当前,勒索攻击正在从一种网络犯罪发展成为对国家及全球网络安全、经济稳定和公共安全的严重破坏行为,已成为网络安全的最大威胁之一。4月6日,六方云对AcosLoker攻击美国多个关键基础设施事件进行了回顾和分析,今天针对勒索病毒对全球关键基础设施的频繁攻击,六方云勒索病毒解决方案重磅发布。
01.勒索软件网络攻击已成为网络安全最大威胁之一
2017年至今,全球爆发了多次重大关键信息基础设施行业的勒索攻击事件,医疗、教育、金融、科技、能源等重点行业企业相继遭受勒索病毒攻击。
例如,跨国能源企业Enel Group连续遭遇两轮勒索软件攻击;美国马萨诸塞州电力公司RMLD遭勒索攻击;美国最大的成品油管道公司克洛尼尔遭到勒索病毒攻击被迫关闭设备;英国北方铁路公司自主售票系统的攻击导致企业售票网络瘫痪;对巴西肉类加工巨头JBS的攻击导致企业在澳全部肉类加工厂停运等。
攻击者往往在盗取重要数据后,以此要挟受害者支付巨额赎金,他们还通过横向移动锁定关键数据并在整个网络中传播勒索软件,甚至会删除系统备份数据,使得数据恢复愈加困难。
随着云计算的快速普及,勒索软件越来越多地将以云存储为目标,以最大程度地发挥影响力并增加杠杆作用以提高利润,对被攻击者的伤害和破坏性也越来越强……
02.勒索病毒的典型传播方式
1.RDP暴力破解。攻击者通常利用弱口令、暴力破解等方式获取攻击目标服务器远程登录用户名和密码,进而通过远程桌面协议登录服务器并植入勒索病毒。同时,攻击者一旦成功登录服务器,获得服务器控制权限,可以服务器为攻击跳板,在用户内部网络进一步传播勒索病毒。
2.系统漏洞利用。勒索病毒可通过利用已公开且已发布补丁的漏洞,通过扫描发现未及时修补漏洞的设备,利用漏洞进行传播扩散,如WannaCry勒索病毒就是利用“永恒之蓝”漏洞进行传播的。
3.利用钓鱼邮件传播。攻击者将勒索病毒内嵌至钓鱼邮件的文档、图片等附件中,或将勒索病毒恶意链接写入钓鱼邮件正文中,通过网络钓鱼攻击传播勒索病毒。一旦用户打开邮件附件,或点击恶意链接,勒索病毒将自动加载、安装和运行。
4.利用网站挂马。攻击者入侵主流网站的服务器,在正常网页中植入木马,或通过主动搭建包含恶意代码的网站,诱导用户访问网站并触发恶意代码,劫持用户当前访问页面至勒索病毒下载链接并执行,进而向用户设备植入勒索病毒。
5.利用软件供应链传播。软件供应链是指利用软件供应商与最终用户之间的信任关系,通过攻击入侵软件供应商相关服务器设备,利用合法软件的升级更新等机制,利用软件供应商的各种疏忽或漏洞,对合法软件进行劫持或篡改,绕过用户网络安全防护机制,传播勒索病毒。
6.利用移动介质传播。攻击者通过隐藏U盘、移动硬盘等移动存储介质原有文件,创建与移动介质盘符、图标等相同的快捷方式,一旦用户点击,自动运行勒索病毒,或运行专门用于收集和回传设备信息的木马程序,便于未来实施针对性的勒索病毒攻击行为。
图1:勒索病毒典型传播方式
03.六方云勒索病毒解决方案
由于勒索病毒多样的传播方式,使用单一的安全产品或单一的技术手段(如防火墙、IPS、杀毒软件)面对勒索病毒的入侵时,往往面临“排查难、抑制难、溯源难、恢复难”四大问题,特别是新型的病毒,一旦某一点被突破,则会直接碰触到用户的核心业务系统及数据。因此,勒索病毒的防护必须建立起“层层阻击,集中管控,预防为先,防治结合”的纵深防御立体化病毒防护体系。
六方云在深入分析勒索病毒传播方式和攻击路径的基础之上,结合业内勒索病毒防护的最佳实践经验,围绕评估预防、监测防护、应急处置三个环节,采取产品+服务结合的措施对勒索病毒进行全生命周期的防护,通过提前切断病毒传播路径、实时监测网内异常行为、快速响应客户突发事件,最大限度的减少勒索病毒对企业造成的损失。如图2所示:
