《企業勒索軟件防護應用指南》報告發布
發布時間 2022-04-01近年來,勒索軟件攻擊數量明顯上升,攻擊手段越來越復雜,并呈現家族式關聯,這給企業數字化轉型發展帶來了嚴峻的安全風險和經濟損失。隨著勒索攻擊模式的組織化、規模化、商業化發展,傳統安全防御模式已經很難有效應對。
為了幫助企業更好地應對勒索軟件攻擊,構建完善的勒索防護體系,安全牛通過訪談調研十余家甲方企業的信息安全管理者,并從技術先進性、產品成熟度和綜合服務能力等維度,征集邀請到美創科技、佰倬、安天、奇安信、安恒信息、深信服共6家勒索軟件防護代表性國產安全廠商,共同發起《企業勒索軟件防護應用指南》報告(以下簡稱“《報告》”)研究項目。3月24日,《報告》正式發布。
《報告》概述及關鍵發現
為切實了解勒索軟件對企業的影響以及甲方用戶對勒索軟件的防護現狀,并為用戶開展勒索軟件防護建設提供更真實的參考與幫助,本次《報告》以問卷調查、現場訪談和線上交流等方式開展調研,覆蓋了金融行業、制造業等多個領域用戶。報告調研發現,當前企業在勒索軟件防護能力構建的過程中,面臨的主要挑戰有:
企業面臨的挑戰
挑戰一:勒索軟件防護產品需要全面滿足企業防、管的需求,這對產品廠商的綜合服務能力提出較高要求;
挑戰二:部分企業用戶對勒索軟件攻擊的認知還停留在加密勒索階段,對雙重勒索、三重勒索的認知不足;
挑戰三:甲方企業員工安全意識薄弱是造成勒索軟件進駐到系統的重要原因;
挑戰四:甲方企業中專業勒索防護產品部署率較低,并且存在沒有妥善利用的情況。
在網絡安全領域,只要有誘人的利益,黑色產業鏈就會一直存在,甚至會更猖獗,勒索軟件攻擊也會繼續生存下去。報道調研發現,勒索軟件攻擊和防護呈現以下發展趨勢:
趨勢一:隨著勒索軟件開源,RaaS模式涌現,這將進一步降低攻擊者門檻,未來勒索軟件攻擊數量將進一步增加。
趨勢二:勒索組織已不再滿足于針對個人終端的小額勒索,定向勒索將成為需要防范的主要勒索方式。
趨勢三:勒索黑產攻擊期望值增加,單個攻擊索要贖金及實際贖金支付數額均有所增長,勒索軟件攻擊造成的影響將越來越大。
趨勢四:結合了數據竊取、DDoS的勒索攻擊比重不斷上升,雙重勒索甚至多重勒索盛行。
趨勢五:隨著攻擊手段的多元化,不斷有安全技術例如抗DDoS技術、dlp技術等融合到勒索防護體系中。
趨勢六:隨著勒索軟件已對實體空間的民計民生造成影響,未來針對勒索軟件的防護將上升到綜合治理層面。
《報告》關鍵發現
1、勒索軟件攻擊符合攻擊鏈模型。勒索軟件攻擊依照模型進行入侵及侵害,同時又具備系統文件夾掃描、數據加密、文件頻繁變更等特性,有明顯的識別依據,能夠依照相應的方法進行阻斷。
2、攻擊目標以關鍵信息基礎設施為主。醫療行業、制造業、高科技等涉及基礎民生行業成為被攻擊的主要目標,其比例有所上升;高收入地區成為勒索軟件攻擊的主要目標地區,在全球范圍內歐美更易成為攻擊目標,在我國廣東、江蘇、浙江等地區更易成為攻擊目標。
3、勒索軟件攻擊者能力不斷增加。主流的定向勒索攻擊,其攻擊組織和攻擊實力都向高級威脅趨同,甚至一些國家行為體也會存在勒索攻擊行為,這意味著一方面勒索攻擊能力提升,另一方面,我們也可以按照高級威脅框架進行能力構建。
4、信息安全廠商具備多種專業防勒索能力及產品。在對廠商進行調研后,主流的針對勒索的防護技術包括誘餌文件識別、文件狀態識別、內核搶占、數據資產操作管控,基本能滿足各類型數據的勒索防護需求。
產業專家觀點
01 深信服勒索防護解決方案專家劉帆:
