當前位置:首頁 >  IDC >  安全 >  正文

勒索病毒防不住?“動態(tài)安全防御”+“關(guān)鍵數(shù)據(jù)備份”兩手抓

 2022-09-05 16:08  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯

  域名預訂/競價,好“米”不錯過

近日,國內(nèi)某知名財務軟件0day漏洞或被大規(guī)模勒索利用。短短一天時間,確認來自于同個勒索病毒的攻擊案例已超2000余例,且數(shù)量正呈不斷上升趨勢。受災企業(yè)被要求向攻擊者支付0.2BTC(約合人民幣2.8萬元),雖然贖金與“傳統(tǒng)”的勒索病毒贖金相比金額較低,但是足以影響到受災企業(yè)的正常運營狀態(tài)。

如此大規(guī)模的勒索病毒攻擊,瞬間在安全業(yè)界激起千層浪,引發(fā)了廣泛的社會關(guān)注。自2017年“WannaCry”勒索事件爆發(fā)以來,全球各國都已極大提高了大眾對勒索病毒的重視程度,但勒索病毒依舊防不勝防,典型勒索事件頻發(fā)。

為什么防御勒索病毒這么難?勒索攻擊能不能被提前發(fā)現(xiàn)?如果企業(yè)不幸遭遇了勒索攻擊,該如何應對?基于這些問題,瑞數(shù)信息對勒索攻擊的發(fā)展態(tài)勢、攻擊手段、應對策略進行了深度剖析。

勒索攻擊愈演愈烈 呈現(xiàn)五大新趨勢

近年來,勒索病毒攻擊席卷全球,有互聯(lián)網(wǎng)的地方就存在勒索攻擊。隨著數(shù)字化進程的加快,勒索攻擊已經(jīng)成為當下網(wǎng)絡安全的主要威脅,有組織性的黑客攻擊目標不再僅是核心數(shù)據(jù)竊取,醫(yī)療、政府、工業(yè)制造、金融、能源、通信等行業(yè)的關(guān)鍵信息基礎設施成為黑客攻擊新目標,影響范圍仍在不斷擴大。與此同時,全球網(wǎng)絡攻防對抗的強度、頻率、規(guī)模和影響力不斷升級。

勒索病毒攻擊經(jīng)過數(shù)年的演變升級,如今的勒索攻擊手段日趨成熟,攻擊目標越發(fā)明確,模式多種多樣,攻擊愈發(fā)隱蔽,更加難以防范,危害也日益增大。隨著勒索攻擊專業(yè)化、團隊化運作,勒索攻擊逐漸發(fā)展出五大新趨勢。

趨勢一:供應鏈成為勒索攻擊重要的切入點

一個基礎性漏洞很可能將整個供應鏈的程序暴露在風險中,當供應鏈攻擊和勒索軟件攻擊被一起使用時,會造成更大的危害,勒索對象正在從供應商延伸到其客戶群體。

趨勢二:多重勒索模式引發(fā)數(shù)據(jù)泄露風險

攻擊者不止是對數(shù)據(jù)進行加密后勒索受害企業(yè),還會竊取數(shù)據(jù)再次勒索企業(yè),通過雙重勒索、多重勒索的模式,使勒索的利益最大化。

趨勢三:新一代勒索攻擊采用low and slow(高隱蔽且高持久化)的攻擊手法

攻擊者在竊取數(shù)據(jù)過程中緩慢加密數(shù)據(jù),攻擊隱藏性加強,攻擊行為不易發(fā)現(xiàn),使得發(fā)現(xiàn)威脅和恢復數(shù)據(jù)的難度大幅提升。

趨勢四:勒索軟件與“挖礦”木馬相結(jié)合

攻擊者會在攻擊過程中將二者同時實施,受害企業(yè)的設備不僅會遭受勒索攻擊,還會被攻擊者用來挖礦,除了電力能耗增大、設備老化加速、經(jīng)濟損失嚴重之外,攻擊者還會留下后門惡意竊取機密信息,直接引發(fā)或變相滋生各種網(wǎng)絡犯罪。

