ADRA NDR 资安解决方案

主动侦测并阻止目标式勒索病毒

QNAP ADRA 快筛网络侦测及应变 (Network Detection and Response, NDR) 解决方案可选择性过滤网络流量，并侦测恶意软件的横向移动扩散，有效阻止恶意攻击者将您的数据外泄或加密。

对抗新型攻击的威胁，您需要新的防御手法

感谢您选用 QNAP 设备保存您的重要数据。但也正因如此，操作恶意软件的攻击者常常锁定 QNAP NAS 及您局域网络上的其他服务器或服务进而发动攻击，试图未经授权存取其中所存放的敏感数据。随着越来越多目标式勒索病毒事件对个人及企业数据进行加密勒索，甚至为了逼迫受害者支付赎金故意将数据外泄公开，您应该详细审视现有资安措施，确保相关保护的充足。

目标式勒索病毒是什么？

目标式勒索病毒会使用多种途径，尝试入侵您的局域网络。其作案手法不仅复杂，且难以侦测察觉。一旦您的网络外围防护遭到渗透，勒索病毒便会低调地长期潜伏在区网中，慢慢地感染所有设备。当您发现恶意软件存在时，真正的攻击往往已经发动，造成难以弥补的损失。根据研究，制造业、政府单位及教育机构三大领域为目标式勒索病毒威胁的主要目标。

如果您的存储服务器已被勒索病毒感染加密...

这可以从两个方面加以解读。首先，这表示恶意软件已长时间悄悄地在您的区网内水平移动扩散，并突破重重防护，潜入您 IT 基础架构的核心，造成了严重的问题。再者，您连接在区网边缘或核心交换机的传统资安设备也无法侦测到在区网较下端活动的恶意软件。同时，此类传统资安设备会扫描所有流量，容易拖慢网络速度，因此也不适合连接需要很高传输性能的 NAS 及其他服务器。

目标式勒索病毒的危害

一旦突破外围，区网门户敞开

传统资安设备建置于您区网的边缘，构成防护边界。但若此边界被突破，内网则无任何侦测及应变机制来防止目标式勒索病毒在内网横向移动扩散。
犯案手法诡诈，难以侦测

目标式勒索病毒的攻击者善于用各种入侵通道掩盖行踪，因此企业需要招募非常专业的 IT 人员对恶意软件活动进行侦测及调查，但此做法成本过高，中小企业难以负担。
病毒发作才应变，为时已晚

目标式勒索病毒几乎可以运用任何种网络设备 (例如打印机以及虚拟机) 作为发动攻击的跳板。这些客户端设备常常是无人看管的。等到您察觉恶意软件时，往往已来不及阻止加密，造成重大损失。

QNAP 开发的资安特效药：ADRA NDR 解决方案

ADRA NDR 解决方案是 QNAP 针对目标式勒索病毒开发的资安对策。我们的初衷是希望保护 QNAP NAS 免受恶意软件威胁，但其他品牌的 NAS 及服务器也可搭配 ADRA NDR 形成坚实防护。

威胁侦测：及时发现恶意软件活动

威胁监控

ADRA NDR 会检查通过交换机的特定网络封包，确认是否为可疑活动。由于仅快筛检查部分网络流量，因此网络吞吐量不受影响，让存储服务器及各种服务维持稳定的高性能。
威胁诱捕

威胁诱捕功能会伪装成多种常见网络服务 (例如 SSH 及 SAMBA)，如诱饵般吸引目标式勒索病毒发动攻击。一但出现恶意软件活动，ADRA NDR 就可加以侦测并进行隔离。

威胁分析：产生宝贵建议，为后续应变作判断

威胁深度分析

当威胁侦测功能发现可疑活动后，ADRA NDR 会分析网络流量封包，并比对一系列已知规则来判断攻击类型。
威胁关联分析

ADRA NDR 会对一段时间内侦测到的不同可疑活动进行交叉分析，确认其是否互相关联，以作为推定相关风险等级的额外条件。

威胁回应：立即阻挡并控制恶意软件活动

自动隔离

自动隔离受恶意软件影响的设备，尽所能攻击控制范围，且未中毒设备不会受影响，无需切断所有网络联机。
人工风险管理

IT 管理人员可手动进行多种动作 (包括隔离及暂时放行)，灵活应对各种营运需求。

当确认计算机设备受到感染，使用 QNAP NAS 尽速还原计算机与服务器

当 ADRA NDR 侦测到高风险内网扩散攻击，IT 管理者可设定将受感染计算机或连网设备隔离，并对计算机作相应的深度扫描。通过 QNAP NAS，您可透过 3-2-1 备份原则与快照功能将数据恢复到先前数据完整无缺时的时间点。大幅降低等待资安调查所需的时间成本和人力资源，快速恢复员工工作计算机与公司业务所需的服务。