方案升级|勒索病毒肆虐,何为有效防护体系?
01
什么是勒索病毒
近日,多家单位中勒索的消息在安全业界激起千层浪。一旦遭受勒索攻击,不仅需要支付高昂赎金,还将影响公司核心业务、企业公信力与声誉等。
勒索病毒是黑客利用系统漏洞、邮件钓鱼等方式入侵服务器或办公电脑,利用加密算法对文件加密(被攻击者无法解密、必须通过暗网支付赎金得到密钥才能破解)、数据窃取、系统加密和屏幕锁定等。
相关监测显示,目前勒索病毒主要是黑客针对特定目标攻击,通过外部渗透获取内网服务器权限后进行内网横向攻击造成的。当组织内部遭受勒索病毒攻击,从而导致其重要数据被加密,生产经营将遭受不同程度影响,严重影响了正常运营秩序。
02
勒索病毒横行,传统防御何去何从
目前,活跃的勒索攻击病毒种类繁多,传播方式多样,且处于不断更新变异之中,极高频率的变种使得传统或单一防护手段(如防火墙、IPS、杀毒软件等)在应对海量新型勒索病毒时,毫无用武之地。
此外,勒索攻击已显著具备APT攻击的特点,勒索攻击普遍采用漏洞利用、钓鱼邮件、移动介质、供应链、远程桌面等方式进行传播,使用单一的安全产品或单一的技术手段面对勒索病毒的入侵时,往往面临“排查难、抑制难、溯源难、恢复难”四大问题,特别是新型的病毒,一旦某一点被突破,则会直接碰触到用户的核心业务系统及数据。
综
上
所
述
勒索病毒的防控必须建立起“预防为先,联防阻断,防治结合”的纵深防御立体化防护体系。
03
勒索病毒防御流程
04
乾冠安全勒索病毒综合防控解决方案
防控体系
为避免发生勒索病毒破坏事件,乾冠安全结合业内最佳防控实践,围绕事前、事中、事后,采用“平台+”战略,对勒索病毒进行全生命周期的防控,通过提前切断病毒传播路径、实时监控网内异常行为、快速响应突发事件,最大限度的减少勒索病毒对企业造成的损失。
解决方案
建设覆盖所有信息资产脆弱性和暴露面的全面实时安全监测、持续整体验证全网安全架构和安全策略的有效性、动态分析勒索病毒威胁并及时处置相关隐患风险的实战化勒索病毒防控体系。
汇聚各种网络设备、安全设备、主机设备等的告警日志,收集网络中的数据流量及重要业务服务器相关安全信息,基于大数据方法将收集到的各类资产信息、安全数据、网络流量、威胁情报、资产脆弱性进行统一关联分析,做到全网监测与管理,形成事前预防为先、事中联防阻断、事后防治结合的防控体系,增强对勒索病毒的防御能力和威胁抵抗能力。
网络安全运营平台
构建智能一体化管控平台,通过部署网络安全运营平台,在外部入侵的过程中,实现全网已知威胁、未知威胁检测和异常行为检测。
基于规则库、威胁情报对已知勒索病毒进行检测,同时可以基于AI范化能力进行变种勒索病毒检测。
在环境中已感染主机进行扩散时,通过异常行为检测技术进行监测,并进行一键阻断。通过对攻击路径的还原,完整重现勒索病毒攻击过程,为事后溯源提供依据。
区域边界
勒索病毒的风险大多是从外部引入的,而外部出口作为企业的第一道网络安全防线,必须通过采取严格防护措施,尽可能切断勒索病毒的传播路径。
因此,首先需要各区域边界处部署网关设备,例如网闸、防火墙、防病毒网关等,联动网络安全运营平台即时接收、封禁等操作,切断勒索病毒传播路径,并配置访问控制策略,平台定期检查策略的有效性。
通信网络
在与传统安全设备的联动外(IPS、IDS),部署乾冠乾冠睿眼高级威胁检测系统,通过基因图谱检测技术识别勒索软件家族变种,在网络流量侧解决勒索软件针对杀毒软件的免杀和检测等规避手段。内置多个知名反病毒引擎,对于已知的勒索软件,通过静态检测方式,捕获到勒索软件的传播。
支持针对邮件文本内容(超链接、山寨域名等)、附件进行勒索病毒检测,第一时间检测和发现包含勒索软件的钓鱼邮件和邮件中的可疑附件。通过识别流量中敏感行为、请求可疑域名、关联情报等方式对被植入勒索软件的主机进行交叉检测。在网内多个区域对勒索软件产生的异常网络行为、横向扩散行为的检测,通过特征规则对勒索软件的DGA请求,加密文件传输,隐蔽索道等行为进行检测。
计算环境
主机防护方面
在主机防护方面,部署乾冠EDR终端防护系统(EDR是完全不同于以往的端点被动防护思路),端点在被勒索病毒感染的过程中,通过云端威胁情报、机器学习、异常行为分析、攻击指示器等方式,主动发现来自外部或内部的安全威胁,并进行SOAR自动化的阻止、取证、补救和溯源,与网络安全运营平台进行联动阻断,从而有效对端点进行防护。
数据安全方面
部署数据库防火墙及数据备份系统。数据库防火墙串联部署在数据库服务器之前,解决数据库应用侧和运维侧两方面的问题,防止未经授权的数据传输导致的勒索病毒的传播。
根据文件和数据的重要程度分类分级进行存储和备份,如主动加密存储重要、敏感的数据和文件,定期采取本地备份、异地备份、云端备份等多种方式进行数据备份,增加遭受勒索病毒攻击且数据文件加密、损坏、丢失等情况下恢复数据的可能。
当发生勒索病毒事件导致业务系统或重要数据受到影响时,部署数据备份系统确保业务的秒级RPO和分钟级RTO,同时对生产业务系统实现系统、应用、数据、配置等一体化保护。
安全服务
定期评估、排查、修补
乾冠安全服务人员将定期对网内的安全风险进行系统评估,排查资产暴露情况,按照最小化原则,尽可能减少在资产互联网上的暴露,特别是避免重要业务系统、数据库等核心信息系统的在互联网上暴露。同时及时进行漏洞排查,一旦发现资产存在的安全漏洞,及时进行修补。
应急体系、应急预案、应急处置
建立企业内部涵盖勒索病毒攻击的网络安全突发事件的应急体系,明确应急组织体系、职责分工、应急流程等。一旦发生勒索病毒攻击事件,立即启动相应网络安全应急预案,并按照预案要求及时开展应急处置工作,确保有效控制、减轻、消除勒索病毒攻击影响,并定期开展应急演练工作。
安全培训
由于勒索病毒还会通过钓鱼邮件、网站挂马、移动介质和软件供应链等方式进行传播,因此需要以安全培训的方式提升用户网络安全意识和网络安全技能,在人员层面切断勒索病毒传播入口。
方案优势
与业务相结合、与服务相结合
脱离业务谈安全或脱离安全谈业务都是不合适的。单一安全设备的特性使得设备都是通用化的,缺少与业务的相融合。乾冠勒索病毒综合防控解决方案真正做到从用户角度出发,与业务相结合、与服务相结合。
智能、协同、主动防御
乾冠安全在传统安全产品建设与合规的基础上,通过更加细化的一体化防控措施,形成了终端、网络、数据、未知威胁感知等智能协同防御,构筑主动的纵深勒索病毒防控体系。
上一篇:网络安全“先知”BUFF
下一篇:来啦!数据出境通关指南