趨勢五:勒索病毒擴散渠道轉(zhuǎn)向web應用漏洞

隨著攻擊技術(shù)迭代升級,攻擊者開始從系統(tǒng)漏洞轉(zhuǎn)向應用漏洞挖掘,針對特定應用定制高級攻擊工具,定向?qū)嵤寐┒垂?,成為新型勒索攻擊手段?/p>

傳統(tǒng)技術(shù)瓶頸凸顯 反勒索亟需新思路

為了對抗勒索攻擊,市面上出現(xiàn)了很多反勒索安全防護產(chǎn)品或數(shù)據(jù)備份產(chǎn)品。即便如此,當新型的勒索攻擊手段出現(xiàn)時,依然無法保護企業(yè)的數(shù)據(jù)安全。那么,現(xiàn)有的安全防護技術(shù)到底存在哪些不足?

瑞數(shù)信息表示,現(xiàn)有反勒索安全技術(shù)面對新型勒索攻擊最大的兩個防護弱點分別是應用漏洞與響應速度。這可以從應用安全和數(shù)據(jù)恢復兩個角度來看,前者是作為應用攻擊檢測和響應的防御手段,后者是作為數(shù)據(jù)備份、業(yè)務恢復的手段,但這兩種技術(shù)不能停留在傳統(tǒng)技術(shù)思路上,否則無法對抗不斷升級的勒索攻擊。

傳統(tǒng)WAF

以傳統(tǒng)WAF為代表的應用攻擊防護產(chǎn)品,是基于固定的規(guī)則和特征庫,無法防護利用自動化攻擊技術(shù)隱蔽惡意攻擊特征并不斷變形的勒索軟件,更無法防御利用0day漏洞的勒索攻擊。

傳統(tǒng)災備系統(tǒng)

傳統(tǒng)備份系統(tǒng)是定期做全量數(shù)據(jù)備份,但并不能完全識別備份數(shù)據(jù)是否健康、是否可恢復、是否完整,一旦原始數(shù)據(jù)被感染,備份數(shù)據(jù)同樣會被感染,導致數(shù)據(jù)無法使用。傳統(tǒng)容災系統(tǒng)同樣沒有辦法應對勒索軟件的攻擊,一旦主系統(tǒng)被病毒感染破壞,備用系統(tǒng)數(shù)據(jù)同步復制,所有的容災系統(tǒng)都會被病毒感染。同時,新型勒索攻擊采用low and slow的攻擊策略,被加密的數(shù)據(jù)跨越多個備份時點,運維人員難以確認可以用于恢復干凈數(shù)據(jù)的時點,大幅增加了恢復工作的挑戰(zhàn)與難度。

若企業(yè)僅在被勒索攻擊后通過災備系統(tǒng)恢復了數(shù)據(jù),但未對數(shù)據(jù)內(nèi)容的完整性進行驗證,被勒索軟件加密的“臟數(shù)據(jù)”將會影響系統(tǒng)的正常運行,造成二次傷害,再度打擊企業(yè)的商譽。此外,傳統(tǒng)備份系統(tǒng)恢復數(shù)據(jù)時間較長,從而無法保證業(yè)務的連續(xù)性。

對抗勒索病毒 關(guān)鍵數(shù)據(jù)備份是“最后的防線”

當現(xiàn)有的安全防護手段不夠有效時,企業(yè)面對勒索攻擊是否就只能“任人拿捏”?

