勒索频发，奇安信天守助力大连理工大学建设终端安全防御体系

近日，大连理工大学网信中心发布了个人终端网络安全水平提升行动集结令，推荐全校师生使用奇安信天守终端安全管理系统来阻止勒索病毒、挖矿病毒、远控木马和各类恶意程序，解决近期校园网内计算机病毒木马情况呈现上升趋势的问题。整体行动分为两个检查：学生自查和网信中心复查，以及分析异常流量、发现中毒终端、发起处置流程、提供技术支持服务四个阶段来实现 “全校师生同努力·维护清朗校园网” 的网络安全防护目标。

01

奇安信天守提供防勒索、防漏洞、防病毒等专项安全防护方案

2023年9月，奇安信天守终端安全防护系统发布了针对勒索攻击防护的专项安全能力。该服务以勒索攻击的事前、事中为主要防护阶段，实现病毒实时防护、漏洞风险核查、弱口令风险核查、高级威胁攻击防护以及勒索专项防护（勒索诱饵、文件读写防护）五个层面的递进式防护体系，从而在勒索病毒渗透和加密的各个入侵环节严密防护，积极对抗，构建勒索防护能力闭环。

在病毒实时防护方面，天守病毒检测功能支持包括当前活跃的LockBit勒索家族样本查杀。将天守-防勒索版病毒码升级到最新版本，可有效防护勒索病毒落地。六合高级威胁防护引擎，有效防护无文件攻击、横移渗透攻击、内存攻击等多个高级威胁攻击。

在漏洞风险核查方面，第一步是开启高危漏洞识别功能，通过下发已梳理在推荐模板中被勒索病毒武器化的高危漏洞扫描任务，根据扫描出来的漏洞进行修复，能有效降低勒索病毒利用高危漏洞攻击的风险，防止攻击者利用高危漏洞投放勒索病毒。

在弱口令风险核查方面，开启弱口令核查功能，需要对系统弱口令进行检测，将不符合要求的弱口令用户密码进行提示。方便用户及时掌控安全动态，及时整改弱口令风险，避免通过弱口令进行勒索入侵。

在文件监控与防护方面，基于勒索病毒在文件系统层、磁盘IO读写层进行勒索加密时的行为特征，天守利用隐私防护功能在文件被越权进行读、写时进行拦截提醒，有效防御勒索进程运行，阻塞勒索操作。

最后是天守勒索专项防护，天守防勒索专项提供了17项攻击防护内容，以及多个高级威胁防护项目。对勒索威胁提供了预警、日志等手段帮助管理员实现和开展企业内终端的勒索防护工作。天守还提供了勒索诱饵防护功能，系统会在操作系统中创建诱饵doc文件，并实时监控该文件的写入，正常业务不会访问到诱饵文件。当勒索病毒遍历系统中文档并加密时，也会对诱饵文件进行加密，同时该功能会监控到加密文件的勒索病毒进程，阻断该进程并隔离进程关联的勒索病毒文件。

02

奇安信天守提供多种资产管理和身份认证能力

针对高校师生人员众多，每年学生毕业、入学人员流动性大的问题，天守提供了灵活的资产身份认证手段。通过资产登记准入管理、资产信息实名管理和资产合规检测三个途径，对校内所有终端设备进行灵活的身份管理和授权管理，安全管理措施可通过管理录入院系、班级、姓名、学号具体到人。灵活的自定义信息录入规则，可应对强实名制、弱实名制等多种场景。采集侧支持多种验证方式：既支持严格校对数据，验证后再通过；也可以先通过再由管理员事后确认。

03

网络安全防护的几点安全建议

近年来，以Lockbit为代表的勒索病毒攻击频频发生，给金融、制造业、能源等行业带来重要数据泄露、社会系统瘫痪等重大危害，甚至严重威胁了国家安全。面对来势汹汹的勒索攻击，政企组织该怎样自救？奇安信终端安全防护专家归纳了以下几点建议。

定期备份：定期备份所有数据，并确保备份存储在离线设备或云存储中。这样，即使受到勒索软件攻击也有冗余恢复数据；

更新软件：及时更新操作系统、应用程序和安全软件，以填补漏洞和提高安全性；

加强终端防护：可以部署天守终端安全防护系统，可以在勒索病毒的事前攻击阶段、事中加密破坏阶段进行防御和拦截。通过六合高级威胁防护引擎和天守特有的“隐私防护”功能，有效阻止勒索攻击行为；

建立强密码：使用强密码来保护所有帐户，并定期更改密码；

系统加固：关闭非必要对外的服务、端口、共享等；

提高安全意识：保持安全意识，警惕不明来历的电子邮件、链接和下载。