股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
无惧勒索攻击风暴 详解亚信安(ān)全「方舟」计划
发布时间 :2022年09月20日
类型 :勒索软件
分(fēn)享:
当前勒索病毒全球肆虐,勒索病毒攻击已成為(wèi)网络安(ān)全最大威胁,并已形成大量分(fēn)工(gōng)细致、专业化、职业化的勒索团體(tǐ)组织。在此背景下,亚信安(ān)全在9月20日召开「全面勒索治理(lǐ)即方舟计划」发布会,基于“现代勒索攻击团伙就是APT组织”的最新(xīn)威胁研判,详细介绍了「方舟」计划的“全貌”,同时全面解读了勒索治理(lǐ)的最新(xīn)理(lǐ)念与解决方案。
勒索病毒演进加速,与APT攻击“合體(tǐ)”
勒索软件的“鼻祖”诞生于1989年,而在那个互联网的“蛮荒”时代,攻击者还没有(yǒu)找到高效且“安(ān)全”的敲诈方法。时代变迁,从“星星之火”发展到今天的“燎原烈焰”,勒索攻击造成经济损失甚至超过一些國(guó)家的年GDP总量:据全球知名(míng)威胁情报机构RiskIQ数据统计,每1分(fēn)钟就有(yǒu)6家单位遭受勒索攻击,全年超315万家单位被勒索,每分(fēn)钟因网络安(ān)全导致的损失高达180万美元,全年超过6万亿人民(mín)币。
历经数年演化,勒索病毒经历了与比特币支付方式结合、与钓鱼邮件结合、攻击目标转向大型政企、与蠕虫木(mù)马结合、出现RaaS服務(wù)、数据泄露与多(duō)重勒索等多(duō)个发展阶段,无论从攻击形式、攻击技(jì )术、勒索形式等都发生了翻天覆地的变化,并形成了产(chǎn)业化发展态势,勒索攻击已经成為(wèi)网络安(ān)全的最大威胁。勒索病毒攻防的矛盾博弈日益激烈,然而大量“堆砌”的安(ān)全产(chǎn)品和零散部署的安(ān)全检测技(jì )术却无法与之对抗。
北京邮電(diàn)大學(xué)网络空间安(ān)全學(xué)院教授、副院長(cháng)彭海朋表示:“勒索病毒的攻击能(néng)力十分(fēn)惊人,一方面勒索病毒的作(zuò)者在延续开发周期,其制作(zuò)新(xīn)变种的更新(xīn)速度和攻击方式变化极快,加强软件弹性、驻留能(néng)力、无文(wén)件、免杀逃逸等额外功能(néng)也将成為(wèi)勒索病毒的标配。另一方面,RaaS的攻击形式进一步增强了攻击的隐蔽性,且勒索攻击已由个人或单个黑客团伙攻击转向层级分(fēn)明、分(fēn)工(gōng)明确的黑色产(chǎn)业活动,勒索行為(wèi)日益专业化。”
亚信安(ān)全副总裁徐业礼在分(fēn)享对现代勒索态势分(fēn)析及研判中(zhōng)谈到:勒索病毒已经正式进入到2.0时代——勒索团伙APT化。
【传统勒索与现代勒索的區(qū)别】
现代勒索攻击的转变升级主要體(tǐ)现在作(zuò)战模式、攻击目标和勒索方式上。首先,勒索即服務(wù)RaaS(Ransomware-as-a-Service)的兴起使得勒索的作(zuò)战模式从传统的小(xiǎo)型团伙单兵作(zuò)战,转变為(wèi)模块化、产(chǎn)业化、专业化的大型团伙作(zuò)战,其造成的勒索攻击覆盖面更广,危害程度显著增加;其次,对于勒索攻击的目标,也从过往的广撒网蠕虫式攻击升级成為(wèi)针对政府、关键信息基础设施、各类企业的定向攻击;另外,从勒索方式来看,现代勒索攻击已经从传统的支付赎金恢复数据的勒索方式,演化為(wèi)同时开展双重勒索,甚至三重勒索。
值得关注的是,勒索病毒已经完全符合了网络安(ān)全行业对于APT组织的认定标准:
1 几乎所有(yǒu)的勒索攻击都基于经济目的;
2 所有(yǒu)的勒索攻击都是潜伏的,多(duō)阶段的持续性攻击;
3 现代勒索攻击主要是针对企业组织的定向攻击;
4 勒索的攻击方式多(duō)样,包括鱼叉攻击、商(shāng)品化与定制化恶意软件、遠(yuǎn)端控制工(gōng)具(jù),漏洞利用(yòng)等。
勒索团伙APT化,让现代勒索威胁表现出更强的攻击性、更好的隐蔽性、更高的达成率,更大的危害性,这无疑将对目标造成降维打击。
三大核心赋能(néng),「方舟」正式启航
勒索团伙APT化,还意味着,一旦失守,便会陆续承担运营停滞、知识产(chǎn)权损失、名(míng)誉损失、经济损失,甚至是法律的惩戒。是缴纳赎金,还是提早防范,有(yǒu)效应对?