事實上,反勒索安全防護需要全方位考慮,如:做好數(shù)據(jù)備份與災難恢復方案;定期檢查漏洞、及時更新安全補丁;定期更換登錄口令;減少互聯(lián)網(wǎng)暴露面;加強網(wǎng)絡邊界入侵防范與管理;提高安全意識,都是企業(yè)面對勒索攻擊威脅需要采取的必要措施。

勒索與其他病毒和攻擊有一個重要的差別點在于,一旦遭受勒索,數(shù)據(jù)和系統(tǒng)通常難以解鎖,因此反勒索除了關(guān)注勒索病毒的預防、攻擊檢測外,更加依賴應急的高效和高安全、高質(zhì)量的數(shù)據(jù)恢復,成為最關(guān)鍵的最后一道防線。

從技術(shù)的角度看,采用創(chuàng)新的應用安全防護技術(shù)和數(shù)據(jù)備份技術(shù),能夠為企業(yè)打造更堅固的數(shù)據(jù)反勒索防線。目前,瑞數(shù)“動態(tài)應用防護系統(tǒng)Botgate”+ “數(shù)據(jù)安全檢測與應急響應系統(tǒng)DDR”的組合方案,正是反勒索創(chuàng)新技術(shù)的典型代表。

(一)動態(tài)應用防護系統(tǒng)Botgate

作為新一代WAF明星產(chǎn)品,瑞數(shù)Botgate廣為業(yè)界所熟知,以“動態(tài)防護+AI”技術(shù)為核心,通過動態(tài)封裝、動態(tài)驗證、動態(tài)混淆、動態(tài)令牌等創(chuàng)新技術(shù),能夠?qū)崿F(xiàn)從用戶端到服務器端的全方位主動防護。在高效識別各類已知與未知攻擊的同時,也彌補了傳統(tǒng)WAF和殺毒軟件無法對未知惡意軟件特征進行識別的短板。

由于瑞數(shù)Botgate不依賴固定規(guī)則和特征進行防護,而是通過獨有的“動態(tài)防護+AI”技術(shù),在漏洞發(fā)布之前就能夠有效識別0day攻擊,提前可以對未知0day進行攔截,有效防御利用0day漏洞的勒索攻擊。針對0day爆發(fā)后的Webshell工具攻擊,瑞數(shù)Botgate也能夠通過動態(tài)技術(shù)對Webshell的訪問進行阻斷,無論Webshell如何升級,都能夠有效一招制敵,防止攻擊者通過Webshell植入勒索攻擊代碼。

(二)數(shù)據(jù)安全檢測與應急響應系統(tǒng)DDR

一旦企業(yè)應用或系統(tǒng)被勒索軟件破防,快速恢復企業(yè)核心數(shù)據(jù),保持業(yè)務的正常運轉(zhuǎn),是企業(yè)反勒索的關(guān)鍵。瑞數(shù)DDR系統(tǒng)定位于企業(yè)核心數(shù)據(jù)備份、快速恢復備份數(shù)據(jù),正是數(shù)據(jù)反勒索“最后的防線”。

在新安全形勢下,需要支持原始格式的數(shù)據(jù)安全底座,瑞數(shù)DDR系統(tǒng)作為新一代數(shù)據(jù)安全底座,能夠有效實現(xiàn)數(shù)據(jù)反勒索的三大目標:健康體檢、勒索監(jiān)測、快速恢復。

目標一:健康體檢,事前數(shù)據(jù)風險管理

盤點數(shù)據(jù)資產(chǎn)與排查系統(tǒng)隱患是做好數(shù)據(jù)安全的第一步。瑞數(shù)DDR基于創(chuàng)新的“深度文件內(nèi)容檢測”技術(shù),能夠高效識別企業(yè)核心備份數(shù)據(jù)的數(shù)據(jù)類型,生成數(shù)據(jù)完整性、敏感數(shù)據(jù)分布及權(quán)限審計等報告,從而全面掌控企業(yè)核心備份數(shù)據(jù)資產(chǎn)的管控現(xiàn)狀。此外,更通過漏洞檢測與配置核查等機制,排查系統(tǒng)隱患,保護備份數(shù)據(jù)資產(chǎn)的安全。

目標二:勒索監(jiān)測,事中智能威脅感知

瑞數(shù)DDR系統(tǒng)基于獨創(chuàng)的“離線智能深度檢測引擎”,可以對攻擊過程中損毀的文件進行安全檢測,檢測出被勒索軟件加密的文件,找出干凈可用的數(shù)據(jù),幫助企業(yè)快速恢復IT系統(tǒng)。

