近日,,國(guó)內(nèi)某知名財(cái)務(wù)軟件0day漏洞或被大規(guī)模勒索利用,。短短一天時(shí)間,,確認(rèn)來(lái)自于同個(gè)勒索病毒的攻擊案例已超2000余例,,且數(shù)量正呈不斷上升趨勢(shì),。受災(zāi)企業(yè)被要求向攻擊者支付0.2BTC(約合人民幣2.8萬(wàn)元),,雖然贖金與“傳統(tǒng)”的勒索病毒贖金相比金額較低,但是足以影響到受災(zāi)企業(yè)的正常運(yùn)營(yíng)狀態(tài)。
如此大規(guī)模的勒索病毒攻擊,,瞬間在安全業(yè)界激起千層浪,,引發(fā)了廣泛的社會(huì)關(guān)注。自2017年“WannaCry”勒索事件爆發(fā)以來(lái),,全球各國(guó)都已極大提高了大眾對(duì)勒索病毒的重視程度,,但勒索病毒依舊防不勝防,典型勒索事件頻發(fā),。
為什么防御勒索病毒這么難,?勒索攻擊能不能被提前發(fā)現(xiàn)?如果企業(yè)不幸遭遇了勒索攻擊,,該如何應(yīng)對(duì),?基于這些問(wèn)題,瑞數(shù)信息對(duì)勒索攻擊的發(fā)展態(tài)勢(shì),、攻擊手段,、應(yīng)對(duì)策略進(jìn)行了深度剖析。
勒索攻擊愈演愈烈 呈現(xiàn)五大新趨勢(shì)
近年來(lái),,勒索病毒攻擊席卷全球,,有互聯(lián)網(wǎng)的地方就存在勒索攻擊。隨著數(shù)字化進(jìn)程的加快,,勒索攻擊已經(jīng)成為當(dāng)下網(wǎng)絡(luò)安全的主要威脅,,有組織性的黑客攻擊目標(biāo)不再僅是核心數(shù)據(jù)竊取,醫(yī)療,、政府,、工業(yè)制造、金融,、能源,、通信等行業(yè)的關(guān)鍵信息基礎(chǔ)設(shè)施成為黑客攻擊新目標(biāo),影響范圍仍在不斷擴(kuò)大,。與此同時(shí),,全球網(wǎng)絡(luò)攻防對(duì)抗的強(qiáng)度、頻率,、規(guī)模和影響力不斷升級(jí),。
勒索病毒攻擊經(jīng)過(guò)數(shù)年的演變升級(jí),如今的勒索攻擊手段日趨成熟,,攻擊目標(biāo)越發(fā)明確,,模式多種多樣,攻擊愈發(fā)隱蔽,,更加難以防范,危害也日益增大,。隨著勒索攻擊專業(yè)化,、團(tuán)隊(duì)化運(yùn)作,,勒索攻擊逐漸發(fā)展出五大新趨勢(shì)。
// 趨勢(shì)一: 供應(yīng)鏈成為勒索攻擊重要的切入點(diǎn)
一個(gè)基礎(chǔ)性漏洞很可能將整個(gè)供應(yīng)鏈的程序暴露在風(fēng)險(xiǎn)中,,當(dāng)供應(yīng)鏈攻擊和勒索軟件攻擊被一起使用時(shí),,會(huì)造成更大的危害,勒索對(duì)象正在從供應(yīng)商延伸到其客戶群體,。
// 趨勢(shì)二:多重勒索模式引發(fā)數(shù)據(jù)泄露風(fēng)險(xiǎn)
攻擊者不止是對(duì)數(shù)據(jù)進(jìn)行加密后勒索受害企業(yè),,還會(huì)竊取數(shù)據(jù)再次勒索企業(yè),通過(guò)雙重勒索,、多重勒索的模式,,使勒索的利益最大化。
// 趨勢(shì)三:新一代勒索攻擊采用low and slow(高隱蔽且高持久化)的攻擊手法
攻擊者在竊取數(shù)據(jù)過(guò)程中緩慢加密數(shù)據(jù),,攻擊隱藏性加強(qiáng),,攻擊行為不易發(fā)現(xiàn),使得發(fā)現(xiàn)威脅和恢復(fù)數(shù)據(jù)的難度大幅提升,。