【亚信安(ān)全「方舟」引领勒索威胁治理(lǐ)新(xīn)模式】
针对现代勒索威胁持续猛烈的攻势,能(néng)够有(yǒu)效遏制勒索团伙APT攻击的最新(xīn)勒索威胁防护體(tǐ)系——亚信安(ān)全「方舟」正式推出。以治理(lǐ)理(lǐ)念為(wèi)指引,以产(chǎn)品技(jì )术為(wèi)基础,以安(ān)全服務(wù)為(wèi)支撑,三位一體(tǐ)的亚信安(ān)全「方舟」将引领勒索治理(lǐ)进入全新(xīn)模式,并依此形成全链条、立體(tǐ)化的勒索治理(lǐ)合力。
亚信安(ān)全高级副总裁兼首席营销官马红军表示:“亚信安(ān)全「方舟」提供了从勒索攻击发现到响应,再到恢复的全链条综合治理(lǐ)體(tǐ)系,帮助用(yòng)户提早发现隐患、及时封堵攻击、避免二次勒索,最大化降低客户受勒索攻击风险和影响。”
据悉,亚信安(ān)全提供了三大核心能(néng)力赋能(néng)方舟治理(lǐ):
1 勒索體(tǐ)检中(zhōng)心:亚信安(ān)全运营团队通过部署端点及网络探针,对勒索攻击进行全面排查分(fēn)析,帮助客户防范在前,早发现、早预警、早研判、早处置。利用(yòng)最新(xīn)的勒索威胁情报进行数据碰撞,确认企业环境中(zhōng)是否存在勒索行為(wèi),将勒索攻击爆发风险降至最低。
2 全流程处置机制:亚信安(ān)全「方舟」覆盖了勒索病毒攻击治理(lǐ)响应的全流程,依照攻击发生的状态,协助用(yòng)户建立勒索防护策略、勒索攻击事前防护、勒索攻击识别阻断方法,以及勒索攻击应急响应。
3 现代勒索治理(lǐ)解决方案:基于亚信安(ān)全成熟的XDR技(jì )术,现代勒索治理(lǐ)方案可(kě)全面覆盖勒索病毒的攻击链,通过“事前预防、事中(zhōng)处理(lǐ)、事后扫雷”三大手段,构建立體(tǐ)化、平台级的运营防护能(néng)力。
据了解,目前已经有(yǒu)行业用(yòng)户通过亚信安(ān)全勒索體(tǐ)检中(zhōng)心对IT环境进行安(ān)全测评,针对潜藏勒索威胁风险获得了针对性的安(ān)全治理(lǐ)规划和建议。同时,亚信安(ān)全也配备了覆盖全國(guó) 31个省市服務(wù)网络,通过安(ān)全服務(wù)工(gōng)程师等构成的本地团队,以及云端安(ān)全运营专家、病毒样本专家、威胁情报专家的总部团队,协助企业确认环境中(zhōng)是否有(yǒu)勒索行為(wèi),一同将勒索攻击爆发风险降至最低。
全链条、全流程,勒索威胁治理(lǐ)全景展示
亚信安(ān)全副总裁刘政平介绍:“勒索病毒攻击可(kě)以分(fēn)為(wèi)6个阶段,包含初始入侵、持续驻留、内网渗透、命令控制、信息外泄、执行勒索,而单一防御安(ān)全體(tǐ)系很(hěn)难对这种有(yǒu)别于传统病毒的‘杀伤链’发挥作(zuò)用(yòng)。”
例如:现代勒索攻击团伙在入侵后会潜伏几天、几周甚至数月,他(tā)们在真正运行勒索病毒加密删除文(wén)件之前,都会偷偷寻找有(yǒu)价值的文(wén)件或数据,并将其外传。另外,在勒索加密代码真正启动之前,一般都会进行免杀处理(lǐ),以此让防毒软件失效。
亚信安(ān)全首席研发官吴湘宁提到:“由于勒索攻击深度结合APT攻击技(jì )术手段,要解决各种来源的威胁情报杂乱无章,安(ān)全团队缺乏完整的威胁可(kě)见性、应急响应流程 ‘纸上谈兵’等问题,势必需要XDR这样的联动方案,从威胁的检测、控制,再到威胁狩猎、调查、归因等整體(tǐ)联动防御,方能(néng)产(chǎn)生更好的效果。”
【勒索病毒治理(lǐ)联动全景图】
