《企業(yè)勒索軟件防護應(yīng)用指南》報告發(fā)布

發(fā)布時間 2022-04-01

近年來,勒索軟件攻擊數(shù)量明顯上升,攻擊手段越來越復(fù)雜,并呈現(xiàn)家族式關(guān)聯(lián),這給企業(yè)數(shù)字化轉(zhuǎn)型發(fā)展帶來了嚴(yán)峻的安全風(fēng)險和經(jīng)濟損失。隨著勒索攻擊模式的組織化、規(guī)?;⑸虡I(yè)化發(fā)展,傳統(tǒng)安全防御模式已經(jīng)很難有效應(yīng)對。

為了幫助企業(yè)更好地應(yīng)對勒索軟件攻擊,構(gòu)建完善的勒索防護體系,安全牛通過訪談?wù){(diào)研十余家甲方企業(yè)的信息安全管理者,并從技術(shù)先進性、產(chǎn)品成熟度和綜合服務(wù)能力等維度,征集邀請到美創(chuàng)科技、佰倬、安天、奇安信、安恒信息、深信服共6家勒索軟件防護代表性國產(chǎn)安全廠商,共同發(fā)起《企業(yè)勒索軟件防護應(yīng)用指南》報告(以下簡稱“《報告》”)研究項目。3月24日,《報告》正式發(fā)布。

《報告》概述及關(guān)鍵發(fā)現(xiàn)

為切實了解勒索軟件對企業(yè)的影響以及甲方用戶對勒索軟件的防護現(xiàn)狀,并為用戶開展勒索軟件防護建設(shè)提供更真實的參考與幫助,本次《報告》以問卷調(diào)查、現(xiàn)場訪談和線上交流等方式開展調(diào)研,覆蓋了金融行業(yè)、制造業(yè)等多個領(lǐng)域用戶。報告調(diào)研發(fā)現(xiàn),當(dāng)前企業(yè)在勒索軟件防護能力構(gòu)建的過程中,面臨的主要挑戰(zhàn)有:

企業(yè)面臨的挑戰(zhàn)

挑戰(zhàn)一:勒索軟件防護產(chǎn)品需要全面滿足企業(yè)防、管的需求,這對產(chǎn)品廠商的綜合服務(wù)能力提出較高要求;

挑戰(zhàn)二:部分企業(yè)用戶對勒索軟件攻擊的認(rèn)知還停留在加密勒索階段,對雙重勒索、三重勒索的認(rèn)知不足;

挑戰(zhàn)三:甲方企業(yè)員工安全意識薄弱是造成勒索軟件進駐到系統(tǒng)的重要原因;

挑戰(zhàn)四:甲方企業(yè)中專業(yè)勒索防護產(chǎn)品部署率較低,并且存在沒有妥善利用的情況。

在網(wǎng)絡(luò)安全領(lǐng)域,只要有誘人的利益,黑色產(chǎn)業(yè)鏈就會一直存在,甚至?xí)?,勒索軟件攻擊也會繼續(xù)生存下去。報道調(diào)研發(fā)現(xiàn),勒索軟件攻擊和防護呈現(xiàn)以下發(fā)展趨勢:

趨勢一:隨著勒索軟件開源,RaaS模式涌現(xiàn),這將進一步降低攻擊者門檻,未來勒索軟件攻擊數(shù)量將進一步增加。

趨勢二:勒索組織已不再滿足于針對個人終端的小額勒索,定向勒索將成為需要防范的主要勒索方式。

趨勢三:勒索黑產(chǎn)攻擊期望值增加,單個攻擊索要贖金及實際贖金支付數(shù)額均有所增長,勒索軟件攻擊造成的影響將越來越大。

趨勢四:結(jié)合了數(shù)據(jù)竊取、DDoS的勒索攻擊比重不斷上升,雙重勒索甚至多重勒索盛行。

趨勢五:隨著攻擊手段的多元化,不斷有安全技術(shù)例如抗DDoS技術(shù)、dlp技術(shù)等融合到勒索防護體系中。

趨勢六:隨著勒索軟件已對實體空間的民計民生造成影響,未來針對勒索軟件的防護將上升到綜合治理層面。

《報告》關(guān)鍵發(fā)現(xiàn)

