首頁 > 關于我們 > 新聞動態 > 公司新聞

啟明星辰推出勒索病毒安全解決方案

發布時間 2020-09-24

勒索病毒是一類新型電腦病毒,主要以郵件、網頁掛馬、WEB漏洞、移動介質等形式進行傳播。其主要特點是利用各種手段拒絕用戶訪問機器或數據,從而要求用戶支付贖金。


根據勒索病毒的特點,一般可以分為兩類:


一是利用技術手段鎖定用戶機器使之無法被訪問,此類勒索病毒在移動終端中較為常見;

二是使用強加密算法對用戶的數據進行加密使之無法使用,此類勒索病毒在電腦中較為常見。


不管是哪種形式的勒索病毒,都具有極其惡劣的性質和極大的危害,一旦感染將給用戶帶來無法估量的損失。


勒索病毒入侵原理


1.jpg


● 勒索病毒傳播途徑


1.不法分子通過垃圾郵件或釣魚郵件等形式發送帶有js惡意腳本或doc/xls/ppt文件宏病毒的附件,一旦用戶打開郵件附件就會中招;


2.不法分子利用網頁掛馬、Flash掛馬或將木馬程序與資源捆綁等形式進行勒索病毒傳播,一旦用戶打開網頁或下載運行資源就會中招;


3.不法分子在移動介質中植入勒索病毒程序,一旦用戶使用該移動介質就會中招;


4.不法分子通過掃描端口發現漏洞植入后門程序從而執行下一步操作。


● 勒索病毒入侵流程


用戶中招之后,不法分子通過運行惡意代碼,控制主機主動連接指定服務器下載加密KEY、進程管理工具(解決殺軟)、內網掃描工具(擴大戰果)、密碼抓取工具(本機密碼和瀏覽器密碼)、暴力破解工具(其他主機爆破)、勒索病毒體等成套工具并進行加密壓縮避免查殺。隨后不法分子遍歷文件,避開系統文件,鎖定重要文件并向其他主機移動擴大戰果。加密完成后生成勒索提示文件,并將桌面設置為指導用戶繳納贖金的圖片。


● 勒索病毒入侵特征


1、目的性極強


傳統的惡意網絡行為大多以破壞網絡、服務器或終端,造成網絡癱瘓、系統宕機、業務停滯為目的,以大規模病毒爆發的形式呈現,破壞者沒有明確的針對性,如CIH病毒、紅碼病毒、震蕩波、沖擊波、熊貓燒香等。然而,大量的勒索病毒案例顯示,入侵者都帶有經濟方面的訴求。入侵者的目的和出發點不同,從而導致入侵者所使用的手段和方法截然不同。


2、隱蔽性極強


勒索病毒往往通過郵件、網頁等用戶經常使用的系統進行傳播,并利用ZIP壓縮包的方式繞過傳統方式的病毒檢測,此外勒索病毒通常變種非???,具有極強的隱蔽性。


3、破壞性極強


當用戶網絡中一臺終端中招后,勒索病毒通常會對內網進行掃描,探測網絡中潛在的入侵目標。此外,一旦被勒索病毒加密之后,往往幾乎沒有可能進行解密。


4、犯罪成本極低


勒索的過程最終往往以網絡貨幣進行結算,對于去中心化的網絡貨幣,極難對非法者本人的信息進行追蹤溯源,因此對用戶造成的損失往往也無法通過有效的途徑追回。而相反,極低的犯罪成本使實施勒索病毒的入侵者數量越來越多。


安全防護現狀及風險


勒索病毒并非高級可持續入侵,歸根結底是一種病毒入侵行為。但是為什么仍有大量的用戶受到勒索病毒的影響?除了勒索病毒入侵本身的特點之外,與目前普遍的網絡安全建設暴露的缺點也息息相關。


● 傳統邊界安全防護體系失陷


當前安全防護體系側重于互聯網出口和邊界進行防護,然而當邊界防御被繞過或入侵時,內網對不法分子來說將一馬平川。不法分子在內網的惡意行為無法被邊界設備檢測到,不管是內網掃描還是橫移或者潛伏,都將對用戶的網絡安全造成極其惡劣的影響。


● 常用安全檢測機制失效


當前安全設備的主要檢測方式還是基于特征檢測,對于沒有已知特征的入侵很難被傳統檢測手段發現。而勒索病毒其極快的變種速度,對于沒有有效威脅情報、沒有高級威脅檢測手段的用戶,即使部署了安全設備還是容易出現網絡安全事件。