為(wèi)此,亚信安(ān)全根据勒索攻击6个阶段的不同特点,推出以XDR技(jì )术為(wèi)核心的现代勒索病毒治理(lǐ)解决方案,从服務(wù)能(néng)力、产(chǎn)品能(néng)力逐层向上提供支撑,通过终端、云端、网络、边界、身份、数据的检测与响应(目前引擎可(kě)洞察72个勒索攻击的检测点),以及威胁数据、行為(wèi)数据、资产(chǎn)数据、身份数据、网络数据等的联动分(fēn)析,形成了针对勒索病毒治理(lǐ)全链条,覆盖“事前、事中(zhōng)、事后”运营处置,為(wèi)贯穿勒索病毒事件应急响应全流程的关键动作(zuò)提供了支撑。
【勒索病毒治理(lǐ)解决方案】
事前——风险排查
事前风险排查是应对勒索病毒攻击最可(kě)行手段,因為(wèi)其通过现代密码學(xué)实现高强度数据文(wén)件加密,理(lǐ)论上通过现有(yǒu)技(jì )术几乎不可(kě)能(néng)破解。亚信安(ān)全勒索體(tǐ)检中(zhōng)心提供了分(fēn)行业、场景和需求,定制化的专项體(tǐ)检服務(wù),例如:网络资产(chǎn)大盘点、网络流量勒索體(tǐ)检、威胁情报告警分(fēn)析、高危失陷主机确认、EDR端点勒索體(tǐ)检服務(wù)、IOA与IOC热点事件与勒索情报碰撞后的高危主机评估、云主机安(ān)全勒索體(tǐ)检服務(wù)、终端安(ān)全勒索體(tǐ)检服務(wù)等。
事中(zhōng)——应急处置
亚信安(ān)全方舟覆盖了勒索病毒攻击治理(lǐ)响应的全流程,具(jù)體(tǐ)包括:初始响应阶段、遏制阶段、分(fēn)析阶段、补救措施阶段、恢复阶段、事后分(fēn)析会议,并通过资深安(ān)全专家组成的网络安(ān)全服務(wù),加速应对勒索攻击的响应效率,减轻因勒索攻击导致的企业资产(chǎn)损失。
【勒索攻击事件应急响应流程】
◆ 事后——扫除威胁
现代勒索攻击是一个集合了多(duō)种常见攻击方式的综合性攻击,同时具(jù)备了针对性、持久性和隐藏性的特点。因此,它可(kě)以通过Web进行攻击,可(kě)以通过電(diàn)子邮件传递攻击,也可(kě)以通过操作(zuò)系统和应用(yòng)程序的漏洞来攻击,并且还可(kě)以通过人工(gōng)社交攻击在企业内网端点上潜伏下来,让人防不胜防。
為(wèi)此,针对事后可(kě)能(néng)出现的二次攻击,方舟提供了全链路智能(néng)行為(wèi)与内容变化追踪,对批量数据窃取及高度隐蔽性异常访问等恶意行為(wèi)进行智能(néng)安(ān)全分(fēn)析,高效识别各类已知与未知的攻击,同时利用(yòng)EDR强大的检测能(néng)力及威胁情报能(néng)力,定期、主动对端点上潜藏的威胁进行隔离,扫清“雷点”。
平台為(wèi)先,筑牢新(xīn)一代威胁治理(lǐ)屏障
目前,我们所面对的是现代勒索已经成熟的 “产(chǎn)业链”,他(tā)们不仅包括了上中(zhōng)下游的勒索病毒开发者、勒索执行者,还应运而生出赎金谈判和赎金代管者。不法分(fēn)子的相互协作(zuò)配合,共同瓜分(fēn)勒索收益,大大降低了攻击实施的技(jì )术门槛。
亚信安(ān)全总裁陆光明表示:“发展与安(ān)全,是数字化时代的一體(tǐ)两面。亚信安(ān)全提出了以安(ān)全平台為(wèi)抓手,打造‘产(chǎn)品+平台+服務(wù)’完整闭环的发展战略,真正做到為(wèi)客户建立整體(tǐ)性防御體(tǐ)系,提升客户安(ān)全防御能(néng)力。‘平台為(wèi)先’的原则不仅可(kě)以让碎片化的安(ān)全能(néng)力融入一體(tǐ),变成系统性、可(kě)全局联动的原生免疫系统,更能(néng)将复杂的管理(lǐ)问题,化解成极简与智能(néng)的威胁治理(lǐ)运营平台。”
在此全局战略下,亚信安(ān)全针对现代勒索攻击推出的方舟计划,将有(yǒu)助于用(yòng)户提前找到潜伏的威胁,通过多(duō)源情报摄取、关联和安(ān)全行动,全面了解勒索团伙发动的APT攻击手段和途径,最大限度地规避勒索攻击风险。
分(fēn)享到微信
X