當前,勒索攻擊正在從一種網絡犯罪發展成為對國家及全球網絡安全、經濟穩定和公共安全的嚴重破壞行為,已成為網絡安全的最大威脅之一。4月6日,六方雲對AcosLoker攻擊美國多個關鍵基礎設施事件進行了回顧和分析,今天針對勒索病毒對全球關鍵基礎設施的頻繁攻擊,六方雲勒索病毒解決方案重磅發布。
01.
勒索軟件網絡攻擊已成為網絡安全最大威脅之一
2017年至今,全球爆發了多次重大關鍵信息基礎設施行業的勒索攻擊事件,醫療、教育、金融、科技、能源等重點行業企業相繼遭受勒索病毒攻擊。
例如,跨國能源企業Enel Group連續遭遇兩輪勒索軟件攻擊;美國馬薩諸塞州電力公司RMLD遭勒索攻擊;美國最大的成品油管道公司克洛尼爾遭到勒索病毒攻擊被迫關閉設備;英國北方鐵路公司自主售票系統的攻擊導致企業售票網絡癱瘓;對巴西肉類加工巨頭JBS的攻擊導致企業在澳全部肉類加工廠停運等。
攻擊者往往在盜取重要數據後,以此要挾受害者支付巨額贖金,他們還通過橫向移動鎖定關鍵數據並在整個網絡中傳播勒索軟件,甚至會刪除系統備份數據,使得數據恢復愈加困難。
隨着雲計算的快速普及,勒索軟件越來越多地將以雲存儲為目標,以最大程度地發揮影響力並增加槓桿作用以提高利潤,對被攻擊者的傷害和破壞性也越來越強……
02.
勒索病毒的典型傳播方式
1.RDP暴力破解。攻擊者通常利用弱口令、暴力破解等方式獲取攻擊目標服務器遠程登錄用戶名和密碼,進而通過遠程桌面協議登錄服務器並植入勒索病毒。同時,攻擊者一旦成功登錄服務器,獲得服務器控制權限,可以服務器為攻擊跳板,在用戶內部網絡進一步傳播勒索病毒。
2.系統漏洞利用。勒索病毒可通過利用已公開且已發布補丁的漏洞,通過掃描發現未及時修補漏洞的設備,利用漏洞進行傳播擴散,如WannaCry勒索病毒就是利用「永恆之藍」漏洞進行傳播的。
3.利用釣魚郵件傳播。攻擊者將勒索病毒內嵌至釣魚郵件的文檔、圖片等附件中,或將勒索病毒惡意鏈接寫入釣魚郵件正文中,通過網絡釣魚攻擊傳播勒索病毒。一旦用戶打開郵件附件,或點擊惡意鏈接,勒索病毒將自動加載、安裝和運行。
4.利用網站掛馬。攻擊者入侵主流網站的服務器,在正常網頁中植入木馬,或通過主動搭建包含惡意代碼的網站,誘導用戶訪問網站並觸發惡意代碼,劫持用戶當前訪問頁面至勒索病毒下載鏈接並執行,進而向用戶設備植入勒索病毒。
5.利用軟件供應鏈傳播。軟件供應鏈是指利用軟件供應商與最終用戶之間的信任關係,通過攻擊入侵軟件供應商相關服務器設備,利用合法軟件的升級更新等機制,利用軟件供應商的各種疏忽或漏洞,對合法軟件進行劫持或篡改,繞過用戶網絡安全防護機制,傳播勒索病毒。
6.利用移動介質傳播。攻擊者通過隱藏U盤、移動硬盤等移動存儲介質原有文件,創建與移動介質盤符、圖標等相同的快捷方式,一旦用戶點擊,自動運行勒索病毒,或運行專門用於收集和回傳設備信息的木馬程序,便於未來實施針對性的勒索病毒攻擊行為。
圖1:勒索病毒典型傳播方式
03.