● 碎片化安全防護失明


當前用戶部署的安全設備種類繁多,廠商各異,安全設備產生的日志信息量龐大。面對大量涌來的分散的安全信息,各種安全產品不同的界面和告警窗口,即便是專業的信息安全管理人員也往往束手無策,難以從海量事件中分析發現真正的安全隱患,而有效判斷入侵行為,洞察潛伏威脅以及威脅影響范圍。


● 重建設輕運營的安全思路失能


大部分用戶的安全防護在建設階段十分重視,堆疊了各種各樣的防御設備,然而在上架部署之后缺乏持續有效的運營。若遇到勒索病毒事件,這些客戶在事件爆發前沒有預防手段、爆發中沒有針對性檢測措施、爆發后沒有及時解決或抑制問題的辦法。


啟明星辰勒索病毒安全解決方案


結合勒索病毒特性、入侵原理及網絡安全建設現狀等方面分析,啟明星辰重新審視網絡安全建設,提出以借鑒IPDRR架構為用戶逐步建立風險識別能力、安全防御能力、安全檢測能力、安全響應能力與安全恢復能力,最終實現了“事前、事中、事后”的全過程覆蓋,滿足風險可見化,防御主動化,運行自動化的安全目標,形成安全閉環確保用戶業務安全。


2.png

設計思路


啟明星辰勒索病毒安全解決方案結合等?!耙粋€中心、三層防護”的核心思想,從安全區域邊界、安全計算環境、安全通信網絡,落實以識別、防御、檢測、響應、恢復五個環節的網絡安全建設工作。


3.jpg

總體框架


1、事前-風險識別  重點防護


識別是整個框架的基礎,以建立組織對管理系統、資產、數據和能力等網絡安全風險的了解,例如:資產管理(梳理資產、明確資產信息)、風險評估、系統漏洞管理、系統配置管理、互聯網暴露面識別(端口、服務等)、以及基于大數據關聯分析技術、威脅情報賦能來分析、預測全網威脅態勢等。


防御以限制或抑制網絡安全事件的潛在影響,在識別風險之上,開展重點安全防護,以抑制或縮減非法者的入侵面。例如:身份和訪問控制、移動介質管理、系統補丁配置管理、惡意郵件防護、安全教育培訓等。


2、事中-持續分析 全量檢測 


檢測可以及時發現穿透防御措施的內部威脅事件。從不同維度構建安全檢測措施,例如:終端安全檢測、無線安全檢測、網絡異常行為檢測、全流量高級威脅檢測、甚至是全網內部東西向流量的全量檢測等,并基于專業人員建立和完善不間斷的安全監測與分析體系。


3、事后-快速響應 及時恢復


響應的目的是遏制潛在網絡安全事件造成的影響范圍,當檢測到網絡中存在的安全威脅,第一時間做出響應,以阻止事件進一步擴大化。這里分為兩個層面,一是通過云、網、端構建協同全網聯動處置機制,即一處威脅,全網響應,并對會話原始報文全量存儲;二是基于專業的應急流程及安全應急服務團隊,對入侵進一步做深入分析、溯源、取證等。


恢復是及時恢復正常操作以減輕事件所造成的損失。當完成對于整個事件分析、處置后,將逐一恢復業務數據,保證整個業務體系正常運轉。而對于勒索病毒這樣的攻擊,已加密數據除了支付贖金之外,基本無法找回。這樣一來數據容災措施也許是唯一或者說是最后底線。所以日常通過備份工具對數據的容災備份顯得十分有必要。最后,基于每次事件發生對整個安全建設體系進行修復與完善,以形成事件全局的動態閉環。


4.png

部署方案


勒索病毒安全解決方案


1、找不著  


事前,對入侵面全方位識別,然后基于威脅情報能力,建立全網態勢威脅預測,精準把握風險,在入侵者發起入侵之前進行封堵,讓入侵者無處可尋。


2、進不來


事前,在安全區域邊界、安全計算環境、安全通信網絡、安全意識提升等多層面來做的一系列防御工作,保證無論入侵者是采用社工釣魚、暴力破解、還是漏洞利用,均無法輕易突破防護內部防護體系。


3、動不了


事中,在全網橫向與縱向層面,開展入侵威脅的檢測工作,通過態勢感知構建統一監測體系,配套專業的安全值守人員,全天候進行事件的綜合分析研判。


事后,基于系統之間的協同聯動處置能力,實現一鍵封堵查殺。最后通過專業應急響應服務,來對事件進一步分析溯源與取證。確保潛伏在網絡內部的入侵者動不得、不敢動。


4、賺不著


事后,基于日常的數據備份及專業的應急響應服務支撐,保證即便被入侵者成功加密的數據,也可以最終得到挽回,而不需要在面臨巨大不確定性情況下,花費巨額資金支付贖金。讓入侵者無利可圖,入侵目的功虧一簣。

上一篇 下一篇