绿盟

绿盟科技

  • 基础设施安全

    基础设施安全
  • 数据安全

    数据安全
  • 云计算安全

    云计算安全
  • 工业互联网安全

    工业互联网安全
  • 物联网安全

    物联网安全
  • 信息技术应用创新

    信息技术应用创新
  • 全部产品

    全部产品
  • 全部解决方案

    全部解决方案

基础设施安全


  • 政府

    政府
  • 运营商

    运营商
  • 金融

    金融
  • 能源

    能源
  • 交通

    交通
  • 企业

    企业
  • 科教文卫

    科教文卫

返回列表

500万的勒索赎金预算,批还是不批?

2021-02-03

又到了一年一度做企业预算的时刻,今年,小W遇到了一个难题。作为一家大型制造企业的IT负责人,小W在2021年的预算表中增加了一项500万元的“勒索咨询服务费”,用途备注是勒索赎金。以往,这笔这项预算从来没有过。领导怎么想,会不会被驳回,小W心里打鼓。

设置这笔预算费的是有背景原因的:2020年,公司遇到了勒索事件,生产线瘫痪了2周,并且为此支付了400万。虽然勒索事件发生后,做了简单的加固,但是生产线上的工业控制主机,并没有完全升级,还有被攻击的风险。这笔预算的目的,是为了再次遇到勒索事件时有所准备。

 

据绿盟科技发布的《2020互联网安全事件观察报告》中指出,2020年安全事件主要有如下几类:漏洞类、勒索软件、信息泄露、工控攻击事件及恶意软件。其中,勒索软件事件占全年网络攻击的四分之一,最高勒索赎金超4000w美金。

勒索软件发展趋势

勒索软件有三个发展趋势。第一个趋势是勒索软件的APT化。APT是高级持续性威胁的英文缩写,高级是指攻击手法高级,持续指的是攻击时间长。三年前,WannaCry大规模的蠕虫勒索软件,只是通过微软操作系统的漏洞传播,并未体现出高级持续性的特点。近年来,勒索软件有针对性的找攻击目标,花费更长的时间攻击渗透,不达目标不罢休。

图中是微软对几种勒索软件的一个分析图,可见整个勒索软件攻击过程包括初始探测、获取密码、横向移动、持续保留、释放恶意代码、实现对文件的加密。此图可以和ATT&CK的攻击手段做映射,侧面反映了勒索软件攻击的复杂性,持久性。

图:微软-勒索软件攻击链

第二个趋势,在加密勒索基础上,数据泄漏勒索增加。原来勒索软件加密文件,不给赎金,勒索不给解密密钥。现在的勒索软件团伙,不仅仅是加密数据,还会盗窃数据。勒索团伙的目的很明确,就是索取赎金。如果不给赎金,他会利用把数据放到暗网售卖的方式进行威胁,数据泄漏勒索方式逐渐增加。

第三个趋势,勒索软件对制造企业的攻击成增长趋势。其中原因包括两点:一是制造型企业的安全防护不到位,很多工业控制主机的系统,比较老旧,容易击破;二是制造型企业支付赎金的意愿比其他行业高。制造型企业的生产线一旦受到影响,日均损失将相当严重。为了减少停工停产的影响,制造企业不得已选择支付赎金,尽快恢复生产,减少损失。

勒索软件入侵途径

勒索软件的入侵有多个途径,以RDP暴力破解、钓鱼邮件和软件漏洞为主要方式。2020年初,由于新冠疫情原因,远程办公成为主要的办公方式,远程桌面和VPN的广泛使用,让众多设备暴露在互联网上。系统如果未采用双因素认证(2FA),就有可能被暴力破解攻击。

图:COVEWARE-勒索软件攻击方式

第二大类型是钓鱼邮件,也叫做鱼叉攻击。邮件中有URL链接,或者附件存在恶意代码,一旦不小心打开设备就会感染。

第三大类型是互联网上开放的系统或者软件存在漏洞。攻击者通过定向扫描,或者查询公开的网络威胁情报进行踩点,发现存在漏洞的系统,尝试攻击,进入后再横向移动,逐步控制整个系统,再展开数据窃取和勒索加密的操作。

勒索软件安全解决方案

针对勒索软件的入侵方式,单一的产品不能阻止勒索软件的入侵。需要综合的系统的解决方案。绿盟科技推出“三阶六步”的解决方案对抗勒索软件。“三阶”是指事前、事中、事后三个阶段,“六步”指的是事前做好准备、备份和防护,事中做检测和缓解,事后做响应和还原六个步骤。

