近日,安全牛發布了《勒索攻擊防護技術應用指南(2024版)》,綠盟科技以其在勒索攻擊防護方向深厚的沉淀,入選2024年度勒索攻擊防護技術領域十大代表性廠商。
隨著數字中國的深入推進,公共數據、企業數據、個人數據的應用價值越來越高,針對網絡、信息、數據的攻擊層出不窮,給網絡空間安全帶來極大的威脅。2023年勒索攻擊數量增加73%,贖金總額高達11億美金以上,已成為造成的損失最高的網絡犯罪之一。
勒索病毒攻擊防護綜合解決方案
綠盟科技《勒索病毒攻擊防護綜合解決方案》以其科學合理、行之有效的勒索攻擊防護獲得業界認可。總結形成了全方位監控采集、自適應協同分析、自動化編排響應、全流程管理協同的全天候、全方位、全場景的方案。特別是方案中提出事前風險排查、事中應急處置、事后清除威脅的三大模塊九大核心能力,得到了業界專家和服務客戶的一致認可。
*勒索病毒攻擊防護綜合解決方案
事前風險排查
核心能力1:勒索攻擊快速預警
從勒索攻擊的視角出發,關注攻擊事前、攻擊事中、攻擊事后,做到事前應對勒索、提前感知,最大限度地降低風險的發生概率:
勒索威脅情報服務
在勒索情報平臺感知范圍內的客戶風險預警,實時、精準。
勒索攻擊性技術(藍軍)情報訂閱服務
提供在野組織技戰術情報,為客戶藍軍提供技戰術指導,幫助客戶提升攻防演練作戰能力,同時促進客戶更有效地完成威脅模擬和驗證,輔助確定風險和威脅的優先級。
核心能力2:勒索防護專項評估
邊界防護評估
重點檢查邊界區域雙向安全防御策略;邊界場景目前主要評測的常見安全設備包括NF、 WAF,IPS 等。
內網滲透評估
從客戶內部網絡的計算機 A 模擬攻擊計算機 B,即東西方向的網絡模擬攻擊,內網評估場景目前主要評測檢測類安全產品,包括UTS, IDS,旁路的 IPS, WAF 等。
終端加固評估
自動化BAS設備會模擬攻擊終端設備,檢查終端安全軟件是否可以防御和檢測惡意軟件和基于行為的攻擊。終端場景目前主要評估終端安全類產品如EDR、EPP等。
勒索攻擊模擬評估
內置常見勒索攻擊用例和場景,支持對域名解析、勒索病毒落盤、勒索病毒執行、模擬執行等場景開展模擬驗證,可以自定義選擇攻擊節點和目標節點、進行各種組合測試,以達到靈活驗證。
核心能力3:常態化勒索攻擊演練
以演代練、以練促防,助力防勒索安全建設。
場景設計
演練方案,明確演練場景類型、演練目的、描述。
演練組織架構
演練小組(攻擊小組、應急小組、檢測運維人員、業務部門、監管方、安全企業)。
演練流程
明確參與主體,結合安全預案梳理處置流程。
演練配套
演練涉及資產準備、演練工具準備(防護軟件、攻擊工具等)、演練涉及環境準備。
演練場景
事件發生前、勒索事件發生、應急排查、故障恢復、演練上報、總結完善。
二、事中應急處置
核心能力4:勒索攻擊應急響應
針對已經發生的勒索攻擊,第一時間開展勒索攻擊應急響應處置,進行應急響應服務。包括:
初始響應階段
勒索軟件的確認-通知高層管理者-通知法務團隊-啟動網絡安全事件應急響應。
遏制階段
識別受影響的主機-隔離受影響的主機-重置受影響的主機。
分析階段
通過保存證據、識別勒索軟件家族信息、確定攻擊手段&感染途徑,進行全面地分析。
補救措施階段
將威脅指標添加到管理平臺,運行防病毒防惡意軟件掃描,修復已知漏洞,根除勒索病毒。
恢復階段
將受感染的主機恢復到良好狀態,通過備份恢復數據和策略配置。
最后,進行事件復盤。
核心能力5:勒索病毒隔離阻斷
勒索攻擊最主要的一個環節,就是終端側的攻擊。綠盟一體化終端安全管理系統(NSFOCUS Unified Endpoint Security Management System, 簡稱UES)依托綠盟自主研發的終端異常行為分析引擎及高效精準的威脅情報數據,可有效檢測APT攻擊、勒索挖礦、僵木蠕、0Day漏洞等已知和未知威脅場景,同時提供快速響應措施阻斷威脅蔓延,做好端側實時有效的防護,防止勒索病毒的擴散。