六方雲勒索病毒解決方案
由于勒索病毒多樣的傳播方式,使用單一的安全產品或單一的技術手段(如防火牆、IPS、殺毒軟件)面對勒索病毒的入侵時,往往面臨「排查難、抑制難、溯源難、恢復難」四大問題,特別是新型的病毒,一旦某一點被突破,則會直接碰觸到用戶的核心業務系統及數據。因此,勒索病毒的防護必須建立起「層層阻擊,集中管控,預防為先,防治結合」的縱深防禦立體化病毒防護體系。
六方雲在深入分析勒索病毒傳播方式和攻擊路徑的基礎之上,結合業內勒索病毒防護的最佳實踐經驗,圍繞評估預防、監測防護、應急處置三個環節,採取產品+服務結合的措施對勒索病毒進行全生命周期的防護,通過提前切斷病毒傳播路徑、實時監測網內異常行為、快速響應客戶突發事件,最大限度的減少勒索病毒對企業造成的損失。如圖2所示:
圖2:六方雲勒索病毒防護方案技術框架
本方案的設計主要依據工控網絡安全「積極預防、垂直分層、水平分區、邊界控制、內部監測、統一管理」的總體策略,逐步構建起勒索病毒的事前安全評估與預防、事中安全防護與監測預警、事後應急處置與加固的全生命周期立體化縱深防護體系。
首先對整個系統進行全面的風險評估,掌握系統的風險現狀;然後通過管理網和生產網隔離以及訪問控制來確保生產網不會引入來自管理網的風險,保證生產網邊界安全,並在各中心內部的工業控制系統進行一定的監測、防護,保證各中心內部安全;最後對整個工業控制系統進行統一安全態勢呈現,將各個防護點進行統一管理組成一個全面的防護體系,保障整個系統安全穩定運行。
通過事前評估預防,用戶可及時了解現有網絡存在的各類潛在風險,在安全事件發生前幫助用戶及時發現並修復潛在業務威脅風險。
1. 制定網絡安全應急預案。建立企業內部涵蓋勒索病毒攻擊等網絡安全突發事件的應急響應機制,明確應急組織體系、職責分工、應急流程等。一旦發生勒索病毒攻擊事件,立即啟動相應網絡安全應急預案,並按照預案要求及時開展應急處置工作,確保有效控制、減輕、消除勒索病毒攻擊影響。
2. 關鍵系統和數據定期備份。目前流行的勒索病毒類型主要為文件加密類勒索病毒、數據竊取類勒索病毒、系統加密類勒索病毒和屏幕鎖定類勒索病毒,無論何種類型,攻擊者最終目的都是通過對用戶最重要的資產「數據」實施安全威脅,以此來恐嚇用戶支付高額贖金。
因此,用戶需要根據文件和數據的重要程度分類分級進行存儲和備份,如主動加密存儲重要、敏感的數據和文件,防範利用勒索病毒的雙重或多重勒索行為,並定期採取本地備份、異地備份、雲端備份等多種方式進行數據備份,增加遭受勒索病毒攻擊且數據文件加密、損壞、丟失等情況下恢復數據的可能。
3. 定期評估風險,及時修補漏洞。攻擊者通常利用遠程代碼執行、系統策略配置不當等系統漏洞,攻擊入侵用戶網絡,或利用已公開且已發布補丁的漏洞,通過掃描發現未及時修補漏洞的設備,利用漏洞攻擊入侵併主動傳播勒索病毒。
因此,用戶需要定期對網內的安全風險進行系統評估,排查資產暴露情況,按照最小化原則,儘可能減少在資產互聯網上的暴露,特別是避免重要業務系統、數據庫等核心信息系統的在互聯網上暴露。同時及時進行漏洞排查,一旦發現資產存在的安全漏洞,及時進行修補。
4. 加強企業內部網絡安全管理。勒索病毒還會通過釣魚郵件、網站掛馬、移動介質和軟件供應鏈等方式進行傳播,因此用戶需要以培訓、演練等方式提高網絡安全意識,在用戶層面切斷勒索病毒傳播入口。
例如在文件方面,不點擊來源不明的郵件附件、打開郵件附件前進行安全查殺等;在網站方面,不從不明網站下載軟件等;在外接設備方面,不混用工作和私人的外接設備、關閉移動存儲設備自動自動播放功能並每周進行安全查殺等。
