医院勒索病毒“常规解决方案”优缺点分析

医院勒索病毒“常规解决方案”优缺点分析

 勒索病毒作为一种智能型木马,并不是传统意义上的病毒。但是,集成商和一般安全厂商往往不清楚勒索病毒的真正传播与危害原理,在解决方案中通过组合尽可能多的杀毒软件、防火墙、入侵检测、漏洞扫描等产品,去防御勒索病毒危害。

     另外,在其解决方案中往往还会追加众多的安全服务:及时升级杀毒软件、全面调整防火墙策略关闭端口、及时升级入侵检测系统、优化漏洞扫描策略、升级业务系统、操作系统打补丁等等。

当然,针对于勒索病毒,常规的解决方案并非一文不值,以下笔者从常规解决方案的优缺点来做具体分析:

常规解决方案优点

     一是方案看起来“高大上”,技术手段“很丰富”。针对勒索病毒的传统解决方案,在产品的使用上比较充分,在安全服务的考虑上也比较多,覆盖了从系统层安全、网络层安全、自动化升级服务、人工服务等多个层面和多个维度。所以,常规解决方案往往显得“高大上”、“很丰富”。

     二是“守株待兔”,能解决部分已知勒索病毒威胁。在部分已知勒索病毒样本的情况下,传统勒索病毒解决方案有效果,至少能实现对部分已知勒索病毒样本的封堵。

常规解决方案缺点

    一是未知勒索病毒及其变种“无法应对”。常规解决方案的安全防护原理基本上都是根据样本特征去发现威胁、分析威胁,然后对威胁采取防护策略并进行防御。

   这种模式只能局限的解决部分已知勒索病毒安全威胁,但是应对未知勒索病毒及其变种威胁时,产品即使不断增加样本特征来弥补防御能力的不足,也无法第一时间实现对未知勒索病毒及其变种的威胁进行有效防御。

     二是业务系统升级、打补丁和关端口“可行性差”。医院业务系统运行多年,大多系统存在稳定性差、数据孤岛、耦合依赖关系严重。然而,业务系统开发商盲目地推行业务系统升级、操作系统打补丁,势必会影响业务系统的稳定运行,甚至于造成业务系统直接崩溃。这就存在系统无法运行的极大风险,同时关闭部分系统服务对本身的业务系统流程造成损害也是明显的。

    比如,传统解决方案往往还提出关端口。比如445端口,是共享文件夹和共享打印机依赖的端口,很多医疗医院都必须使用445端口,如果关闭了该端口,共享服务马上中断的情况屡屡发生却无人提及。

     三是采购产品和服务多,总体“投资大”。一股脑的采购产品和服务,从安全保障造价角度来讲,也需要慎重考虑。好产品好服务必然不会便宜,便宜的产品和服务肯定质量无保障。

   传统勒索病毒解决方案,采购齐全安全产品和安全服务,是医院的一大笔花销。最关键的是对未知及其变种的勒索病毒还无效,性价比极低。

     四是方案运行“维护难度大”。安全设备的使用极大增加了专业安全维护工作量。医院IT系统的安全运维人员往往是医生或系统管理员兼职,他们很难去面对各种类型的专业安全设备配置维护。

    面对专业的安全产品,对运维操作人员提出了近乎苛刻的专业技能要求。单是防火墙、入侵监测系统、防病毒系统等安全设备每天产生数百甚至数万条日志信息的汇总、过滤、关联分析,就需要大量的专业技术人员来完成。

新解决方案“如何应对”

     国联易安凭借多年对恶意代码的研究,运用人工智能技术,开发了基于AI技术的多维度勒索病毒检测算法,构建了对勒索病毒及其变种的动态识别模型,实现了对勒索病毒及其变种的机器学习和识别能力、检测能力和防御能力的自我进化。达到了对所有勒索病毒及其变种的自动识别、主动检测、精准定位和全面防御效果,解决了勒索病毒发现难、防御更难的尴尬困境和问题。

     国联易安下一代勒索病毒防御系统通过对服务器与终端行为数据的持续监控,对服务器与终端数据进行主动检测和关联分析,对检测出的安全威胁实时处置防御,实现对安全事件的快速响应和威胁根源的快速定位。国联易安勒索病毒防御系统利用以上四步形成闭环模型,旨在帮助医院用户建立完善的从服务器到终端的未知威胁检测和响应体系,达到“一夫当关,万夫莫开”的效果。