图2:六方云勒索病毒防护方案技术框架
本方案的设计主要依据工控网络安全“积极预防、垂直分层、水平分区、边界控制、内部监测、统一管理”的总体策略,逐步构建起勒索病毒的事前安全评估与预防、事中安全防护与监测预警、事后应急处置与加固的全生命周期立体化纵深防护体系。
首先对整个系统进行全面的风险评估,掌握系统的风险现状;然后通过管理网和生产网隔离以及访问控制来确保生产网不会引入来自管理网的风险,保证生产网边界安全,并在各中心内部的工业控制系统进行一定的监测、防护,保证各中心内部安全;最后对整个工业控制系统进行统一安全态势呈现,将各个防护点进行统一管理组成一个全面的防护体系,保障整个系统安全稳定运行。
事前-安全评估与预防
通过事前评估预防,用户可及时了解现有网络存在的各类潜在风险,在安全事件发生前帮助用户及时发现并修复潜在业务威胁风险。
1. 制定网络安全应急预案。建立企业内部涵盖勒索病毒攻击等网络安全突发事件的应急响应机制,明确应急组织体系、职责分工、应急流程等。一旦发生勒索病毒攻击事件,立即启动相应网络安全应急预案,并按照预案要求及时开展应急处置工作,确保有效控制、减轻、消除勒索病毒攻击影响。
2. 关键系统和数据定期备份。目前流行的勒索病毒类型主要为文件加密类勒索病毒、数据窃取类勒索病毒、系统加密类勒索病毒和屏幕锁定类勒索病毒,无论何种类型,攻击者最终目的都是通过对用户最重要的资产“数据”实施安全威胁,以此来恐吓用户支付高额赎金。
因此,用户需要根据文件和数据的重要程度分类分级进行存储和备份,如主动加密存储重要、敏感的数据和文件,防范利用勒索病毒的双重或多重勒索行为,并定期采取本地备份、异地备份、云端备份等多种方式进行数据备份,增加遭受勒索病毒攻击且数据文件加密、损坏、丢失等情况下恢复数据的可能。
3. 定期评估风险,及时修补漏洞。攻击者通常利用远程代码执行、系统策略配置不当等系统漏洞,攻击入侵用户网络,或利用已公开且已发布补丁的漏洞,通过扫描发现未及时修补漏洞的设备,利用漏洞攻击入侵并主动传播勒索病毒。
因此,用户需要定期对网内的安全风险进行系统评估,排查资产暴露情况,按照最小化原则,尽可能减少在资产互联网上的暴露,特别是避免重要业务系统、数据库等核心信息系统的在互联网上暴露。同时及时进行漏洞排查,一旦发现资产存在的安全漏洞,及时进行修补。
4. 加强企业内部网络安全管理。勒索病毒还会通过钓鱼邮件、网站挂马、移动介质和软件供应链等方式进行传播,因此用户需要以培训、演练等方式提高网络安全意识,在用户层面切断勒索病毒传播入口。
例如在文件方面,不点击来源不明的邮件附件、打开邮件附件前进行安全查杀等;在网站方面,不从不明网站下载软件等;在外接设备方面,不混用工作和私人的外接设备、关闭移动存储设备自动自动播放功能并每周进行安全查杀等。
事中-安全监测与防护
通过事中防护和监测,用户可拥有L2-7层完整的安全防护能力,确保安全防护不存在短板,同时,对网内流量和设备进行集中监控,统一管理,在提高用户运维效率的同时,实时掌握内部网络安全风险态势。
图3.2 六方云勒索病毒解决方案网络架构
1. 企业互联网出口安全防护。勒索病毒风险大多是从互联网侧引入的,而互联网出口作为企业的第一道网络安全防线,必须通过采取严格防护措施,尽可能切断勒索病毒的传播路径。
因此,用户首先需要部署下一代防火墙,封禁与勒索病毒传播或相关漏洞利用相关的危险端口3389/135/137/139/445等,通过严格的访问控制策略实现网内外用户的合法安全访问,并开启IPS功能和防病毒功能,实现勒索病毒入侵有效拦截。