 

事前:准备和防护

事前的准备和防护是最重要的步骤。防护需要围绕着勒索软件的初始进入来展开。在终端、网络、邮件等系统上,部署防护和过滤安全措施。并且,在提高员工意识培训,数据备份,应急响应等角度做充分的准备工作。

1)减少互联网暴露面,定期安全漏洞检查和加固,及时更新系统和应用补丁。需要检查暴露在互联网上设备清单,这些系统开放端口和应用的漏洞情况,做到非必要不开放,开放的服务需要多因素认证(MFA),并且保证系统和应用的版本最新。对于远程办公场景,在家办工的员工,需要访问公司或者云端的应用,可以考虑零信任安全解决方案;

2)部署终端安全产品。终端防病毒系统,EDR软件等;

3)部署邮件过滤产品。过滤垃圾邮件,钓鱼邮件,对于高级持续威胁,考虑部署邮件沙箱产品,检测和过滤鱼叉邮件,过滤伪装的未知威胁的附件;

4)企业定期组织安全意识培训;

5)准备勒索应急响应流程,提前规划一旦出现勒索病毒事件的缓解措施和业务恢复流程;

6)数据备份。备份坚持“3-2-1”原则,即有3份备份,分布在2个地方,并且1个是离线的备份。在线的备份系统,避免使用CIFS或者NFS等简单网络共享协议,避免勒索软件加密备份系统上的数据。对备份系统也需要格外保护,防止攻击者删除备份数据。

事中:检测和缓解

事中阶段指的是,一旦勒索软件进入企业网络系统,如果能在第一时间发现,也可以避免更大的损失。对感染的主机,需要及时隔离,避免勒索软件感染更多的主机。这个阶段利用终端部署EDR,网络层面部署NDR、NTA等检测系统,加上威胁情报输入,能够及时发现入侵的蛛丝马迹,隔离受影响主机。同时,SOAR的方案,在威胁分析的基础上自动的执行隔离切断操作。

事后:响应和还原

在事后阶段,要进行应急响应和业务恢复。根据事前做的应急响应流程,按照步骤开展工作。调研“零号病人”,即最初被感染的是哪台设备,遭到什么方式入侵,感染的是哪种类型的勒索软件以及感染的范围等。事后调查的目的,是为了不再出现勒索事件。

当下的勒索软件,与之前的WannaCry勒索相比,有了很大的变化。勒索软件威胁,利用了系统漏洞、密码偷窃、数据泄漏等高级持续性的特点。这要求企业网络安全负责人,转变思维,重视勒索软件风险。参考绿盟科技“三阶六步”的整体防御、纵深防御思路,在事前阶段,围绕阻断勒索软件的初始渗透路径上做好防护,以“3-2-1”原则进行数据备份,防范于未然,有效消除勒索软件风险。

 

参考文章:

1. 《2020互联网安全事件观察报告》--绿盟科技

2. 微软:减少勒索软件的风险

https://www.microsoft.com/security/blog/2020/04/28/ransomware-groups-continue-to-target-healthcare-critical-services-heres-how-to-reduce-risk/

3. COVEWARE:2020年Q3勒索软件统计报告

https://www.coveware.com/blog/q3-2020-ransomware-marketplace-report

<<上一篇

这封致谢信背后,是绿盟科技打造网络安全防护“金钟罩”的不懈追求

>>下一篇

技术创新 守护未来|绿盟政务云安全防护案例入选安全牛私有云报告

您的联系方式

*姓名
*单位名称
*联系方式
*验证码
提交到邮箱

购买热线

  • 购买咨询:

    400-818-6868-1

提交项目需求

欢迎加入绿盟科技,成为我们的合作伙伴!
  • *请描述您的需求
  • *最终客户名称
  • *项目名称
  • 您感兴趣的产品
  • 项目预算
您的联系方式
  • *姓名
  • *联系电话
  • *邮箱
  • *职务
  • *公司
  • *城市
  • *行业
  • *验证码
  • 提交到邮箱

服务支持

智能客服
智能客服
购买/售后技术问题
盟管家-售后服务系统
盟管家-售后服务系统
在线提单|智能问答|知识库
支持热线
支持热线
400-818-6868
绿盟科技社区
绿盟科技社区
资料下载|在线问答|技术交流
微博
微博

微博

微信
微信

微信

B站
B站

B站

抖音
抖音

抖音

视频号
视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

© 2024 NSFOCUS 绿盟科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证110355号