《企業(yè)勒索軟件防護(hù)應(yīng)用指南》報(bào)告發(fā)布

發(fā)布時(shí)間 2022-04-01

近年來,勒索軟件攻擊數(shù)量明顯上升,攻擊手段越來越復(fù)雜,并呈現(xiàn)家族式關(guān)聯(lián),這給企業(yè)數(shù)字化轉(zhuǎn)型發(fā)展帶來了嚴(yán)峻的安全風(fēng)險(xiǎn)和經(jīng)濟(jì)損失。隨著勒索攻擊模式的組織化、規(guī)?;?、商業(yè)化發(fā)展,傳統(tǒng)安全防御模式已經(jīng)很難有效應(yīng)對(duì)。

為了幫助企業(yè)更好地應(yīng)對(duì)勒索軟件攻擊,構(gòu)建完善的勒索防護(hù)體系,安全牛通過訪談?wù){(diào)研十余家甲方企業(yè)的信息安全管理者,并從技術(shù)先進(jìn)性、產(chǎn)品成熟度和綜合服務(wù)能力等維度,征集邀請(qǐng)到美創(chuàng)科技、佰倬、安天、奇安信、安恒信息、深信服共6家勒索軟件防護(hù)代表性國產(chǎn)安全廠商,共同發(fā)起《企業(yè)勒索軟件防護(hù)應(yīng)用指南》報(bào)告(以下簡稱“《報(bào)告》”)研究項(xiàng)目。3月24日,《報(bào)告》正式發(fā)布。

《報(bào)告》概述及關(guān)鍵發(fā)現(xiàn)

為切實(shí)了解勒索軟件對(duì)企業(yè)的影響以及甲方用戶對(duì)勒索軟件的防護(hù)現(xiàn)狀,并為用戶開展勒索軟件防護(hù)建設(shè)提供更真實(shí)的參考與幫助,本次《報(bào)告》以問卷調(diào)查、現(xiàn)場訪談和線上交流等方式開展調(diào)研,覆蓋了金融行業(yè)、制造業(yè)等多個(gè)領(lǐng)域用戶。報(bào)告調(diào)研發(fā)現(xiàn),當(dāng)前企業(yè)在勒索軟件防護(hù)能力構(gòu)建的過程中,面臨的主要挑戰(zhàn)有:

企業(yè)面臨的挑戰(zhàn)

挑戰(zhàn)一:勒索軟件防護(hù)產(chǎn)品需要全面滿足企業(yè)防、管的需求,這對(duì)產(chǎn)品廠商的綜合服務(wù)能力提出較高要求;

挑戰(zhàn)二:部分企業(yè)用戶對(duì)勒索軟件攻擊的認(rèn)知還停留在加密勒索階段,對(duì)雙重勒索、三重勒索的認(rèn)知不足;

挑戰(zhàn)三:甲方企業(yè)員工安全意識(shí)薄弱是造成勒索軟件進(jìn)駐到系統(tǒng)的重要原因;

挑戰(zhàn)四:甲方企業(yè)中專業(yè)勒索防護(hù)產(chǎn)品部署率較低,并且存在沒有妥善利用的情況。

在網(wǎng)絡(luò)安全領(lǐng)域,只要有誘人的利益,黑色產(chǎn)業(yè)鏈就會(huì)一直存在,甚至?xí)保账鬈浖粢矔?huì)繼續(xù)生存下去。報(bào)道調(diào)研發(fā)現(xiàn),勒索軟件攻擊和防護(hù)呈現(xiàn)以下發(fā)展趨勢(shì):

趨勢(shì)一:隨著勒索軟件開源,RaaS模式涌現(xiàn),這將進(jìn)一步降低攻擊者門檻,未來勒索軟件攻擊數(shù)量將進(jìn)一步增加。

趨勢(shì)二:勒索組織已不再滿足于針對(duì)個(gè)人終端的小額勒索,定向勒索將成為需要防范的主要勒索方式。

趨勢(shì)三:勒索黑產(chǎn)攻擊期望值增加,單個(gè)攻擊索要贖金及實(shí)際贖金支付數(shù)額均有所增長,勒索軟件攻擊造成的影響將越來越大。

趨勢(shì)四:結(jié)合了數(shù)據(jù)竊取、DDoS的勒索攻擊比重不斷上升,雙重勒索甚至多重勒索盛行。

趨勢(shì)五:隨著攻擊手段的多元化,不斷有安全技術(shù)例如抗DDoS技術(shù)、dlp技術(shù)等融合到勒索防護(hù)體系中。

趨勢(shì)六:隨著勒索軟件已對(duì)實(shí)體空間的民計(jì)民生造成影響,未來針對(duì)勒索軟件的防護(hù)將上升到綜合治理層面。

《報(bào)告》關(guān)鍵發(fā)現(xiàn)

