当今,勒索攻击已经成为网络安全的最大威胁,无论从攻击形式、攻击技术、勒索形式等都发生了翻天覆地的变化,勒索病毒已经正式进入到2.0时代——勒索团伙APT化。为此,亚信安全建议,需要针对勒索攻击链,建立全流程、全覆盖、全联动的整体防御体系,充分利用态势感知技术“全接入、全扫描、快发现、快追溯、快处理”的能力,有效保护企业数据免遭勒索威胁,保护重要业务不被中断。
防勒索 ≠ 防病毒
在勒索病毒出现的早期,因其采用的支付赎金的手段比较原始,且以软盘的单一形式传播访问,未能造成大面积感染。直至2017年5月,“WannaCry”勒索事件席卷全球,勒索攻击开始广泛扩散。而随着勒索软件即服务RaaS(Ransomware-as-a-Service)的兴起,使得勒索的作战模式从传统的小型团伙单兵作战,转变为模块化、产业化、专业化的大型团伙作战,其造成的勒索攻击覆盖面更广,危害程度显著增加。
针对现代勒索病毒的攻击特征分析可以发现,其分为 6 个阶段,包含:初始入侵、持续驻留、内网渗透、命令控制、信息外泄、执行勒索,而单一防御安全体系很难对这种有别于传统病毒,且与APT攻击相似的“杀伤链”发挥作用。
在此场景下,企业需要部署越来越多的安全产品和工具,但面对每天海量的网络威胁告警信息以及亟待处置的安全事件,安全管理人员往往分身乏术,无的放矢。因此,就需要一种能够打破安全数据孤岛的高效安全分析与管理手段,整合现有安全能力,对海量安全告警进行智能分析和研判,从多个视角实时动态呈现系统整体安全态势,一键处置安全事件,形成一体化的智能安全分析与管理解决方案。
“两全三快”应对勒索软件
在此背景下,亚信安全以治理理念为指引,以产品技术为基础,以安全服务为支撑,三位一体推出了「方舟」计划,并依此形成全链条、立体化的勒索治理合力。在整个「方舟」中,亚信安全MAXS的态势感知平台作为主动安全防御体系的“智慧大脑”,在勒索软件治理过程中起到了极为关键的分析、指挥与调度作用。
亚信安全管理与分析平台MAXS采用业内先进的大数据架构,通过采集企业内所有IT基础设施数据,利用机器学习、规则分析、统计分析、关联分析等方法对企业内所有安全数据进行统一分析,实现对网络攻击行为、安全异常事件、未知威胁的发现和告警。尤其是针对勒索软件治理,亚信安全MAXS具备了“两全三快”能力:
全接入——
全网重点安全设备及系统告警与日志全部接入态势感知平台;
全扫描——
利用资产扫描探针,全量收集IT资产信息,纳入资产管理列表;
快发现——
快速发现安全风险,展示风险级别、攻击类型、攻击源等信息,多渠道通知;
快追溯——
威胁狩猎,多维度关联分析,追溯同类安全事件分布;
快处理——
自动化安全运营编排响应(SOAR),多设备联动快速风险处置。
针对勒索软件攻击链的防御,用户可以利用亚信安全MAXS构建安全监测中心、安全分析中心、安全资产中心、知识情报中心、安全编排与自动化响应中心(SOAR)等能力中心,从多维监测视角下实现全局感知,对高危资产、勒索软件攻击者进行画像和评估,并且实现“一键处置”。
其中,安全编排与自动化响应中心(SOAR)可以实现与亚信安全“云网端数”各类产品的联动,同时还能与百余款第三方安全产品实现联动,通过边界一键封堵、终端一键查杀、主机安全一键加固、恶意域名一键拦截等将高效抑制勒索攻击威胁。
登录方舟,驶入勒索软件治理新航道
根据Gartner预测,到2025年,75%的企业将面临一次或多次的勒索攻击。企业遭受勒索软件攻击的讨论,已经从之前的“是否会”转向“何时会”。那么,如何快速评估自己是否已经遭遇勒索团伙的APT攻击呢?
" 勒索体检中心 " 是「方舟」计划的前沿阵地,亚信安全运营团队将通过部署端点及网络探针,对勒索攻击进行全面排查分析,帮助客户防范在前,早发现、早预警、早研判、早处置,将勒索攻击爆发风险降至最低。
目前,已经有大量行业用户通过亚信安全勒索体检中心获得了针对性的安全治理规划和建议,并且正式登录「方舟」,利用态势感知技术和XDR方案实现了勒索软件治理能力的全面进阶。