通過事中防護和監測,用戶可擁有L2-7層完整的安全防護能力,確保安全防護不存在短板,同時,對網內流量和設備進行集中監控,統一管理,在提高用戶運維效率的同時,實時掌握內部網絡安全風險態勢。
圖3.2 六方雲勒索病毒解決方案網絡架構
1. 企業互聯網出口安全防護。勒索病毒風險大多是從互聯網側引入的,而互聯網出口作為企業的第一道網絡安全防線,必須通過採取嚴格防護措施,儘可能切斷勒索病毒的傳播路徑。
因此,用戶首先需要部署下一代防火牆,封禁與勒索病毒傳播或相關漏洞利用相關的危險端口3389/135/137/139/445等,通過嚴格的訪問控制策略實現網內外用戶的合法安全訪問,並開啟IPS功能和防病毒功能,實現勒索病毒入侵有效攔截。
2. 辦公主機和服務器病毒防護。在主機和服務器上部署終端安全系統,實現對終端進行查殺防護,同時限制不安全的U盤的讀寫。
3. 雲安全資源池控制。用戶雲平台環境涉及多類業務、多類系統,防護不當可能造成勒索病毒在雲環境內的橫向大規模擴散,因此在安全防護上需要進一步細化安全區域的劃分以及不同安全區域、不同安全級別的訪問控制,實現東西向流量的微隔離與阻斷。
六方雲盾能夠在不依賴於雲平台網絡引流接口的情況下,實現對雲內所有虛擬機進行網絡微隔離,針對雲內任意虛擬機之間、不同子網之間、邏輯安全域之間的網絡流量進行L2-L7層的深度威脅檢測與防護,同時,能夠自動獲取雲平台內所有虛擬業務資產並繪製出邏輯一致的3D網絡拓撲,實現對雲內虛擬業務資產運行狀態、網絡流量狀態與業務安全態勢的全面可視。
4. 管理網和生產網隔離。在辦公網和工控生產網之間部署單向隔離網閘,在各層級內的安全域之間部署工業防火牆,並對兩網間數據交換進行安全防護,確保生產網不會引入管理網所面臨的安全風險。
六方雲工業防火牆基於對應用層數據包的深度檢測,為工業通信提供獨特的、工業級的專業隔離防護解決方案。
5. 各中心內的監測與防護。在對企業辦公網和工控生產網之間、生產執行層之間進行了邏輯隔離,企業工控網絡各層級內部的安全風險如何處理?一般來說,生產網內可能存在以下幾方面的風險:各類操作員站的安全風險;PLC等工控設備的安全風險;通信協議存在風險。針對各方面風險六方雲提供如下防護手段:
在操作員站、工程師站、HMI等各類主機上部署安全系統,對主機的進程、軟件、流量、U盤使用等進行監控,防止主機非法訪問網絡。六方雲工業主機衛士工業衛士採用白名單的技術,僅允許白名單內的程序運行,白名單外的程序均不可執行,從而有效阻止惡意程序或代碼的執行和擴散。一鍵開啟勒索病毒增強防護功能,可對137、138、139和445端口進行封堵,同時阻止創建系統啟動項、添加用戶賬戶、提權用戶賬戶、創建計劃任務以及創建服務等敏感動作。
工控異常行為檢測。對于勒索病毒入侵行為和擴散行為,通過部署六方雲工控全流量威脅檢測與回溯系統,實時識別和預警工業控制網絡和工業互聯網絡的勒索病毒入侵和傳播的異常行為安全威脅,及時與工業安全設備聯動實現協同防護,並提供攻擊回溯取證和安全態勢定期報表,為制定工控安全策略提供支撐,形成安全閉環,進而實現工業控制網絡和工業互聯網絡安全威脅的可視、可控、可管。
6. 全網安全態勢可視和一體化運營。在勒索病毒入侵的過程中,通過部署六方雲全流量威脅檢測與回溯系統(以下簡稱「神探」)可實現工控生產網未知威脅檢測和異常行為檢測。
神探產品可以基於規則庫、威脅情報對已知勒索病毒進行檢測,同時可以基於AI范化能力進行變種勒索病毒檢測。在環境中已感染主機進行擴散時,可以通過異常行為檢測技術進行監測。通過對攻擊鏈的還原,完整重現勒索病毒攻擊過程,為事後溯源提供依據。
