第一话
嚣张的勒索病毒
勒索软件进入量百姓视野的主要事件是2017年的WannaCry事件,以及三六零公司(以下简称360)应对网络安全威胁的思路和相应举措。数字化时代需不断升级网络安全思路去年到今年上半年,全球近百个的金融、能源、医疗、教育等众多行业受到影响。尽管安全防御技术不断更新迭代,全球范围内网络安全重事件频发,勒索病毒却愈演愈烈。越来越多勒索组织采用勒索即服务的“商业模式”,供应链攻击、勒索攻击、工控设备攻击、APT攻击、数据窃取等各种攻击手段层出不穷,扩展下游用户,网络攻击也成为国间对抗的热点话题。周鸿祎表示,降低勒索软件使用和传播的门槛。
2021年7月中旬,“未来,据BleepingComputer报道,背景的网军、APT组织、有组织网络犯罪将成为网络安全最的威胁,厄瓜多尔最的网络运营商电信遭遇RansomEXX勒索软件攻击,网络攻击的目标、手法,业务陷入瘫痪;勒索团伙宣称已拿到190 GB数据,产生的破坏都突破常规,并分享了分文档截图,威胁不断升级走向高端化。”他指出,包括联系人列表、合同及客户支持日志等信息。
2021年7月初,数字化有三个特征:一切皆可编程、万物均要互联、数据驱动业务,美国IT管理软件厂商Kaseya中招REvil勒索软件。REvil勒索组织利用零日漏洞攻击了Kaseya的远程监控与管理软件VSA。据称至少有1000家单位受到影响,例如瑞典知名连锁商店Coop的顾客无法付款,全国近800家门店被迫关闭。REvil勒索组织要求受害者支付8000万美元(约合5.2亿元),赎金总额创历史新高。
第二话
和勒索病毒有关的数据
2021年,平均每11秒会发生一次勒索攻击
(Cybercrime Magazine, 2019)
最常见的勒索病毒攻击手段是邮件钓鱼、RDP漏洞和软件漏洞
(Cybersecurity & Infrastructure Security Agency, 2021)
2020年近50%的医疗数据泄露由勒索病毒造成
(Health and Human Services, 2021)
针对高校的勒索病毒攻击事件从2019年到2020年增长了100%
(BlueVoyant, 2021)
90%的金融机构是勒索病毒的感染目标
(PR Distribution, 2018)
2017年Q1,FedEx在NotPetya勒索病毒事件中损失约3亿美元
(Cyberscoop, 2021)
第三话
小默支招:如何防治?
在勒索病毒发生的事前、事中、事后阶段做好下面这些工作,面对再棘手的勒索病毒也能够从容应对。
事前预防-勒索病毒风险管控
很多网络安全风险的有效预防都离不开一项非常基础但易被忽略的工作——资产及资产暴露面的梳理。默安科技的哨兵云-资产风险监控系统与水滴-主机安全管理系统能够做到对IT资产指纹的自动化梳理,同时提供以下防范勒索软件的能力:
对资产中的漏洞和风险点执行周期巡检,重点关注勒索病毒可利用的弱点,并结合人工服务及时进行加固;
重点梳理和监控重要文件,设置严格的访问策略,防止无权限进程进行访问或篡改,一旦发现异常操作即作告警或阻断,防止勒索事件的发生与升级;
执行安全风险验证,判断应用、主机漏洞及未授权服务是否可利用、是否可获取权限等,提前发现勒索风险隐患,及时阻断勒索病毒进入、运行与传播的路径。
此外,水滴-主机安全管理系统还提供进程信任策略,即对需要重点保护的服务器开启进程信任策略,在一定周期内持续学可信进程,形成进程白名单。白名单以外的进程作告警或在启动时自动阻断。进程白名单机制的一个显著优点是保证系统轻量、运行平稳,不干扰正常业务的运行。
事中重防-内网攻击诱捕与处置
事中阶段需要重点防御勒索病毒的传播感染,利用欺骗防御、恶意软件检测等技术,精准检测勒索病毒,并提供自动阻断、溯源定位等实时处置能力。欺骗防御技术能够很好地解决无法识别未知的勒索病毒变种的难题。
1
内网业务模拟仿真
通过模拟真实业务,构建各类沙箱集群,同时在沙箱中发布漏洞,降低攻击难度,一旦勒索病毒延伸至模拟沙箱,就会立即被感知。
2
内网东西向流量诱捕
默安科技的欺骗防御体系中包含中继节点模块,能够绑定不同VLAN中的空闲IP,低成本、高效地将幻阵蜜网区的沙箱覆盖到各个VLAN区域。一旦病毒横向扩散到这些空闲IP,中继节点即可对病毒流量进行感知诱捕,同时沙箱监测还可用于事件回溯。
3
主机层主动诱捕
水滴-主机安全管理系统也可在目标主机中放置诱饵文件进行威胁感知,只要诱饵文件被异常加密,即可判断为勒索攻击,恶意进程被自动阻断。
事后响应-病毒应急处置
勒索事件发生后,水滴-主机安全管理系统在发现已知病毒、重要文件异常操作、异常进程、诱饵加密等情况后会作实时告警或阻断,完成自动化响应。
此外,受害单位应立即建立应急处置团队和应急处置规范流程,对病毒事件进行抑制、根除和溯源等。默安科技能够提供高效的病毒应急处置服务,包括立即隔离受感染主机、排查核心业务/生产线/备份系统是否受感染等,帮助客户加固网络,并快速恢复业务。
第四话
勒索软件防治案例
在Globelmposter 3.0勒索病毒变种事件中,默安科技应急响应中心在病毒发现6小时内向全用户下发应急响应方案,并协助更新病毒检测插件,帮助客户避免遭受新型勒索病毒的感染,高效服务得到了量金融、运营商、、医院行业客户的点赞与认可。
免责声明:文中图片均来源于网络,如有版权问题请联系我们进行删除!
