![从攻击面收敛到事中响应,勒索攻击到底该怎么防?]( "从攻击面收敛到事中响应,勒索攻击到底该怎么防?")
勒索攻击应该是今年网络安全行业讨论最多的话题,全球频频有新闻报导企业/组织被勒索团伙攻击,在不久前闭幕的G20峰会上,中美俄甚至携手15国共同举行了以防范勒索攻击为主题的网络安全演习。勒索攻击,已成为全球企业/组织共同面临的问题。
勒索攻击泛滥的一大原因在于,RaaS(Ransomware as a Service,勒索即服务)模式大幅降低了攻击团伙的技能门槛,上下游协同又进一步促进了勒索软件的技术发展。微步在线分析师团队长期跟踪国内外超200个勒索家族动态,综合分析各类勒索攻击工具,总结出勒索软件技术发展三大特点:
-
勒索攻击APT化:勒索攻击团伙更具耐心,为获取有价值资产,其入侵与渗透过程甚至可长达数周乃至数月,这与APT攻击特点趋同;
-
对抗性高:从勒索攻击全过程来看,分阶段使用了加密、免杀、逃逸等技术,对抗能力不断提高,对企业防护能力水平与日俱增;
-
静态防御见效难:针对勒索攻击各阶段攻击手法,单一安全产品很难完整覆盖,静态依靠规则检测的防御手段越来越难防范勒索攻击。
有矛必有盾,有攻必有防。面对勒索攻击技术的不断发展,微步在线充分利用上千次成功的应急救援经验,并与大数据分析、机器学习等技术相结合,针对包括勒索攻击在内的新型威胁,总结出行之有效的方式方法。防止被勒索攻击,首先要做好攻击面管理。
网络攻击无孔不入,攻防双方真正的较量从入侵环节开始。
据微步情报局数据显示,勒索攻击通常采用RDP爆破、网络钓鱼、僵尸网络与Web渗透(典型如漏洞利用)等方式入侵,其中RDP爆破与网络钓鱼是主流入侵手段,但勒索攻击软件也正快速集成并丰富Web渗透等入侵技术。
要防范被入侵,首先要练好“内功”,做好攻击面收敛与管理,尽可能减少暴露资产。这一方面要求企业进行更精细的资产管理,杜绝存在弱密码的操作系统账号、开放端口、不当配置等;另一方面也要求企业要实时检测各类操作系统、中间件及上层应用漏洞信息,及时更新补丁,避免被黑客利用。
随着企业数字化进程的深入,数字资产规模增大,有限的人力很难面面俱到,必须要借助自动化工具,微步针对主机安全推出的OneEDR就具备强大的资产清点能力,可自动收集识别包括底层硬件到中间件、上层应用等800余类资产,并可持续监控分析主机资产的弱密码、漏洞、开放端口、配置风险、账号风险等风险项。结合微步全面的漏洞库,关联整合风险能力,OneEDR能帮助用户更全面、清晰地了解当前企业数字资产的安全风险。
![从攻击面收敛到事中响应,勒索攻击到底该怎么防?]( "从攻击面收敛到事中响应,勒索攻击到底该怎么防?")
OneEDR控制台风险发现页面,可持续监测弱密码、漏洞与端口开放等风险点
练好“内功”不能闭门造车,还要从攻击者视角去审视企业存在的攻击面与入侵路径,比如可以通过使用微步红队评估服务,让企业安全状态保持在一个较高水准。
全面的攻击面管理与收敛可以尽量避免入侵,但并不能完全杜绝,毕竟业务正常运行,为用户提供服务,互联网之上的数字资产必不可少。入侵并不可怕,只要在事中能及时阻断攻击,同样能保护企业数字资产安全。
恶意软件,是勒索团伙攻击所使用的工具,不管勒索团伙攻击技术多么高明,都必须依仗恶意软件来完成攻击。不同勒索团伙所使用的恶意软件功能大致相同,比如内网探测工具、凭据窃取工具、弱口令爆破工具、横移工具、勒索主体软件等。理论上如果能在恶意软件写入主机硬盘时就响应,就能阻断勒索攻击的后续过程。
但这并不容易,每种类型工具都有着诸多变体软件,甚至还可能使用了移除特征码、加密、免杀、逃逸等技术,这让单一检测工具很难完全抵御勒索攻击。实践证明,威胁情报可以帮助企业更高效地应对勒索攻击等新型威胁,例如微步威胁情报已被广泛用于国内包括银行、证券、金融、交通、能源等行业,在检测并响应新型威胁方面广受用户赞誉。
OneEDR中不仅集成了威胁情报引擎,还集成了终端木马检测引擎、Webshell检测引擎、自研文件检测引擎及第三方AV检测引擎等12款自研引擎,从多个维度检测并综合结果分析,力求获得最精准检测结果,同时OneEDR内部还可根据不同威胁事件下发包括阻断网络、隔离进程/主机、查杀等多种策略,帮助企业完成安全闭环。
![从攻击面收敛到事中响应,勒索攻击到底该怎么防?]( "从攻击面收敛到事中响应,勒索攻击到底该怎么防?")