1、勒索軟件攻擊符合攻擊鏈模型。勒索軟件攻擊依照模型進(jìn)行入侵及侵害,同時(shí)又具備系統(tǒng)文件夾掃描、數(shù)據(jù)加密、文件頻繁變更等特性,有明顯的識(shí)別依據(jù),能夠依照相應(yīng)的方法進(jìn)行阻斷。

2、攻擊目標(biāo)以關(guān)鍵信息基礎(chǔ)設(shè)施為主。醫(yī)療行業(yè)、制造業(yè)、高科技等涉及基礎(chǔ)民生行業(yè)成為被攻擊的主要目標(biāo),其比例有所上升;高收入地區(qū)成為勒索軟件攻擊的主要目標(biāo)地區(qū),在全球范圍內(nèi)歐美更易成為攻擊目標(biāo),在我國廣東、江蘇、浙江等地區(qū)更易成為攻擊目標(biāo)。

3、勒索軟件攻擊者能力不斷增加。主流的定向勒索攻擊,其攻擊組織和攻擊實(shí)力都向高級(jí)威脅趨同,甚至一些國家行為體也會(huì)存在勒索攻擊行為,這意味著一方面勒索攻擊能力提升,另一方面,我們也可以按照高級(jí)威脅框架進(jìn)行能力構(gòu)建。

4、信息安全廠商具備多種專業(yè)防勒索能力及產(chǎn)品。在對(duì)廠商進(jìn)行調(diào)研后,主流的針對(duì)勒索的防護(hù)技術(shù)包括誘餌文件識(shí)別、文件狀態(tài)識(shí)別、內(nèi)核搶占、數(shù)據(jù)資產(chǎn)操作管控,基本能滿足各類型數(shù)據(jù)的勒索防護(hù)需求。

產(chǎn)業(yè)專家觀點(diǎn)

01 深信服勒索防護(hù)解決方案專家劉帆

在服務(wù)大量用戶的過程中,我們發(fā)現(xiàn)從黑客視角來看,企業(yè)遭受勒索軟件攻擊主要分5個(gè)步驟:第一步,通過釣魚郵件突破企業(yè)網(wǎng)絡(luò)邊界,給目標(biāo)企業(yè)終端安裝木馬程序,并通過木馬程序安裝Cobalt Strike;第二步,利用Cobalt Strike進(jìn)行橫向滲透,獲取目標(biāo)企業(yè)重要服務(wù)器RDP登錄憑證;第三步,通過RDP登錄到目標(biāo)企業(yè)服務(wù)器,利用PowerShell自動(dòng)安裝勒索軟件;第四步,繼續(xù)橫向滲透更多目標(biāo)企業(yè)服務(wù)器并安裝勒索軟件;第五步,竊取重要數(shù)據(jù),啟動(dòng)加密勒索。通過對(duì)勒索軟件攻擊步驟的分解,深信服目前已推出有針對(duì)性的整體防御方案。

02 安恒信息終端安全產(chǎn)品專家何柏宜

全球勒索態(tài)勢(shì)愈演愈烈,勒索病毒累計(jì)給全球帶來超過1000億美元的損失。2021年勒索產(chǎn)業(yè)鏈已經(jīng)非常完善,勒索攻擊更頻繁、更多樣、更精準(zhǔn)、更有目的性,勒索病毒目前已成為網(wǎng)絡(luò)安全頭號(hào)威脅,每15秒就有一家企業(yè)受到侵害。傳統(tǒng)終端安全防護(hù)機(jī)制缺乏有效的發(fā)現(xiàn)、處置手段,邊界防護(hù)失效,終端已成為勒索防護(hù)的主戰(zhàn)場。為應(yīng)對(duì)勒索軟件帶來的巨大風(fēng)險(xiǎn),我們提出應(yīng)構(gòu)建從勒索檢測——勒索預(yù)防——勒索防御——勒索專項(xiàng)加固——追蹤溯源——勒索響應(yīng)的全流程“勒索風(fēng)險(xiǎn)處置閉環(huán)”,持續(xù)進(jìn)行分析、監(jiān)測、防御、響應(yīng)。

03 奇安信服務(wù)體系解決方案部徐偉

勒索病毒具有傳播途徑多,傳播技術(shù)隱蔽,病毒變種復(fù)雜,勒索產(chǎn)業(yè)化發(fā)展等顯著特點(diǎn),我們認(rèn)為,有效的勒索病毒防御手段一定是盡可能地早于事故發(fā)生前檢測發(fā)現(xiàn)異常,從而采取應(yīng)對(duì)措施。而非著眼于事件發(fā)生后的補(bǔ)救行動(dòng)。因此防御勒索病毒的思路應(yīng)由“事后補(bǔ)救”轉(zhuǎn)變?yōu)椤笆虑胺烙?。即便如此,也不能確保萬無一失,仍然要建立針對(duì)勒索病毒的專項(xiàng)應(yīng)急響應(yīng)體系,遏制內(nèi)部資產(chǎn)遭投毒。同時(shí),在遭到勒索病毒投毒后,應(yīng)具備溯源定位能力,查明攻擊源頭,確定應(yīng)對(duì)措施,固化安全經(jīng)驗(yàn),查漏補(bǔ)缺,避免事件再次發(fā)生。