在勒索病毒事件發生後,需要立即採取響應措施進行有序應對、妥善處理,把事件造成的損失降低到最小。
1. 確定受影響系統,並立即將其隔離
物理隔離。確認遭受勒索病毒攻擊後,應採取立即斷網、關機等方式隔離感染設備。其中,可採取拔掉設備網線、禁用設備網卡、關閉無線網絡等方式斷網,並拔掉服務器/主機上的所有外部存儲設備,防止勒索病毒通過感染設備自動連接的網絡在內部傳播並進一步感染其他設備。
訪問控制。根據初步發現的受影響範圍情況,在網絡設備或安全設備上通過配置訪問控制策略方式進行嚴格資源訪問權限限制。同時,立即修改感染設備的登錄密碼、同一局域網下的其他設備密碼、最高級系統管理員賬號的登錄密碼。
2. 排查勒索病毒感染範圍
在已經隔離感染設備的情況下,對局域網內的其他機器進行排查,核查核心業務系統是否受到影響,生產線是否受到影響,並檢查備份系統是否被加密等,以確定感染範圍。對於感染情況不明的設備,提前進行磁盤備份。
還可通過了解現場環境的網絡拓撲、業務架構、設備類型等關鍵信息,評估勒索病毒傳播範圍、攻擊手段等,對勒索病毒失陷區域作出初步判斷,為控制勒索病毒擴散和根除病毒威脅提供支撐。
3. 確定勒索病毒種類,進行溯源分析
研判勒索病毒種類。勒索病毒在感染設備後,攻擊者通常加載勒索提示信息脅迫用戶支付贖金。遭受勒索病毒攻擊的組織可從加密的磁盤目錄中尋找勒索提示信息,並根據勒索病毒的標識判斷本次感染的勒索病毒種類。
判斷攻擊入侵手段。通過查看設備保留的日誌和樣本,判斷攻擊者攻擊入侵的方式。如日誌信息遭到刪除,通過查找感染設備上留存的勒索病毒的樣本或可疑文件,判斷攻擊者攻擊入侵的方式。
4. 數據備份與應急恢復
為了保證業務的持續運行,當發生勒索病毒事件導致用戶業務系統或重要數據受到影響時,通過部署備份容災系統確保業務的秒級RPO和分鐘級RTO,同時對生產業務系統實現系統、應用、數據、配置等一體化保護。
通過業務監控,實時地發現故障主機,支持一鍵生成演練測試環境,驗證業務數據及其他工作。同時可以滿足異機恢復遷移等多種功能,實現業務連續性全程能力支撐。
04.
方案優勢
多場景廣覆蓋高適應性的端到端防勒索病毒方案
六方雲擁有覆蓋傳統企業管理網、雲數據中心、工控網絡等多場景的「5+1」安全產品線,能夠針對不同場景,為用戶量身打造高性價比且貼合實際業務的勒索病毒防護方案。
勒索病毒檢測MTTD小,最大可能減少被勒索的概率
六方雲結合不同用戶場景的業務特點和勒索病毒入侵特徵,綜合採用白名單技術、微隔離技術和基於AI技術的異常行為檢測技術等,靈活彈性應對不同場景下的勒索病毒防護需求,最大限度地減少被勒索的概率。
專項勒索病毒評估檢測、7×24小時持續監測與快速應急響應服務
六方雲安全服務專家定期開展勒索風險排查,確保勒索風險無所遁形;安全設備內置勒索病毒專項防護及加固功能,勒索病毒防禦更有效;線上線下協助用戶精準溯源排查,徹底根除勒索病毒,高效處置全面降低用戶損失。
05.
用戶價值
1、安全風險提前防範,避免損失;
2、安全態勢持續監測,及時發現和阻止損失;
3、不幸中招,最大限度減少損失;
4、人防+技防,安全又貼心的全生命周期勒索病毒防護服務。
「在勒索病毒面前,沒有一家企業能獨善其身」,在勒索病毒「常態化防疫」階段,制定有效的安全戰略和進行前瞻性的安全防護將是最好的免疫。接下來,六方雲將繼續推出勒索病毒解決方案專題系列,針對勒索病毒威脅,陸續推出分體系層面的防範、主機層面的防範、網絡層面的防範、管理層面的防範,為用戶提供行而有效的安全防護,夯實我國關鍵基礎設施建設。
關注六方雲公眾號,後台回復「勒索病毒」獲取解決方案全文PDF
留言列表