广东***科技有限公司 | 备份一体机、防火墙、EDR解决方案

背景介绍

公司服务器托管在IDC机房，网络安全得不到保证，没有配备防火墙和备份，备份都是用移动硬盘进行手动备份。

目前公司中了勒索病毒，导致系统崩溃，业务系统无法正常运行，损失严重。

勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。

勒索病毒通常使用非对称和对称加密算法组合的形式来加密文件，绝大部分勒索病毒均无法通过技术手段解密，一般无法溯源，危害巨大。

下图为被加密后的数据库用winhex工具打开的文件底层，可以看到被加密后，文件底层已经变成毫无意义的乱码，正常的文件都有相对应的文件头。

解决方案

乐美及时响应服务，配合客户恢复数据，重新部署服务器并低格化系统，最后保持业务系统正常运行。工作流程用时四个工作日，但对客户来说四天工作日的业务停顿，造成损失无法估量，我司为避免这种情况发生，与客户交流和分析，为客户配备了以下方案:

群晖备份一体机、外网防火墙、内网EDR终端

群晖备份一体机

采用群晖备份一体机ABB套件功能，能快速备份原有服务器部署好的安装环境镜像，整机打包备份。如果下次服务器再次出现崩溃、勒索的情况，可以直接快速还原服务器部署的环境，几小时内保持系统的快速上线。

群晖Active Backup for Business（ABB）套件可以免费的帮你省下这些不必要的开支，群晖Active Backup for Business（ABB）所提供的备份一体机方案，支持对计算机、物理服务器和虚拟机进行整机备份。以下整理了企业备份常见的收费方式和需求功能：

实现集中备份，统一管理；支持多台终端，批量部署；并且免许可证费用。简而言之，通过群晖就可以整机备份多终端平台，而且之后不会再增加额外的费用。

外网防火墙

1、威胁情报本地话，安全防护更高效：依据本地数据库，第一时间识别、阻断威胁，有效避免了威胁外溢，安全防护快速、精准

2、多核无锁化设计，功能全开，安全性能提升40%：采用了多核无锁化等领先技术，多组CPU在独立空间处理信息，支持核心业务全部开启，安全性能较上代提升40%，同时提供智能策略模板，第一时间解决特定需求。敢开安全功能，充分发挥安全价值

3、端口扫描+流量学习，零基础也能上线防火墙：传统人工手动做，逐台梳理并与业务方核对，耗时长，现在通过端口扫描+流量学习，1日内完成，不仅大大提高效率，而且一般技术人员也可以胜任

4、业务智能诊断中心、一键定位故障：业务智能诊断中心，支持网络故障原因自动化分析，并提供一站式故障排查向导，让运维人员能够快速定位并解决故障

5、模拟策略运行，预见调整的效果策略调整零风险：业务不中断也能调策略，彻底告别熬夜调策略的痛苦，大大降低策略调整的风险，并能实现精细化策略调整

6、简易云运维，无需跑现场也能调设备：通过云平台对防火墙进行远程管控，完成设备配置、策略统一下发、设备监控等操作

内网EDR终端

1、AI 赋能威胁检测机制，人工无介入未知威胁检测：

高检出：多层次过滤，不同类型威胁使用最优引擎检测；

低误报：灰度文件进一步检测，防止误报警报疲劳

资源消耗少：90%文件被第一层引擎过滤，不需要所有引擎并发检测

2、网端云协同联动，缩短威胁定位处置时间：深度协同联动：可以对僵尸网络进行溯源取证，让威胁定位更加精确

3、可控技术：基于系统层面之上的细粒度隔离访问控制，不同终端的安全隔离，不同部门间的安全隔离与访问控制，不同角色的访问

4、可视技术：对终端间的业务流向进行全面展现，绿线是在‘允许的策略’下互相访问产生的流量图，红线是在‘拒绝的策略’下访

帮助用户通过一个产品快速构建下一代EDR终端安全防护体系

搭建效果图