如此大規模的勒索病毒攻擊,瞬間在安全業界激起千層浪,引發了廣泛的社會關注。自2017年“WannaCry”勒索事件爆發以來,全球各國都已極大提高了大眾對勒索病毒的重視程度,但勒索病毒依舊防不勝防,典型勒索事件頻發。
為什么防御勒索病毒這么難?勒索攻擊能不能被提前發現?如果企業不幸遭遇了勒索攻擊,該如何應對?基于這些問題,瑞數信息對勒索攻擊的發展態勢、攻擊手段、應對策略進行了深度剖析。
勒索攻擊愈演愈烈 呈現五大新趨勢
近年來,勒索病毒攻擊席卷全球,有互聯網的地方就存在勒索攻擊。隨著數字化進程的加快,勒索攻擊已經成為當下網絡安全的主要威脅,有組織性的黑客攻擊目標不再僅是核心數據竊取,醫療、政府、工業制造、金融、能源、通信等行業的關鍵信息基礎設施成為黑客攻擊新目標,影響范圍仍在不斷擴大。與此同時,全球網絡攻防對抗的強度、頻率、規模和影響力不斷升級。
勒索病毒攻擊經過數年的演變升級,如今的勒索攻擊手段日趨成熟,攻擊目標越發明確,模式多種多樣,攻擊愈發隱蔽,更加難以防范,危害也日益增大。隨著勒索攻擊專業化、團隊化運作,勒索攻擊逐漸發展出五大新趨勢。
• 趨勢一:供應鏈成為勒索攻擊重要的切入點
一個基礎性漏洞很可能將整個供應鏈的程序暴露在風險中,當供應鏈攻擊和勒索軟件攻擊被一起使用時,會造成更大的危害,勒索對象正在從供應商延伸到其客戶群體。
• 趨勢二:多重勒索模式引發數據泄露風險
攻擊者不止是對數據進行加密后勒索受害企業,還會竊取數據再次勒索企業,通過雙重勒索、多重勒索的模式,使勒索的利益最大化。
• 趨勢三:新一代勒索攻擊采用low and slow(高隱蔽且高持久化)的攻擊手法
攻擊者在竊取數據過程中緩慢加密數據,攻擊隱藏性加強,攻擊行為不易發現,使得發現威脅和恢復數據的難度大幅提升。
• 趨勢四:勒索軟件與“挖礦”木馬相結合
攻擊者會在攻擊過程中將二者同時實施,受害企業的設備不僅會遭受勒索攻擊,還會被攻擊者用來挖礦,除了電力能耗增大、設備老化加速、經濟損失嚴重之外,攻擊者還會留下后門惡意竊取機密信息,直接引發或變相滋生各種網絡犯罪。
• 趨勢五:勒索病毒擴散渠道轉向web應用漏洞
隨著攻擊技術迭代升級,攻擊者開始從系統漏洞轉向應用漏洞挖掘,針對特定應用定制高級攻擊工具,定向實施應用漏洞攻擊,成為新型勒索攻擊手段。
傳統技術瓶頸凸顯 反勒索亟需新思路
為了對抗勒索攻擊,市面上出現了很多反勒索安全防護產品或數據備份產品。即便如此,當新型的勒索攻擊手段出現時,依然無法保護企業的數據安全。那么,現有的安全防護技術到底存在哪些不足?
瑞數信息表示,現有反勒索安全技術面對新型勒索攻擊最大的兩個防護弱點分別是應用漏洞與響應速度。這可以從應用安全和數據恢復兩個角度來看,前者是作為應用攻擊檢測和響應的防御手段,后者是作為數據備份、業務恢復的手段,但這兩種技術不能停留在傳統技術思路上,否則無法對抗不斷升級的勒索攻擊。
• 傳統WAF
以傳統WAF為代表的應用攻擊防護產品,是基于固定的規則和特征庫,無法防護利用自動化攻擊技術隱蔽惡意攻擊特征并不斷變形的勒索軟件,更無法防御利用0day漏洞的勒索攻擊。
• 傳統災備系統
傳統備份系統是定期做全量數據備份,但并不能完全識別備份數據是否健康、是否可恢復、是否完整,一旦原始數據被感染,備份數據同樣會被感染,導致數據無法使用。傳統容災系統同樣沒有辦法應對勒索軟件的攻擊,一旦主系統被病毒感染破壞,備用系統數據同步復制,所有的容災系統都會被病毒感染。同時,新型勒索攻擊采用low and slow的攻擊策略,被加密的數據跨越多個備份時點,運維人員難以確認可以用于恢復干凈數據的時點,大幅增加了恢復工作的挑戰與難度。
若企業僅在被勒索攻擊后通過災備系統恢復了數據,但未對數據內容的完整性進行驗證,被勒索軟件加密的“臟數據”將會影響系統的正常運行,造成二次傷害,再度打擊企業的商譽。此外,傳統備份系統恢復數據時間較長,從而無法保證業務的連續性。
對抗勒索病毒 關鍵數據備份是“最后的防線”
當現有的安全防護手段不夠有效時,企業面對勒索攻擊是否就只能“任人拿捏”?