1、勒索軟件攻擊符合攻擊鏈模型。勒索軟件攻擊依照模型進行入侵及侵害,同時又具備系統(tǒng)文件夾掃描、數(shù)據(jù)加密、文件頻繁變更等特性,有明顯的識別依據(jù),能夠依照相應(yīng)的方法進行阻斷。

2、攻擊目標(biāo)以關(guān)鍵信息基礎(chǔ)設(shè)施為主。醫(yī)療行業(yè)、制造業(yè)、高科技等涉及基礎(chǔ)民生行業(yè)成為被攻擊的主要目標(biāo),其比例有所上升;高收入地區(qū)成為勒索軟件攻擊的主要目標(biāo)地區(qū),在全球范圍內(nèi)歐美更易成為攻擊目標(biāo),在我國廣東、江蘇、浙江等地區(qū)更易成為攻擊目標(biāo)。

3、勒索軟件攻擊者能力不斷增加。主流的定向勒索攻擊,其攻擊組織和攻擊實力都向高級威脅趨同,甚至一些國家行為體也會存在勒索攻擊行為,這意味著一方面勒索攻擊能力提升,另一方面,我們也可以按照高級威脅框架進行能力構(gòu)建。

4、信息安全廠商具備多種專業(yè)防勒索能力及產(chǎn)品。在對廠商進行調(diào)研后,主流的針對勒索的防護技術(shù)包括誘餌文件識別、文件狀態(tài)識別、內(nèi)核搶占、數(shù)據(jù)資產(chǎn)操作管控,基本能滿足各類型數(shù)據(jù)的勒索防護需求。

產(chǎn)業(yè)專家觀點

01 深信服勒索防護解決方案專家劉帆

在服務(wù)大量用戶的過程中,我們發(fā)現(xiàn)從黑客視角來看,企業(yè)遭受勒索軟件攻擊主要分5個步驟:第一步,通過釣魚郵件突破企業(yè)網(wǎng)絡(luò)邊界,給目標(biāo)企業(yè)終端安裝木馬程序,并通過木馬程序安裝Cobalt Strike;第二步,利用Cobalt Strike進行橫向滲透,獲取目標(biāo)企業(yè)重要服務(wù)器RDP登錄憑證;第三步,通過RDP登錄到目標(biāo)企業(yè)服務(wù)器,利用PowerShell自動安裝勒索軟件;第四步,繼續(xù)橫向滲透更多目標(biāo)企業(yè)服務(wù)器并安裝勒索軟件;第五步,竊取重要數(shù)據(jù),啟動加密勒索。通過對勒索軟件攻擊步驟的分解,深信服目前已推出有針對性的整體防御方案。

02 安恒信息終端安全產(chǎn)品專家何柏宜

全球勒索態(tài)勢愈演愈烈,勒索病毒累計給全球帶來超過1000億美元的損失。2021年勒索產(chǎn)業(yè)鏈已經(jīng)非常完善,勒索攻擊更頻繁、更多樣、更精準(zhǔn)、更有目的性,勒索病毒目前已成為網(wǎng)絡(luò)安全頭號威脅,每15秒就有一家企業(yè)受到侵害。傳統(tǒng)終端安全防護機制缺乏有效的發(fā)現(xiàn)、處置手段,邊界防護失效,終端已成為勒索防護的主戰(zhàn)場。為應(yīng)對勒索軟件帶來的巨大風(fēng)險,我們提出應(yīng)構(gòu)建從勒索檢測——勒索預(yù)防——勒索防御——勒索專項加固——追蹤溯源——勒索響應(yīng)的全流程“勒索風(fēng)險處置閉環(huán)”,持續(xù)進行分析、監(jiān)測、防御、響應(yīng)。