Step1-“開門”
黑客攻擊主機,設置 SSH后門來保持持久訪問。充分應用 UES 網絡威脅模型,是從網絡安全角度檢測主機安全,當前支持暴力破解,對主流破解方式如 SSH、RDP、SMB等可進行監控和發現,可區分出破解成功和持續破解等狀態。提供持久化后門監測能力,對攻擊者發起的反彈shell行為可提供檢測及有效阻止。
Step2-“錨準”
執行powershell命令進行資產掃描,確定攻擊目標。UES具有惡意樣本檢出功能。當前支持檢測惡意程序、釣魚程序、黑客程序、Powershell、Webshell、挖礦程序等。
Step3-“投毒”
利用命令和控制以及遠程監控和管理軟件,將文件推送到受感染的主機。UES勒索防護模型,對已知勒索病毒特征及家族進行準確識別,對未知勒索病毒通過主機行為分析+動態誘捕能力作為主動防御技術,采用部署誘餌文件,檢測惡意程序加密誘餌文件這個行為特征來判斷勒索行為。
Step4-“篡位”
禁用和卸載安全解決方案以及從web瀏覽器和本地安全系統服務進行權限升級。UES具有檢測主機異常行為的功能,從惡意程序運行時所產生特征(當前進程名、進程命令行、父進程、注冊表行為)等特征發現惡意操作。
Step5-“感染”
通過橫向移動、數據滲透和勒索軟件部署實現其他主機失陷,攻陷企業內網。基于零信任理念,采用智能自適應算法模型確定微隔離策略,對主機的入棧和出棧流量進行控制和審計,從而可以減少終端對外暴漏面,并可有效防止攻擊的東西向擴散。
核心能力6:勒索病毒持續監控
從全局態勢出發,基于機器學習和安全事件分析模型,實時分析上報的安全數據,預測網絡中存在的安全隱患/重大風險并以可視化方式呈現,及時幫助客戶識別勒索攻擊并采取措施;多維度展示威脅事件、風險終端、攻擊鏈、資產等統計信息,方便管理員日常管理。
三、事后清除威脅
核心能力7:數據恢復消除影響
數據加密是保護數據安全的通用做法,設置4種加密模式,可支持各類應用場景。強制加密:基于進程和文件類型的關系規則設置加密策略,可對所有文件強制加密保護,并且加解密過程無感知。智能加密:根據文件類型、文件屬性、文件大小、文件內容制定識別規則,結合加密技術達到對重要數據的精準保護。明密結合:在保障核心數據全程加密的情況下(打開、編輯、另存等依然處于加密狀態),允許一般數據明文存儲(新建、編輯、保存等依然為明文)。按需加密:人可授權部分人員主動加密能力,對自主判斷需要加密的數據進行加密處理。實現數據安全和靈活應用的完美結合。
在加密數據的同時,提供本地備份、遠程備份和多版本備份能力,識別并防止被勒索病毒感染加密的文件覆蓋正常的文件備份。面對雙重勒索,無懼數據泄露風險,同時實現快速還原恢復數據,消除數據勒索影響。
核心能力8:勒索攻擊溯源取證
在端點側全面記錄事件活動軌跡,關聯事件的主機、惡意進程、進程文件的子/父級進程、進程運行時間、詳細路徑、安全屬性、網絡訪問關系、相互調用關系多角度分析,迅速定位失陷主機并還原事件發生過程,形成完整事件證據鏈并構建完整威脅場景進行立體呈現。
核心能力9:啟動勒索保險理賠
以風險共擔的理念,與保險公司合作,創新性地推出了數據勒索保險。通過完整的保險采購、保險理賠與全生命周期的服務流程,確保勒索攻擊防護的實時有效。
采購流程
1)銷售 “保險+風險管控+服務”解決方案。
2)提供等級保護測評報告。
3)提供風險評估服務。
4)輸出量化風險數據。
5)確認保費簽訂保單。
保險流程
核保階段-承保階段-理賠階段。
服務流程
包括事前識別與降低、事中監控與發現、事后響應與補償。