在服務大量用戶的過程中,我們發現從黑客視角來看,企業遭受勒索軟件攻擊主要分5個步驟:第一步,通過釣魚郵件突破企業網絡邊界,給目標企業終端安裝木馬程序,并通過木馬程序安裝Cobalt Strike;第二步,利用Cobalt Strike進行橫向滲透,獲取目標企業重要服務器RDP登錄憑證;第三步,通過RDP登錄到目標企業服務器,利用PowerShell自動安裝勒索軟件;第四步,繼續橫向滲透更多目標企業服務器并安裝勒索軟件;第五步,竊取重要數據,啟動加密勒索。通過對勒索軟件攻擊步驟的分解,深信服目前已推出有針對性的整體防御方案。
02 安恒信息終端安全產品專家何柏宜:
全球勒索態勢愈演愈烈,勒索病毒累計給全球帶來超過1000億美元的損失。2021年勒索產業鏈已經非常完善,勒索攻擊更頻繁、更多樣、更精準、更有目的性,勒索病毒目前已成為網絡安全頭號威脅,每15秒就有一家企業受到侵害。傳統終端安全防護機制缺乏有效的發現、處置手段,邊界防護失效,終端已成為勒索防護的主戰場。為應對勒索軟件帶來的巨大風險,我們提出應構建從勒索檢測——勒索預防——勒索防御——勒索專項加固——追蹤溯源——勒索響應的全流程“勒索風險處置閉環”,持續進行分析、監測、防御、響應。
03 奇安信服務體系解決方案部徐偉:
勒索病毒具有傳播途徑多,傳播技術隱蔽,病毒變種復雜,勒索產業化發展等顯著特點,我們認為,有效的勒索病毒防御手段一定是盡可能地早于事故發生前檢測發現異常,從而采取應對措施。而非著眼于事件發生后的補救行動。因此防御勒索病毒的思路應由“事后補救”轉變為“事前防御”。即便如此,也不能確保萬無一失,仍然要建立針對勒索病毒的專項應急響應體系,遏制內部資產遭投毒。同時,在遭到勒索病毒投毒后,應具備溯源定位能力,查明攻擊源頭,確定應對措施,固化安全經驗,查漏補缺,避免事件再次發生。
04 安天產品經理周勝鑫:
依靠單一手段已很難實現對勒索病毒的有效防護,難點有三:一是,新型病毒不斷出現,傳統病毒庫檢測機制逐漸失效;二是,勒索病毒加密技術快速迭代和提升,特別是在防御規避、身份仿冒、數據外滲等方面有了極大提高,這給傳統主動防御機制帶來極大挑戰;三是,缺乏完善的端點安全防護機制,勒索軟件攻擊常常利用系統漏洞、弱口令等主機脆弱點進行攻擊,單純依靠病毒防御,而不從根本上加固主機,縮小受攻擊面,會給主機帶來很大的安全風險。我們提出建立從網絡邊界到端點內核的立體化防護體系,通過“環境塑造+威脅攔截+數據保護”建立多層級有效防護,不斷提升用戶的防護能力。
05 佰倬信息售前總監王景普:
現有常見的防勒索解決方案有一些不足之處,例如:備份系統不能防范數據泄露和黑客破壞;文件加密方式不能防范攻擊者的二次加密;防病毒、EDR等方式只能防范已知勒索軟件,不防范黑客停服務、殺進程等惡意行為,且如果軟件更新不及時其防護效果會大打折扣;防火墻、IPS防勒索軟件傳播等方式也只能對已知勒索軟件進行防范,不能有效防范未知勒索軟件。佰倬提出在計算執行環境內進行加密隔離的理念,將數據文件的最高操作權限外移,防止擁有服務器最高權限的人員或黑客提權后竊取和破壞數據文件。
06 美創科技安全實驗室負責人劉雋良:
為應對當前爆發式增長的勒索事件,我們提出“知白守黑、不阻斷無安全”的理念,倡導使用以數據資產防護為核心、以零信任為基礎的勒索病毒防護軟件或解決方案,通過集合內核級別防護機制、主機防護、基線防護、威脅情報、誘捕機制、智能模型等創新技術,實時監控各類進程對數據文件的讀寫操作,快速識別、阻斷非法進程的入侵行為,幫助政企事業單位主動抵御面臨的各類病毒。
07 安全牛分析師王劍橋:
定向勒索攻擊與高級威脅攻擊存在趨同的地方,因此安全牛參照高級威脅模型,構建了勒索防護模型。從時間維度,結合PPDR模型,從勒索軟件事前防護、勒索軟件識、勒索軟件阻斷以及勒索軟件攻擊應急響應進行能力構建。從空間維度,依據縱深防御模型,由內到外,多層次地進行防護能力建設,在不同位置上部署勒索防護能力。從手段維度,通過采用疊加演進模型,從整體的體系防護,到對重要數據的防護,到有針對性的勒索防護手段,進行能力的疊加。
