山石發聲 | 勒索病毒防不勝防? 山石智源為您分憂解難


勒索病毒防不勝防,典型勒索事件頻發
山石智源?智能安全運營系統
構建完善的態勢感知防御體系

一、 勒索病毒的發展趨勢

勒索病毒最早發現于1996年,經過多年的發展,已形成了勒索即服務(RaaS)的模式化新犯罪活動,其主要特點是從最初的單一、獨立的攻擊者轉變為分工明確的攻擊團隊。2017年“WannaCry”勒索事件爆發,包括我國在內的全球100多個國家和地區均受到了巨大損失,也因此極大提高了大眾對勒索病毒的重視程度。

雖然公眾的安全意識有所提高,但勒索病毒依舊防不勝防,典型勒索事件頻發。在“中招”勒索病毒后,攻擊者索要的贖金正在逐步增加,而且支付贖金后的成功恢復概率極低。根據Sophos威脅報告顯示,2019Q4的平均每次勒索贖金的金額約84,116.00美元,2020年Q3這個數字提升到233,817.30美元,增加了180%。2021年約有31%的組織在遭受勒索病毒后選擇支付贖金,但僅8%的組織支付贖金后取回了數據。

勒索病毒正逐漸成為用戶難以承受的危害。

二、 勒索病毒攻擊鏈

正所謂“知己知彼百戰不殆”,想要防護勒索病毒攻擊,首先要了解它的攻擊方式。勒索病毒攻擊通常分為非定向攻擊和定向攻擊。顧名思義,非定向攻擊是一種發散式傳播勒索病毒的攻擊,攻擊能力一般主要針對中小企業和小型的政府單位。而定向攻擊,接近APT攻擊能力,通常伴隨著7個攻擊階段,主要針對大型企業和重要的政府單位和設施。

三、 勒索病毒攻擊渠道


四、 山石網科勒索病毒防護方案

1、山石智源勒索病毒防護

山石智源?智能安全運營系統是新一代全息數字驅動的AI分析運營系統,由分析平臺與豐富探針共同構成,基于大數據分析與關聯進行全網流量、日志、威脅檢測分析,形成集全鏈條數據采集、流量實時分析、威脅事件分析、安全風險可視化、資產管理、溯源取證、聯動處置的一款安全分析運營閉環平臺,結合頂級威脅情報幫助用戶把握全局安全態勢,及時掌控安全威脅,提升安全管理效率,構建完善的態勢感知防御體系。

山石智源?智能運營系統對勒索病毒防護的流程如下圖所示:

資產梳理&基線檢查:山石智源?智能運營系統可以主動探測內網中未納入管理資產,幫助用戶完成資產全面梳理;可自定義基線檢查模板,完成資產基線檢查,發現系統和軟件漏洞、弱密碼等潛在風險,完成系統安全加固。

Web防護&外設管控:山石智源?智能運營系統通過黑白名單系統實現對惡意網站及USB外設進行管理,支持webshell檢測、網站后門檢測、反彈shell檢測等,能有效阻止勒索病毒入侵。

威脅分析:山石智源?智能運營系統從“全局情報匹配、典型進程加黑、命令特征分析、網絡特征分析”四個維度實現針對勒索病毒的威脅分析,輔助用戶實現分析研判。

事件溯源&證據收集:山石智源?智能運營系統可以提供完整的事件溯源信息,并生成關鍵證據信息輔助研判決策。

全自動/半自動聯動響應:山石智源?智能運營系統支持定制劇本,全自動/半自動實現對勒索事件的自動響應,及時處置。

工單管理&流程跟蹤:山石智源?智能運營系統工單系統可以實現事件的全流程閉環跟蹤。

2、山石網科安全服務

山石網科安全服務提供風險評估、日志分析與安全加固服務,專業安服專家對安全策略進行調整,充分發揮安全設備的防護能力,另外提供應急響應服務,急客戶之所急,解您所需。

風險評估服務:針對客戶網絡及安全環境內的系統、應用、網站及APP的安全防護能力進行綜合評估,由專業工程師根據國家標準、行業標準及相關技術規范要求,采用多種評估方式,實現對安全風險的綜合評估。

日志分析服務:由資深安服工程師對安全日志信息進行分析總結。

應急響應服務:為客戶提供應急預案設計、安全事件應急響應及處置。通過國際廣泛采用的PDCERF應急響應流程,協助客戶有效對應安全突發事件(包括網絡掃描事件、漏洞攻擊事件、Web攻擊事件、惡意病毒事件、挖礦程序事件、勒索病毒事件、網站掛馬事件、數據篡改事件等)。

五、 客戶價值

事前事中事后結合

在勒索軟件事件發生之前,通過資產梳理、漏洞加固、端口管理等手段,提前規避勒索軟件侵入的渠道。在檢測到勒索/疑似勒索事件發生后,全自動化/半自動化的響應處置,如阻斷相關主機,生成工單報送處置等。事件處理完畢后,可溯源本次事件發生區域、IP等因素,進一步做好防護管控,提供安全防護水平。

無接觸快速上線

疫情防控背景下,推薦使用軟件態勢感知監測平臺,無接觸、快速上線。第一時間監測整網安全狀況。

結果交付投入少

以“勒索”安全治理結果交付,相比購買硬件、軟件設備投入費用、資源較少,又能快速解決安全難題。

附:勒索病毒中招急救4步:

1.隔離感染主機:隔離中勒索病毒的終端,斷開所有網絡連接并禁用網卡。
2.阻斷傳播路徑:關閉局域網內其他終端的SMB,RDP端口,阻斷異常的外聯訪問。
3.溯源分析:通過工具(探針或終端檢測響應類)抓包分析。
4.殺毒修復漏洞:掃描殺毒,更新漏洞補丁,修改終端口令。