,导致数家工厂停产,主要包括位于台湾新竹科学园区的12寸晶圆厂、位于台中科学园区的Fab15厂以及台南科学园区的Fab14厂。这代表台积电在台湾北、中、南三处重要生产基地,同步因为病毒入侵而导致生产线停摆。
据澎湃新闻报道,这次攻击台积电设备的是勒索病毒Wannacry,具体现象是电脑蓝屏,锁各类文档、数据库。台积电首席财务官何丽梅表示,“台积电之前也曾遭到过病毒攻击,但病毒攻击影响生产线还是首次。”每年的第三季起是台积电大客户的备货旺季,尤其是智能手机大客户苹果开始拉货的季节。因此,台积电的生产线出问题,是否会影响客户后续旺季备货效应,需要继续观察。
尽管勒索病毒十分猖獗,但在勒索病毒完成加密任务之前,还是有机会将其清除,挽救数据。钛安内网威胁情报中心已帮助众多用户在勒索病毒加密前进行准确定位,保卫客户数据安全。
钛安内网威胁情报中心,突破了传统被动防御的安全理念,采用应用“欺骗防御”(Deception)技术,有效解决了现有安全产品误报率高,无法准确发现内网攻击行为等问题。结合日志审计、流量审计等产品,可为内网多源日志的关联分析提供高可信情报信息,有效提升APT攻击和横向移动攻击的识别准确率。同时本系统还可以准确定位内网蠕虫病毒传播源IP地址,协助管理人员快速定位内网勒索病毒、挖矿病毒主机。
安全现状
席卷全球的勒索病毒(中文译名:永恒之蓝)在全球范围大爆发,部分大型企业的应用系统和数据库文件被加密后,无法正常工作,影响巨大。相比勒索病毒,门罗币挖矿病毒更加隐秘,该病毒会造成中毒设备显卡满载,远程为黑客挖矿。卡巴斯其下实验室数据显示,从2015年到2017年间,利用电脑病毒、蠕虫等手段控制电脑挖矿的攻击增加了近1.5倍。
同时高级持续性威胁(APT攻击),也在不断的威胁着企业的核心数据安全。APT攻击是针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。现有安全防护技术很难发现APT攻击、内网横向攻击行为。
解决方案
针对以上问题,企业的网络安全防护思维要有所转变,企业网络安全不仅要有优秀的防御能力,更要有快速的安全应急响应能力。面对边界网络安全设备不能100%保证网络安全的现状,能大幅提高企业的安全应急响应能力产品越来越重要。
钛安内网威胁情报中心是国内首款应用“欺骗防御”(Deception)技术检测蠕虫病毒、APT攻击的产品。在用户的内网中部署与真实资产相似的虚拟节点来欺骗攻击者,不仅能够快速定位到内网中的威胁行为和蠕虫病毒传播源,还能迷惑攻击者,为企业的安全应急响应争取更多的时间。
在通过内网威胁情报中心获取ATP攻击源、蠕虫病毒传播源等内网威胁情报信息的同时,钛安日志大数据分析系统全面采集现网安全设备(IDS、防病毒、上网行为管理、桌面终端管理)日志信息,网络流量数据。运用关联分析、数据建模、机器学习等技术手段,进行大数据分析。并通过可视化技术进行多样化的展现,使用户可以在统一的平台上,全方位实时感知内网安全态势,检测安全威胁和异常行为,快速响应和处置安全事件,实现安全管理的智能化。
主要功能
1.混淆攻击,增加攻击成本、实时告警。通过部署“陷阱”的方式,混淆黑客的攻击目标,将攻击隔离进沙箱系统,延缓攻击进程,并以多种方式通知管理员。
2.伪装代理,攻击流量转移、核心资产入侵检测。通过在企业内网真实核心服务器上部署“伪装代理”,可让“陷阱”遍布整个内网,将黑客针对真实服务器上“陷阱”的攻击流量引入“陷阱”,不仅可大大提高对攻击行为的感知率,同时也不会对真实服务器的性能造成影响。
3.攻击溯源。系统基于行为分析模式,利用大数据对溯源引擎进行训练,可精确识别每条黑客攻击源,攻击路径以及攻击手法,为管理人员提供有效的威胁感知和攻击定位工具。
4.关联分析。自动化的将内网威胁情报信息带入钛安大数据分析系统,全方位实时检测内网核心服务器(WEB服务器、数据库服务器)所面临的安全威胁和异常行为,帮助安全管理人员快速响应和处置安全事件。
5.情报分享,系统能自动生成攻击的防护策略,并能自动更新网内各类安全设备的防护策略,提高全网络攻击预警和防护能力。 |