03 奇安信服務(wù)體系解決方案部徐偉

勒索病毒具有傳播途徑多,傳播技術(shù)隱蔽,病毒變種復(fù)雜,勒索產(chǎn)業(yè)化發(fā)展等顯著特點,我們認(rèn)為,有效的勒索病毒防御手段一定是盡可能地早于事故發(fā)生前檢測發(fā)現(xiàn)異常,從而采取應(yīng)對措施。而非著眼于事件發(fā)生后的補救行動。因此防御勒索病毒的思路應(yīng)由“事后補救”轉(zhuǎn)變?yōu)椤笆虑胺烙?。即便如此,也不能確保萬無一失,仍然要建立針對勒索病毒的專項應(yīng)急響應(yīng)體系,遏制內(nèi)部資產(chǎn)遭投毒。同時,在遭到勒索病毒投毒后,應(yīng)具備溯源定位能力,查明攻擊源頭,確定應(yīng)對措施,固化安全經(jīng)驗,查漏補缺,避免事件再次發(fā)生。

04 安天產(chǎn)品經(jīng)理周勝鑫

依靠單一手段已很難實現(xiàn)對勒索病毒的有效防護,難點有三:一是,新型病毒不斷出現(xiàn),傳統(tǒng)病毒庫檢測機制逐漸失效;二是,勒索病毒加密技術(shù)快速迭代和提升,特別是在防御規(guī)避、身份仿冒、數(shù)據(jù)外滲等方面有了極大提高,這給傳統(tǒng)主動防御機制帶來極大挑戰(zhàn);三是,缺乏完善的端點安全防護機制,勒索軟件攻擊常常利用系統(tǒng)漏洞、弱口令等主機脆弱點進行攻擊,單純依靠病毒防御,而不從根本上加固主機,縮小受攻擊面,會給主機帶來很大的安全風(fēng)險。我們提出建立從網(wǎng)絡(luò)邊界到端點內(nèi)核的立體化防護體系,通過“環(huán)境塑造+威脅攔截+數(shù)據(jù)保護”建立多層級有效防護,不斷提升用戶的防護能力。

05 佰倬信息售前總監(jiān)王景普

現(xiàn)有常見的防勒索解決方案有一些不足之處,例如:備份系統(tǒng)不能防范數(shù)據(jù)泄露和黑客破壞;文件加密方式不能防范攻擊者的二次加密;防病毒、EDR等方式只能防范已知勒索軟件,不防范黑客停服務(wù)、殺進程等惡意行為,且如果軟件更新不及時其防護效果會大打折扣;防火墻、IPS防勒索軟件傳播等方式也只能對已知勒索軟件進行防范,不能有效防范未知勒索軟件。佰倬提出在計算執(zhí)行環(huán)境內(nèi)進行加密隔離的理念,將數(shù)據(jù)文件的最高操作權(quán)限外移,防止擁有服務(wù)器最高權(quán)限的人員或黑客提權(quán)后竊取和破壞數(shù)據(jù)文件。

06 美創(chuàng)科技安全實驗室負責(zé)人劉雋良

為應(yīng)對當(dāng)前爆發(fā)式增長的勒索事件,我們提出“知白守黑、不阻斷無安全”的理念,倡導(dǎo)使用以數(shù)據(jù)資產(chǎn)防護為核心、以零信任為基礎(chǔ)的勒索病毒防護軟件或解決方案,通過集合內(nèi)核級別防護機制、主機防護、基線防護、威脅情報、誘捕機制、智能模型等創(chuàng)新技術(shù),實時監(jiān)控各類進程對數(shù)據(jù)文件的讀寫操作,快速識別、阻斷非法進程的入侵行為,幫助政企事業(yè)單位主動抵御面臨的各類病毒。

07 安全牛分析師王劍橋

定向勒索攻擊與高級威脅攻擊存在趨同的地方,因此安全牛參照高級威脅模型,構(gòu)建了勒索防護模型。從時間維度,結(jié)合PPDR模型,從勒索軟件事前防護、勒索軟件識、勒索軟件阻斷以及勒索軟件攻擊應(yīng)急響應(yīng)進行能力構(gòu)建。從空間維度,依據(jù)縱深防御模型,由內(nèi)到外,多層次地進行防護能力建設(shè),在不同位置上部署勒索防護能力。從手段維度,通過采用疊加演進模型,從整體的體系防護,到對重要數(shù)據(jù)的防護,到有針對性的勒索防護手段,進行能力的疊加。