// 趨勢(shì)四:勒索軟件與“挖礦”木馬相結(jié)合
攻擊者會(huì)在攻擊過(guò)程中將二者同時(shí)實(shí)施,,受害企業(yè)的設(shè)備不僅會(huì)遭受勒索攻擊,還會(huì)被攻擊者用來(lái)挖礦,,除了電力能耗增大,、設(shè)備老化加速、經(jīng)濟(jì)損失嚴(yán)重之外,,攻擊者還會(huì)留下后門(mén)惡意竊取機(jī)密信息,,直接引發(fā)或變相滋生各種網(wǎng)絡(luò)犯罪。
// 趨勢(shì)五:勒索病毒擴(kuò)散渠道轉(zhuǎn)向web應(yīng)用漏洞
隨著攻擊技術(shù)迭代升級(jí),,攻擊者開(kāi)始從系統(tǒng)漏洞轉(zhuǎn)向應(yīng)用漏洞挖掘,,針對(duì)特定應(yīng)用定制高級(jí)攻擊工具,定向?qū)嵤?yīng)用漏洞攻擊,,成為新型勒索攻擊手段,。
傳統(tǒng)技術(shù)瓶頸凸顯 反勒索亟需新思路
為了對(duì)抗勒索攻擊,市面上出現(xiàn)了很多反勒索安全防護(hù)產(chǎn)品或數(shù)據(jù)備份產(chǎn)品,。即便如此,,當(dāng)新型的勒索攻擊手段出現(xiàn)時(shí),依然無(wú)法保護(hù)企業(yè)的數(shù)據(jù)安全,。那么,,現(xiàn)有的安全防護(hù)技術(shù)到底存在哪些不足?
瑞數(shù)信息表示,,現(xiàn)有反勒索安全技術(shù)面對(duì)新型勒索攻擊最大的兩個(gè)防護(hù)弱點(diǎn)分別是應(yīng)用漏洞與響應(yīng)速度,。這可以從應(yīng)用安全和數(shù)據(jù)恢復(fù)兩個(gè)角度來(lái)看,前者是作為應(yīng)用攻擊檢測(cè)和響應(yīng)的防御手段,后者是作為數(shù)據(jù)備份,、業(yè)務(wù)恢復(fù)的手段,,但這兩種技術(shù)不能停留在傳統(tǒng)技術(shù)思路上,否則無(wú)法對(duì)抗不斷升級(jí)的勒索攻擊,。
// 傳統(tǒng)WAF
以傳統(tǒng)WAF為代表的應(yīng)用攻擊防護(hù)產(chǎn)品,,是基于固定的規(guī)則和特征庫(kù),無(wú)法防護(hù)利用自動(dòng)化攻擊技術(shù)隱蔽惡意攻擊特征并不斷變形的勒索軟件,,更無(wú)法防御利用0day漏洞的勒索攻擊,。
// 傳統(tǒng)災(zāi)備系統(tǒng)
傳統(tǒng)備份系統(tǒng)是定期做全量數(shù)據(jù)備份,但并不能完全識(shí)別備份數(shù)據(jù)是否健康,、是否可恢復(fù),、是否完整,一旦原始數(shù)據(jù)被感染,,備份數(shù)據(jù)同樣會(huì)被感染,,導(dǎo)致數(shù)據(jù)無(wú)法使用。傳統(tǒng)容災(zāi)系統(tǒng)同樣沒(méi)有辦法應(yīng)對(duì)勒索軟件的攻擊,,一旦主系統(tǒng)被病毒感染破壞,,備用系統(tǒng)數(shù)據(jù)同步復(fù)制,所有的容災(zāi)系統(tǒng)都會(huì)被病毒感染,。同時(shí),,新型勒索攻擊采用low and slow的攻擊策略,被加密的數(shù)據(jù)跨越多個(gè)備份時(shí)點(diǎn),,運(yùn)維人員難以確認(rèn)可以用于恢復(fù)干凈數(shù)據(jù)的時(shí)點(diǎn),,大幅增加了恢復(fù)工作的挑戰(zhàn)與難度。
