如果我是一名“狡猾”的黑客,肯定也會選擇中小企業用戶發動攻擊,因為他們往往不會像大型企業那樣部署復雜、難以進攻的安全解決方案,而且與消費者相比,中小企業網絡中的資料“更值錢”,也更有能力支付贖金。
勒索軟件入侵途徑分析:“關門打狗”不適合
優選中小企業攻擊,正是黑客選擇攻擊對象時的一種思路,也是通過網絡安全人員“換位思考”之后得出的結論。當然,與個人用戶相比,中小型企業還有更多的特點,比如:客戶資料、投標文件、研發數據等,這些重要文件大多是需要實時共享的,但又不能被非法流轉出去。一旦遭遇到勒索軟件加密,只要勒索者對其施加心理壓力,中小型企業的領導者只能乖乖就范。那么,勒索軟件又是如何進入到企業內部的呢?
圖:加密勒索軟件入侵途徑
第一步:黑客利用社交工程(social engineering )誘餌,以及簡歷、訂單和護照等作為郵件主題,發動垃圾郵件或定向式攻擊。
第二步:公司員工收到了這封內嵌看似正常網址的電子帳單郵件,點擊鏈接而導致感染勒索軟件。
第三步:用戶終端自動執行文檔漏洞代碼或.js腳步,下載惡意軟件主體,代碼將加密用戶重要的數據文件。
第四步:當勒索提示信息已經彈出之后,用戶幾乎無法通過暴力破解等第三方解密方式進行破解,只能被迫支付“贖金”,外連到黑客不斷變化的C&C服務器才能拿到解密的密鑰。
對此,亞信安全APT安全專家白日表示:“多數加密勒索軟件都具有閃避技術,部分TorrentLockerr變種更具備了自毀功能,而傳統防毒軟件更新一旦跟不上變化,就無法對已經進入內網的攻擊進行攔截。另外,根據對全球網絡威脅數據的持續跟蹤,我們發現,90%以上的加密勒索軟件事件是通過社交工程郵件方式發起的,還有少部分加密勒索軟件事件是通過Web或其他方式導致的。因此,在網關層面進行有效攔截,將是中小企業最經濟型的防御體系。”
Deep Edge網關解決方案:“最經濟”的防御體系
顯然,像防范APT攻擊那樣,建立多層次、立體化的防御體系,以及構筑強大的數據災備系統,都是最成功的防御手段。但這套“豪配”對于中小企業來說,不論是資金、人力、能力,還是網絡架構調整、教育培訓制度等多個方面,都顯得不太現實。尤其是非IT行業的中小型企業,更不會有專門負責保護重要文件的專職人員,所以網絡勒索案件才會頻繁發生。
針對中小企業的網絡安全防御特點,以及有效防范勒索軟件的迫切訴求,白日建議用戶部署亞信安全深度威脅安全網關Deep Edge。他表示:“Deep Edge具有極其簡潔的部署和管理方式,但卻包含了最重要的勒索軟件攻擊抑制能力。通偵測、分析和攔截功能的融合,可以針對加密勒索軟件攻擊路徑,建立有效的‘抑制點’。”
亞信安全深度威脅安全網關 Deep Edge 隸屬亞信安全深度威脅發現產品系列(Deep Discovery,DD),是一款基于內容檢測的統一智能安全網關。它不僅提供了完整的下一代防火墻相關功能,針對100多種常用網絡協議提供了虛擬補丁、APT防護、零日漏洞檢測、防惡意程序、惡意網站過濾、網站分類訪問、VPN數據過濾、垃圾郵件及惡意郵件過濾等多項高級內容安全檢測及防護功能。更重要地是,Deep Edge可以對勒索軟件實現有的放矢。
針對“第一步”:Deep Edge具有ERS(郵件信譽評估)功能,可以在源頭攔截加密勒索郵件(防第一步);
針對“第二步”:Deep Edge具有惡意郵件附件的偵測和攔截能力,可在.js勒索腳本郵件到達用戶終端之前予以攔截;
針對“第三步”:Deep Edge具有WRS(Web信譽評估)功能,可以實時攔截終端對加密勒索軟件的外聯網站訪問;
針對“第四步”:Deep Edge具有FRS(文件信譽評估)功能,可實時攔截終端對已知勒索軟件的下載。
除此以外, Deep Edge還內置ATSE(高級威脅偵測引擎),能判別流量中的可疑加密勒索軟件,通過外置定制化、可擴充的沙箱模擬分析平臺DDNA進一步分析確認,攔截新型未知加密勒索軟件。并且,Deep Edge還可以和亞信安全深度威脅發現設備 TDA、聯動,通過同步TDA分析出來的加密勒索軟件C&C外聯服務器黑名單,攔截勒索軟件腳本的外聯惡意通訊,并阻止勒索軟件主題的下載。這些都能在“第三步、第四步”發揮重要作用。
勒索軟件蔓延,“經濟型”方案,兼顧成本與效能
面對勒索軟件,大部分的保護措施都主要依賴于定期更新操作系統、軟件和殺毒工具,然后定期備份重要數據。雖然這種方式可以有效抵御已知的勒索軟件病毒,但是在面對未知的變種軟件時卻無能為力。而亞信安全深度威脅安全網關 Deep Edge的部署,對于中小企業“捉襟見肘”的安全成本十分有利,不用“豪華配置”,就能部署周密的網絡安全解決方案,實施偵測惡意文件、攔截垃圾郵件、封鎖相關網址等技術,可謂最佳“經濟型”解決方案。