事件背景
近日,勒索病毒尤为猖獗,攻击国内头部ERP软件服务提供商,导致该企业的软件产品全国大范围用户被勒索病毒加密,不少软件厂商的客户都遭殃且被要求支付赎金。不到24小时,来自该勒索病毒的攻击案例已超2000例!通过劫持用户文件以实现敲诈勒索目的的恶意软件来势汹汹,如何强化网络安全根基,从根本上预防网络威胁再次成为各方关注的焦点。
勒索病毒成为企业数据安全的噩梦
在过去几年里,勒索软件已经成为最普遍的网络威胁,且攻击者表现出对大中型企业尤为感兴趣。这其中转变的原因是,大多数中招勒索病毒的企业,除交赎金外,几乎无解。而且伴随RaaS的兴起,勒索已经成为了一条黑色产业链,使得勒索的手段更加灵活和智能。
传统的防勒索软件主要通过备份恢复软件、抑制勒索软件传播途径等方式来防护:
通过备份恢复软件实现防勒索,这种方式通过对关键系统的数据库、文件形式的数据进行定期备份,一旦发现勒索,还原在备份系统中的数据实现防勒索,避免给企业带来的直接的经济损失(勒索金支付)。
通过抑制勒索软件的传播途径实现防勒索的方式是防止勒索软件通过钓鱼、软件系统漏洞以及黑客攻击的方式进入到企业内部来植入勒索软件。通常使用的手段有防垃圾邮件、网络行为管理、网页过滤、IPS、防火墙、APT态势感知、沙盒、漏洞扫描、终端防护软件等多种工具组合来防范可能的传输途径。
优炫软件认为,要做到真正的防范勒索软件,需要以数据资产为核心,围绕的数据访问提供有效实际的保护。总结来说,做到防护勒索病毒三部曲:“切断传播途径”、 “保护易感人群”、“控制传染源”。
优炫CDPS防勒索病毒“三部曲”
风险提前发现,减少资产暴露面。通过轻量级agent探针,全面采集业务主机内部的各项资产信息,有效识别进程、账号、端口、软件、web等资产信息,及资产存在的漏洞、弱口令、缺失配置等安全风险,及时进行安全预警,通过闭环的风险管理协助用户进行优化修改。增加口令强度、及时修复系统漏洞/应用漏洞,以及强化端口管理,除必要业务之外,应关闭135、139、445、3389等高危端口。减少资产的暴露面,降低被攻击的可能性。
持续检测,及时阻断入侵行为。持续性检测与分析主机资产的漏洞、补丁、弱口令、合规基线脆弱性,并对主机进行动态监控,通过端口检测、网络连接、登录认证、文件变化、高危命令等一系列关键事件识别,提供完备的入侵检测能力并及时阻断。
合规基线界面
自动识别核心数据。基于细颗粒度资产的识别与分析,自动识别数据库存储路径。目前优炫可识别包含信创数据库在内的多达十余个型号、近百个版本,基本覆盖市面上常见的数据库类型,可协助用户快速定位核心数据存储所在的主机及相应路径。
资产概览界面
动态授权核心数据访问。针对数据存放的路径,设置关键保护机制,仅放行被授权的进程或用户进行读写操作,阻断未授权组件的读写行为,支持用户自定义授权允许的进程及用户。即使中了勒索病毒,也能有效保护数据的完整性,防止数据文件被加密或泄露。
强制访问界面
已知勒索病毒的查杀。通过分析已发现的勒索病毒特征及其行为特征,将其汇总至病毒库中。通过周期性的日常检查,可以有效发现已知病毒文件,控制已知病毒的风险。
入侵防御界面
未知勒索病毒的防御。进程运行管控是应对病毒的终极手段,即不被授权的进程禁止运行,这样即使病毒进入到主机内,也无法运行,成为垃圾文件,可以说从根源上彻底对勒索病毒进行了免疫。优炫通过机器学习等机制,优化了进程白名单采集机制,增强了对合规应用程序的判断,减少了用户在实际使用中的配置步骤。
主动防御界面
东西向隔离,阻止勒索病毒的横向移动传播。区别于传统防火墙IP方式,优炫采用了自然语言模型来建设策略。通过针对主机进行标签建设,减少了90%以上的策略数量。即使主机发生了移动或者其他变化,微隔离可以根据标签追踪,自适应将策略覆盖到该主机。另外为了更方便的建设微隔离策略,优炫通过大量研究内网流量业务模型,内置自动策略生成机制,即使从未使用过微隔离产品,也能快速上手进行策略建设。这样就可以及时隔离被勒索病毒失陷的主机,控制安全事件的扩大化,不至于让整个业务系统中断,为安全管理人员解决问题赢取了宝贵时间。
微隔离界面
在此,优炫软件提醒和呼吁广大用户,除加强技术升级的同时,对内部人员提供网络安全意识教育。双向奔赴加强网络安全防护,让勒索病毒无所遁形。
-FIN-