事實上,反勒索安全防護需要全方位考慮,如:做好數據備份與災難恢復方案;定期檢查漏洞、及時更新安全補丁;定期更換登錄口令;減少互聯網暴露面;加強網絡邊界入侵防范與管理;提高安全意識,都是企業面對勒索攻擊威脅需要采取的必要措施。
勒索與其他病毒和攻擊有一個重要的差別點在于,一旦遭受勒索,數據和系統通常難以解鎖,因此反勒索除了關注勒索病毒的預防、攻擊檢測外,更加依賴應急的高效和高安全、高質量的數據恢復,成為最關鍵的最后一道防線。
從技術的角度看,采用創新的應用安全防護技術和數據備份技術,能夠為企業打造更堅固的數據反勒索防線。目前,瑞數“動態應用防護系統Botgate”+ “數據安全檢測與應急響應系統DDR”的組合方案,正是反勒索創新技術的典型代表。
(一)動態應用防護系統Botgate
作為新一代WAF明星產品,瑞數Botgate廣為業界所熟知,以“動態防護+AI”技術為核心,通過動態封裝、動態驗證、動態混淆、動態令牌等創新技術,能夠實現從用戶端到服務器端的全方位主動防護。在高效識別各類已知與未知攻擊的同時,也彌補了傳統WAF和殺毒軟件無法對未知惡意軟件特征進行識別的短板。
由于瑞數Botgate不依賴固定規則和特征進行防護,而是通過獨有的“動態防護+AI”技術,在漏洞發布之前就能夠有效識別0day攻擊,提前可以對未知0day進行攔截,有效防御利用0day漏洞的勒索攻擊。針對0day爆發后的Webshell工具攻擊,瑞數Botgate也能夠通過動態技術對Webshell的訪問進行阻斷,無論Webshell如何升級,都能夠有效一招制敵,防止攻擊者通過Webshell植入勒索攻擊代碼。
(二)數據安全檢測與應急響應系統DDR
一旦企業應用或系統被勒索軟件破防,快速恢復企業核心數據,保持業務的正常運轉,是企業反勒索的關鍵。瑞數DDR系統定位于企業核心數據備份、快速恢復備份數據,正是數據反勒索“最后的防線”。
在新安全形勢下,需要支持原始格式的數據安全底座,瑞數DDR系統作為新一代數據安全底座,能夠有效實現數據反勒索的三大目標:健康體檢、勒索監測、快速恢復。
• 目標一:健康體檢,事前數據風險管理
盤點數據資產與排查系統隱患是做好數據安全的第一步。瑞數DDR基于創新的“深度文件內容檢測”技術,能夠高效識別企業核心備份數據的數據類型,生成數據完整性、敏感數據分布及權限審計等報告,從而全面掌控企業核心備份數據資產的管控現狀。此外,更通過漏洞檢測與配置核查等機制,排查系統隱患,保護備份數據資產的安全。
• 目標二:勒索監測,事中智能威脅感知
瑞數DDR系統基于獨創的“離線智能深度檢測引擎”,可以對攻擊過程中損毀的文件進行安全檢測,檢測出被勒索軟件加密的文件,找出干凈可用的數據,幫助企業快速恢復IT系統。
傳統備份系統并不會對備份數據的好壞進行檢測,以至于備份數據中可能因勒索軟件的攻擊,存在大量被損毀的文件,恢復后的系統仍無法正常使用。瑞數信息可以在備份過程中發現損毀或異常的文件或數據,找到被勒索病毒感染的文件及感染時間點,協助安全管理人員快速移除勒索軟件并對系統進行加固。
這種技術來源于瑞數信息獨創的文件與數據庫動態變化追蹤技術,通過對比文件名、文件類型、文件大小、文件信息熵、文件相似度等指標的變化,從而識別出被勒索軟件加密的可疑文件。利用信息熵+AI技術進行安全檢測,正是瑞數信息的獨門絕技,檢測準確性可高達98%以上。
• 目標三:快速恢復,事后快速響應恢復
基于傳統備份系統,數據合并費時必須將備份格式轉化生產數據格式,數據必須移動拷貝才能恢復,恢復時間往往需要數天甚至數周。基于瑞數獨創的智能快速恢復引擎,無論多大數據量,瑞數DDR系統都能夠自動生成可直接掛載的干凈磁盤鏡像,達到分鐘級的數據恢復,將業務中斷的時間降到最低。
此外,瑞數DDR還能夠評估評估攻擊造成的損害,如:哪些數據被攻擊了?受影響的數據是如何分布的?哪些用戶受到影響?何時發生的?造成的損害和影響有多大?最新的干凈備份是哪個版本?從而能夠快速用最新的干凈備份恢復受損的數據,并自動移除勒索軟件產生的勒索說明文件。
相比傳統數據恢復方案,一旦生產數據被加密,備份數據也很大可能被加密,瑞數DDR最大的優勢在于防批量數據破壞、安全隔離備份數據、分鐘級快速恢復、生產環境低干擾、自動化可編排運維,能夠很好地突破傳統災備系統面對勒索攻擊威脅時的瓶頸。一旦被勒索病毒感染,瑞數DDR能夠第一時間對備份增量數據進行分析,發現被加密的數據,從系統中找到未加密的數據進行恢復,最大的數據丟失風險僅為當日增量數據中被加密的部分,對企業業務連續性影響較小。
結語
在勒索攻擊愈演愈烈的今天,傳統安全、備份與災備機制面對新興的數據安全威脅已顯得捉襟見肘,新一代數據反勒索機制的建設已刻不容緩。以瑞數“動態應用防護系統Botgate”+ “數據安全檢測與應急響應系統DDR”為代表的數據反勒索方案,將基于創新的動態安全+AI技術,融合存儲技術,為各行業用戶筑起堅固的安全防線。
京公網安備 11010502049343號