OneEDR控制台中的自动响应策略,可自动或按策略拦截恶意通信,并隔离、查杀恶意文件
基于规则的静态检测可以阻断绝大部分的攻击,但对于一些针对性更强、技术更加高明、手段更加隐蔽的黑客攻击,则需要更加高明的检测手段。针对这一类高危攻击,OneEDR也有“杀手锏”,其中最具代表的就是事件聚合引擎。
一些技艺高明的黑客攻击能绕过基于规则的静态检测技术,但黑客攻击的行为特征却不会改变,一定会产生异常行为,比如提升权限、关闭安全软件、删除文件等,通过行为特征检测(IOA)理论上是可以有效检出高明、隐蔽的黑客攻击的。
但大多数都行为特征检测都是单点检测,也就是告警孤立、缺乏上下文联系,需要人工二次研判,面对成百上千台,乃至上万台主机的异常行为告警,很容易被告警淹没,从而“抓不住”真正有价值的告警。但如果以事件为维度统一查看、处理威胁,便可以有效的解决告警基数大、误报多、不可读的问题——这就是OneEDR中的事件聚合引擎。
OneEDR事件聚合引擎是由微步安全分析专家与机器学习专家的共同成果,利用微步百万级的恶意样本库,结合机器学习、威胁图等技术打造的检测引擎。OneEDR利用全量日志采集能力和图算法技术,将单点威胁和相关信息拼接成完整事件,可以真正做到以点及面,相互关联,做到“一点告警,全链路溯源”,进而强化全面检测的能力,不放过任何一个可疑事件。
尤其是针对类似Phobos勒索家族主体文件fast这种高度自动化的勒索软件,靠人工研判通常很难及时有效响应,必须借助自动化技术在事中精准检测并及时响应。
![从攻击面收敛到事中响应,勒索攻击到底该怎么防?]( "从攻击面收敛到事中响应,勒索攻击到底该怎么防?")
由图算法实现全链路溯源的完整告警事件
主机已经日趋成为企业最重要的核心资产,其安全不容有失。作为主机安全的最后一道屏障,OneEDR本身已拥有极强的安全防护能力,但如果与基于流量检测的TDP威胁感知平台联动,综合主机行为与流量行为,能够更全面、更精准地应对APT、勒索及挖矿等高危攻击。
与此同时,随着数字化转型进程的深入,企业要构建完拥有全面威胁应对能力的整体网络安全防护体系,还需要系统性建设思维,比如企业办公网已经日渐成为黑客最频繁利用的风险点,终端安全建设的重要性日渐突出,利用微步OneDNS+杀毒能力可有效防范利用办公网终端发起的网络攻击。
除此之外,微步还拥有国内最大的情报共享社区、恶意文件分析平台S、威胁诱捕与狩猎平台HFish,以及威胁情报管理平台TIP等产品解决方案,通过部署在企业不同位置,利用不同的安全能力,助力数字化企业的新型网络安全防御体系建设。
↓↓↓
![从攻击面收敛到事中响应,勒索攻击到底该怎么防?]( "从攻击面收敛到事中响应,勒索攻击到底该怎么防?")
![从攻击面收敛到事中响应,勒索攻击到底该怎么防?]( "从攻击面收敛到事中响应,勒索攻击到底该怎么防?")
点击“阅读原文”,免费咨询试用
↙↙↙
原文始发于微信公众号(微步在线):从攻击面收敛到事中响应,勒索攻击到底该怎么防?
OneEDR控制台中的自动响应策略,可自动或按策略拦截恶意通信,并隔离、查杀恶意文件
由图算法实现全链路溯源的完整告警事件
评论