若企業(yè)僅在被勒索攻擊后通過(guò)災(zāi)備系統(tǒng)恢復(fù)了數(shù)據(jù),,但未對(duì)數(shù)據(jù)內(nèi)容的完整性進(jìn)行驗(yàn)證,,被勒索軟件加密的“臟數(shù)據(jù)”將會(huì)影響系統(tǒng)的正常運(yùn)行,造成二次傷害,,再度打擊企業(yè)的商譽(yù),。此外,傳統(tǒng)備份系統(tǒng)恢復(fù)數(shù)據(jù)時(shí)間較長(zhǎng),,從而無(wú)法保證業(yè)務(wù)的連續(xù)性,。
對(duì)抗勒索病毒
關(guān)鍵數(shù)據(jù)備份是“最后的防線”
當(dāng)現(xiàn)有的安全防護(hù)手段不夠有效時(shí),企業(yè)面對(duì)勒索攻擊是否就只能“任人拿捏”,?
事實(shí)上,,反勒索安全防護(hù)需要全方位考慮,如:做好數(shù)據(jù)備份與災(zāi)難恢復(fù)方案,;定期檢查漏洞,、及時(shí)更新安全補(bǔ)?。欢ㄆ诟鼡Q登錄口令,;減少互聯(lián)網(wǎng)暴露面,;加強(qiáng)網(wǎng)絡(luò)邊界入侵防范與管理;提高安全意識(shí),,都是企業(yè)面對(duì)勒索攻擊威脅需要采取的必要措施。
勒索與其他病毒和攻擊有一個(gè)重要的差別點(diǎn)在于,,一旦遭受勒索,,數(shù)據(jù)和系統(tǒng)通常難以解鎖,因此反勒索除了關(guān)注勒索病毒的預(yù)防,、攻擊檢測(cè)外,,更加依賴應(yīng)急的高效和高安全、高質(zhì)量的數(shù)據(jù)恢復(fù),,成為最關(guān)鍵的最后一道防線,。
從技術(shù)的角度看,采用創(chuàng)新的應(yīng)用安全防護(hù)技術(shù)和數(shù)據(jù)備份技術(shù),,能夠?yàn)槠髽I(yè)打造更堅(jiān)固的數(shù)據(jù)反勒索防線,。目前,瑞數(shù)“動(dòng)態(tài)應(yīng)用防護(hù)系統(tǒng)Botgate”+ “數(shù)據(jù)安全檢測(cè)與應(yīng)急響應(yīng)系統(tǒng)DDR”的組合方案,,正是反勒索創(chuàng)新技術(shù)的典型代表,。
(一)動(dòng)態(tài)應(yīng)用防護(hù)系統(tǒng)Botgate
作為新一代WAF明星產(chǎn)品,,瑞數(shù)Botgate廣為業(yè)界所熟知,,以“動(dòng)態(tài)防護(hù)+AI”技術(shù)為核心,通過(guò)動(dòng)態(tài)封裝,、動(dòng)態(tài)驗(yàn)證,、動(dòng)態(tài)混淆、動(dòng)態(tài)令牌等創(chuàng)新技術(shù),,能夠?qū)崿F(xiàn)從用戶端到服務(wù)器端的全方位主動(dòng)防護(hù),。在高效識(shí)別各類(lèi)已知與未知攻擊的同時(shí),也彌補(bǔ)了傳統(tǒng)WAF和殺毒軟件無(wú)法對(duì)未知惡意軟件特征進(jìn)行識(shí)別的短板,。
由于瑞數(shù)Botgate不依賴固定規(guī)則和特征進(jìn)行防護(hù),,而是通過(guò)獨(dú)有的“動(dòng)態(tài)防護(hù)+AI”技術(shù),在漏洞發(fā)布之前就能夠有效識(shí)別0day攻擊,,提前可以對(duì)未知0day進(jìn)行攔截,,有效防御利用0day漏洞的勒索攻擊。針對(duì)0day爆發(fā)后的Webshell工具攻擊,,瑞數(shù)Botgate也能夠通過(guò)動(dòng)態(tài)技術(shù)對(duì)Webshell的訪問(wèn)進(jìn)行阻斷,,無(wú)論Webshell如何升級(jí),,都能夠有效一招制敵,防止攻擊者通過(guò)Webshell植入勒索攻擊代碼,。