傳統(tǒng)備份系統(tǒng)并不會對備份數(shù)據(jù)的好壞進行檢測,以至于備份數(shù)據(jù)中可能因勒索軟件的攻擊,存在大量被損毀的文件,恢復后的系統(tǒng)仍無法正常使用。瑞數(shù)信息可以在備份過程中發(fā)現(xiàn)損毀或異常的文件或數(shù)據(jù),找到被勒索病毒感染的文件及感染時間點,協(xié)助安全管理人員快速移除勒索軟件并對系統(tǒng)進行加固。

這種技術(shù)來源于瑞數(shù)信息獨創(chuàng)的文件與數(shù)據(jù)庫動態(tài)變化追蹤技術(shù),通過對比文件名、文件類型、文件大小、文件信息熵、文件相似度等指標的變化,從而識別出被勒索軟件加密的可疑文件。利用信息熵+AI技術(shù)進行安全檢測,正是瑞數(shù)信息的獨門絕技,檢測準確性可高達98%以上。

目標三:快速恢復,事后快速響應恢復

基于傳統(tǒng)備份系統(tǒng),數(shù)據(jù)合并費時必須將備份格式轉(zhuǎn)化生產(chǎn)數(shù)據(jù)格式,數(shù)據(jù)必須移動拷貝才能恢復,恢復時間往往需要數(shù)天甚至數(shù)周?;谌饠?shù)獨創(chuàng)的智能快速恢復引擎,無論多大數(shù)據(jù)量,瑞數(shù)DDR系統(tǒng)都能夠自動生成可直接掛載的干凈磁盤鏡像,達到分鐘級的數(shù)據(jù)恢復,將業(yè)務中斷的時間降到最低。

此外,瑞數(shù)DDR還能夠評估評估攻擊造成的損害,如:哪些數(shù)據(jù)被攻擊了?受影響的數(shù)據(jù)是如何分布的?哪些用戶受到影響?何時發(fā)生的?造成的損害和影響有多大?最新的干凈備份是哪個版本?從而能夠快速用最新的干凈備份恢復受損的數(shù)據(jù),并自動移除勒索軟件產(chǎn)生的勒索說明文件。

相比傳統(tǒng)數(shù)據(jù)恢復方案,一旦生產(chǎn)數(shù)據(jù)被加密,備份數(shù)據(jù)也很大可能被加密,瑞數(shù)DDR最大的優(yōu)勢在于防批量數(shù)據(jù)破壞、安全隔離備份數(shù)據(jù)、分鐘級快速恢復、生產(chǎn)環(huán)境低干擾、自動化可編排運維,能夠很好地突破傳統(tǒng)災備系統(tǒng)面對勒索攻擊威脅時的瓶頸。一旦被勒索病毒感染,瑞數(shù)DDR能夠第一時間對備份增量數(shù)據(jù)進行分析,發(fā)現(xiàn)被加密的數(shù)據(jù),從系統(tǒng)中找到未加密的數(shù)據(jù)進行恢復,最大的數(shù)據(jù)丟失風險僅為當日增量數(shù)據(jù)中被加密的部分,對企業(yè)業(yè)務連續(xù)性影響較小。

結(jié)語

在勒索攻擊愈演愈烈的今天,傳統(tǒng)安全、備份與災備機制面對新興的數(shù)據(jù)安全威脅已顯得捉襟見肘,新一代數(shù)據(jù)反勒索機制的建設已刻不容緩。以瑞數(shù)“動態(tài)應用防護系統(tǒng)Botgate”+ “數(shù)據(jù)安全檢測與應急響應系統(tǒng)DDR”為代表的數(shù)據(jù)反勒索方案,將基于創(chuàng)新的動態(tài)安全+AI技術(shù),融合存儲技術(shù),為各行業(yè)用戶筑起堅固的安全防線。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關(guān)標簽
勒索病毒

相關(guān)文章

熱門排行

信息推薦