2. 办公主机和服务器病毒防护。在主机和服务器上部署终端安全系统,实现对终端进行查杀防护,同时限制不安全的U盘的读写。
3. 云安全资源池控制。用户云平台环境涉及多类业务、多类系统,防护不当可能造成勒索病毒在云环境内的横向大规模扩散,因此在安全防护上需要进一步细化安全区域的划分以及不同安全区域、不同安全级别的访问控制,实现东西向流量的微隔离与阻断。
六方云盾能够在不依赖于云平台网络引流接口的情况下,实现对云内所有虚拟机进行网络微隔离,针对云内任意虚拟机之间、不同子网之间、逻辑安全域之间的网络流量进行L2-L7层的深度威胁检测与防护,同时,能够自动获取云平台内所有虚拟业务资产并绘制出逻辑一致的3D网络拓扑,实现对云内虚拟业务资产运行状态、网络流量状态与业务安全态势的全面可视。
4. 管理网和生产网隔离。在办公网和工控生产网之间部署单向隔离网闸,在各层级内的安全域之间部署工业防火墙,并对两网间数据交换进行安全防护,确保生产网不会引入管理网所面临的安全风险。
六方云工业防火墙基于对应用层数据包的深度检测,为工业通信提供独特的、工业级的专业隔离防护解决方案。
5. 各中心内的监测与防护。在对企业办公网和工控生产网之间、生产执行层之间进行了逻辑隔离,企业工控网络各层级内部的安全风险如何处理?一般来说,生产网内可能存在以下几方面的风险:各类操作员站的安全风险;PLC等工控设备的安全风险;通信协议存在风险。针对各方面风险六方云提供如下防护手段:
在操作员站、工程师站、HMI等各类主机上部署安全系统,对主机的进程、软件、流量、U盘使用等进行监控,防止主机非法访问网络。六方云工业主机卫士工业卫士采用白名单的技术,仅允许白名单内的程序运行,白名单外的程序均不可执行,从而有效阻止恶意程序或代码的执行和扩散。一键开启勒索病毒增强防护功能,可对137、138、139和445端口进行封堵,同时阻止创建系统启动项、添加用户账户、提权用户账户、创建计划任务以及创建服务等敏感动作。
工控异常行为检测。对于勒索病毒入侵行为和扩散行为,通过部署六方云工控全流量威胁检测与回溯系统,实时识别和预警工业控制网络和工业互联网络的勒索病毒入侵和传播的异常行为安全威胁,及时与工业安全设备联动实现协同防护,并提供攻击回溯取证和安全态势定期报表,为制定工控安全策略提供支撑,形成安全闭环,进而实现工业控制网络和工业互联网络安全威胁的可视、可控、可管。
6. 全网安全态势可视和一体化运营。在勒索病毒入侵的过程中,通过部署六方云全流量威胁检测与回溯系统(以下简称“神探”)可实现工控生产网未知威胁检测和异常行为检测。
神探产品可以基于规则库、威胁情报对已知勒索病毒进行检测,同时可以基于AI范化能力进行变种勒索病毒检测。在环境中已感染主机进行扩散时,可以通过异常行为检测技术进行监测。通过对攻击链的还原,完整重现勒索病毒攻击过程,为事后溯源提供依据。
事后-应急处置与加固
在勒索病毒事件发生后,需要立即采取响应措施进行有序应对、妥善处理,把事件造成的损失降低到最小。
1. 确定受影响系统,并立即将其隔离
物理隔离。确认遭受勒索病毒攻击后,应采取立即断网、关机等方式隔离感染设备。其中,可采取拔掉设备网线、禁用设备网卡、关闭无线网络等方式断网,并拔掉服务器/主机上的所有外部存储设备,防止勒索病毒通过感染设备自动连接的网络在内部传播并进一步感染其他设备。
访问控制。根据初步发现的受影响范围情况,在网络设备或安全设备上通过配置访问控制策略方式进行严格资源访问权限限制。同时,立即修改感染设备的登录密码、同一局域网下的其他设备密码、最高级系统管理员账号的登录密码。
2. 排查勒索病毒感染范围