?。ǘ?shù)據(jù)安全檢測(cè)與應(yīng)急響應(yīng)系統(tǒng)DDR
一旦企業(yè)應(yīng)用或系統(tǒng)被勒索軟件破防,快速恢復(fù)企業(yè)核心數(shù)據(jù),,保持業(yè)務(wù)的正常運(yùn)轉(zhuǎn),,是企業(yè)反勒索的關(guān)鍵。瑞數(shù)DDR系統(tǒng)定位于企業(yè)核心數(shù)據(jù)備份,、快速恢復(fù)備份數(shù)據(jù),,正是數(shù)據(jù)反勒索“最后的防線”。
在新安全形勢(shì)下,,需要支持原始格式的數(shù)據(jù)安全底座,,瑞數(shù)DDR系統(tǒng)作為新一代數(shù)據(jù)安全底座,能夠有效實(shí)現(xiàn)數(shù)據(jù)反勒索的三大目標(biāo):健康體檢,、勒索監(jiān)測(cè),、快速恢復(fù)。
● 目標(biāo)一:健康體檢,,事前數(shù)據(jù)風(fēng)險(xiǎn)管理
盤(pán)點(diǎn)數(shù)據(jù)資產(chǎn)與排查系統(tǒng)隱患是做好數(shù)據(jù)安全的第一步,。瑞數(shù)DDR基于創(chuàng)新的“深度文件內(nèi)容檢測(cè)”技術(shù),能夠高效識(shí)別企業(yè)核心備份數(shù)據(jù)的數(shù)據(jù)類(lèi)型,,生成數(shù)據(jù)完整性,、敏感數(shù)據(jù)分布及權(quán)限審計(jì)等報(bào)告,從而全面掌控企業(yè)核心備份數(shù)據(jù)資產(chǎn)的管控現(xiàn)狀,。此外,,更通過(guò)漏洞檢測(cè)與配置核查等機(jī)制,排查系統(tǒng)隱患,,保護(hù)備份數(shù)據(jù)資產(chǎn)的安全,。
● 目標(biāo)二:勒索監(jiān)測(cè),事中智能威脅感知
瑞數(shù)DDR系統(tǒng)基于獨(dú)創(chuàng)的“離線智能深度檢測(cè)引擎”,,可以對(duì)攻擊過(guò)程中損毀的文件進(jìn)行安全檢測(cè),,檢測(cè)出被勒索軟件加密的文件,找出干凈可用的數(shù)據(jù),,幫助企業(yè)快速恢復(fù)IT系統(tǒng),。
傳統(tǒng)備份系統(tǒng)并不會(huì)對(duì)備份數(shù)據(jù)的好壞進(jìn)行檢測(cè),以至于備份數(shù)據(jù)中可能因勒索軟件的攻擊,,存在大量被損毀的文件,,恢復(fù)后的系統(tǒng)仍無(wú)法正常使用。瑞數(shù)信息可以在備份過(guò)程中發(fā)現(xiàn)損毀或異常的文件或數(shù)據(jù),,找到被勒索病毒感染的文件及感染時(shí)間點(diǎn),,協(xié)助安全管理人員快速移除勒索軟件并對(duì)系統(tǒng)進(jìn)行加固,。
這種技術(shù)來(lái)源于瑞數(shù)信息獨(dú)創(chuàng)的文件與數(shù)據(jù)庫(kù)動(dòng)態(tài)變化追蹤技術(shù),通過(guò)對(duì)比文件名,、文件類(lèi)型,、文件大小、文件信息熵,、文件相似度等指標(biāo)的變化,,從而識(shí)別出被勒索軟件加密的可疑文件。利用信息熵+AI技術(shù)進(jìn)行安全檢測(cè),,正是瑞數(shù)信息的獨(dú)門(mén)絕技,,檢測(cè)準(zhǔn)確性可高達(dá)98%以上。