04 安天產(chǎn)品經(jīng)理周勝鑫

依靠單一手段已很難實(shí)現(xiàn)對(duì)勒索病毒的有效防護(hù),難點(diǎn)有三:一是,新型病毒不斷出現(xiàn),傳統(tǒng)病毒庫檢測機(jī)制逐漸失效;二是,勒索病毒加密技術(shù)快速迭代和提升,特別是在防御規(guī)避、身份仿冒、數(shù)據(jù)外滲等方面有了極大提高,這給傳統(tǒng)主動(dòng)防御機(jī)制帶來極大挑戰(zhàn);三是,缺乏完善的端點(diǎn)安全防護(hù)機(jī)制,勒索軟件攻擊常常利用系統(tǒng)漏洞、弱口令等主機(jī)脆弱點(diǎn)進(jìn)行攻擊,單純依靠病毒防御,而不從根本上加固主機(jī),縮小受攻擊面,會(huì)給主機(jī)帶來很大的安全風(fēng)險(xiǎn)。我們提出建立從網(wǎng)絡(luò)邊界到端點(diǎn)內(nèi)核的立體化防護(hù)體系,通過“環(huán)境塑造+威脅攔截+數(shù)據(jù)保護(hù)”建立多層級(jí)有效防護(hù),不斷提升用戶的防護(hù)能力。

05 佰倬信息售前總監(jiān)王景普

現(xiàn)有常見的防勒索解決方案有一些不足之處,例如:備份系統(tǒng)不能防范數(shù)據(jù)泄露和黑客破壞;文件加密方式不能防范攻擊者的二次加密;防病毒、EDR等方式只能防范已知勒索軟件,不防范黑客停服務(wù)、殺進(jìn)程等惡意行為,且如果軟件更新不及時(shí)其防護(hù)效果會(huì)大打折扣;防火墻、IPS防勒索軟件傳播等方式也只能對(duì)已知勒索軟件進(jìn)行防范,不能有效防范未知勒索軟件。佰倬提出在計(jì)算執(zhí)行環(huán)境內(nèi)進(jìn)行加密隔離的理念,將數(shù)據(jù)文件的最高操作權(quán)限外移,防止擁有服務(wù)器最高權(quán)限的人員或黑客提權(quán)后竊取和破壞數(shù)據(jù)文件。

06 美創(chuàng)科技安全實(shí)驗(yàn)室負(fù)責(zé)人劉雋良

為應(yīng)對(duì)當(dāng)前爆發(fā)式增長的勒索事件,我們提出“知白守黑、不阻斷無安全”的理念,倡導(dǎo)使用以數(shù)據(jù)資產(chǎn)防護(hù)為核心、以零信任為基礎(chǔ)的勒索病毒防護(hù)軟件或解決方案,通過集合內(nèi)核級(jí)別防護(hù)機(jī)制、主機(jī)防護(hù)、基線防護(hù)、威脅情報(bào)、誘捕機(jī)制、智能模型等創(chuàng)新技術(shù),實(shí)時(shí)監(jiān)控各類進(jìn)程對(duì)數(shù)據(jù)文件的讀寫操作,快速識(shí)別、阻斷非法進(jìn)程的入侵行為,幫助政企事業(yè)單位主動(dòng)抵御面臨的各類病毒。

07 安全牛分析師王劍橋

定向勒索攻擊與高級(jí)威脅攻擊存在趨同的地方,因此安全牛參照高級(jí)威脅模型,構(gòu)建了勒索防護(hù)模型。從時(shí)間維度,結(jié)合PPDR模型,從勒索軟件事前防護(hù)、勒索軟件識(shí)、勒索軟件阻斷以及勒索軟件攻擊應(yīng)急響應(yīng)進(jìn)行能力構(gòu)建。從空間維度,依據(jù)縱深防御模型,由內(nèi)到外,多層次地進(jìn)行防護(hù)能力建設(shè),在不同位置上部署勒索防護(hù)能力。從手段維度,通過采用疊加演進(jìn)模型,從整體的體系防護(hù),到對(duì)重要數(shù)據(jù)的防護(hù),到有針對(duì)性的勒索防護(hù)手段,進(jìn)行能力的疊加。