在已经隔离感染设备的情况下,对局域网内的其他机器进行排查,核查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染范围。对于感染情况不明的设备,提前进行磁盘备份。
还可通过了解现场环境的网络拓扑、业务架构、设备类型等关键信息,评估勒索病毒传播范围、攻击手段等,对勒索病毒失陷区域作出初步判断,为控制勒索病毒扩散和根除病毒威胁提供支撑。
3. 确定勒索病毒种类,进行溯源分析
研判勒索病毒种类。勒索病毒在感染设备后,攻击者通常加载勒索提示信息胁迫用户支付赎金。遭受勒索病毒攻击的组织可从加密的磁盘目录中寻找勒索提示信息,并根据勒索病毒的标识判断本次感染的勒索病毒种类。
判断攻击入侵手段。通过查看设备保留的日志和样本,判断攻击者攻击入侵的方式。如日志信息遭到删除,通过查找感染设备上留存的勒索病毒的样本或可疑文件,判断攻击者攻击入侵的方式。
4. 数据备份与应急恢复
为了保证业务的持续运行,当发生勒索病毒事件导致用户业务系统或重要数据受到影响时,通过部署备份容灾系统确保业务的秒级RPO和分钟级RTO,同时对生产业务系统实现系统、应用、数据、配置等一体化保护。
通过业务监控,实时地发现故障主机,支持一键生成演练测试环境,验证业务数据及其他工作。同时可以满足异机恢复迁移等多种功能,实现业务连续性全程能力支撑。
04.方案优势
多场景广覆盖高适应性的端到端防勒索病毒方案
六方云拥有覆盖传统企业管理网、云数据中心、工控网络等多场景的“5+1”安全产品线,能够针对不同场景,为用户量身打造高性价比且贴合实际业务的勒索病毒防护方案。
勒索病毒检测MTTD小,最大可能减少被勒索的概率
六方云结合不同用户场景的业务特点和勒索病毒入侵特征,综合采用白名单技术、微隔离技术和基于AI技术的异常行为检测技术等,灵活弹性应对不同场景下的勒索病毒防护需求,最大限度地减少被勒索的概率。
专项勒索病毒评估检测、7×24小时持续监测与快速应急响应服务
六方云安全服务专家定期开展勒索风险排查,确保勒索风险无所遁形;安全设备内置勒索病毒专项防护及加固功能,勒索病毒防御更有效;线上线下协助用户精准溯源排查,彻底根除勒索病毒,高效处置全面降低用户损失。
05.用户价值
1、安全风险提前防范,避免损失;
2、安全态势持续监测,及时发现和阻止损失;
3、不幸中招,最大限度减少损失;
4、人防+技防,安全又贴心的全生命周期勒索病毒防护服务。
“在勒索病毒面前,没有一家企业能独善其身”,在勒索病毒“常态化防疫”阶段,制定有效的安全战略和进行前瞻性的安全防护将是最好的免疫。接下来,六方云将继续推出勒索病毒解决方案专题系列,针对勒索病毒威胁,陆续推出分体系层面的防范、主机层面的防范、网络层面的防范、管理层面的防范,为用户提供行而有效的安全防护,夯实我国关键基础设施建设。
关注六方云公众号,后台回复“勒索病毒”获取解决方案全文PDF
免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。
“特别声明:以上作品内容(包括在内的视频、图片或音频)为凤凰网旗下自媒体平台“大风号”用户上传并发布,本平台仅提供信息存储空间服务。
Notice: The content above (including the videos, pictures and audios if any) is uploaded and posted by the user of Dafeng Hao, which is a social media platform and merely provides information storage space services.”