● 目標(biāo)三:快速恢復(fù),,事后快速響應(yīng)恢復(fù)
基于傳統(tǒng)備份系統(tǒng),數(shù)據(jù)合并費(fèi)時(shí)必須將備份格式轉(zhuǎn)化生產(chǎn)數(shù)據(jù)格式,,數(shù)據(jù)必須移動(dòng)拷貝才能恢復(fù),,恢復(fù)時(shí)間往往需要數(shù)天甚至數(shù)周?;谌饠?shù)獨(dú)創(chuàng)的智能快速恢復(fù)引擎,,無(wú)論多大數(shù)據(jù)量,瑞數(shù)DDR系統(tǒng)都能夠自動(dòng)生成可直接掛載的干凈磁盤(pán)鏡像,,達(dá)到分鐘級(jí)的數(shù)據(jù)恢復(fù),,將業(yè)務(wù)中斷的時(shí)間降到最低。
此外,,瑞數(shù)DDR還能夠評(píng)估評(píng)估攻擊造成的損害,,如:哪些數(shù)據(jù)被攻擊了?受影響的數(shù)據(jù)是如何分布的,?哪些用戶受到影響,?何時(shí)發(fā)生的?造成的損害和影響有多大,?最新的干凈備份是哪個(gè)版本,?從而能夠快速用最新的干凈備份恢復(fù)受損的數(shù)據(jù),并自動(dòng)移除勒索軟件產(chǎn)生的勒索說(shuō)明文件,。
相比傳統(tǒng)數(shù)據(jù)恢復(fù)方案,,一旦生產(chǎn)數(shù)據(jù)被加密,備份數(shù)據(jù)也很大可能被加密,,瑞數(shù)DDR最大的優(yōu)勢(shì)在于防批量數(shù)據(jù)破壞,、安全隔離備份數(shù)據(jù)、分鐘級(jí)快速恢復(fù),、生產(chǎn)環(huán)境低干擾,、自動(dòng)化可編排運(yùn)維,,能夠很好地突破傳統(tǒng)災(zāi)備系統(tǒng)面對(duì)勒索攻擊威脅時(shí)的瓶頸。一旦被勒索病毒感染,,瑞數(shù)DDR能夠第一時(shí)間對(duì)備份增量數(shù)據(jù)進(jìn)行分析,,發(fā)現(xiàn)被加密的數(shù)據(jù),從系統(tǒng)中找到未加密的數(shù)據(jù)進(jìn)行恢復(fù),,最大的數(shù)據(jù)丟失風(fēng)險(xiǎn)僅為當(dāng)日增量數(shù)據(jù)中被加密的部分,,對(duì)企業(yè)業(yè)務(wù)連續(xù)性影響較小。
結(jié)語(yǔ)
在勒索攻擊愈演愈烈的今天,,傳統(tǒng)安全,、備份與災(zāi)備機(jī)制面對(duì)新興的數(shù)據(jù)安全威脅已顯得捉襟見(jiàn)肘,新一代數(shù)據(jù)反勒索機(jī)制的建設(shè)已刻不容緩,。以瑞數(shù)“動(dòng)態(tài)應(yīng)用防護(hù)系統(tǒng)Botgate”+ “數(shù)據(jù)安全檢測(cè)與應(yīng)急響應(yīng)系統(tǒng)DDR”為代表的數(shù)據(jù)反勒索方案,,將基于創(chuàng)新的動(dòng)態(tài)安全+AI技術(shù),融合存儲(chǔ)技術(shù),,為各行業(yè)用戶筑起堅(jiān)固的安全防線,。
更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<
