天天操人人干,夜夜操夜夜爽,一级片中国,国产成视频

真情服務(wù)  厚德載物
今天是:
聯(lián)系我們

市場(chǎng)部:0564-3227239
技術(shù)部:0564-3227237
財(cái)務(wù)部: 0564-3227034
公司郵箱:lachs@126.com
技術(shù)郵箱:cc1982@163.com
地址:六安市淠望路103號(hào)

技術(shù)分類(lèi)
推薦資訊
當(dāng)前位置:首 頁(yè) > 技術(shù)中心 > 安全產(chǎn)品 > 查看信息
美國(guó)成品油管道公司已交贖金,勒索病毒怎么保障防得?
作者:永辰科技  來(lái)源:深信服科技  發(fā)表時(shí)間:2021-5-26 19:25:10  點(diǎn)擊:2090

     最近,俄羅斯黑客 Darkside 搞了件大事。

這家去年8月才出道的“黑客新人”攻擊了美國(guó)最大成品油管道運(yùn)營(yíng)公司,直接導(dǎo)致美國(guó)東海岸8800公里汽油輸送“大動(dòng)脈”癱瘓,首都華盛頓和東部17州均受到嚴(yán)重影響,汽油期貨直接飆升至三年新高。據(jù)最新消息,該公司聲稱(chēng)業(yè)務(wù)已恢復(fù)。

不過(guò),據(jù)最新消息,5月13日,美國(guó)成品油管道運(yùn)營(yíng)公司為此向黑客支付了500萬(wàn)美元的贖金。

哪些行業(yè)會(huì)是勒索攻擊的高發(fā)地區(qū)?

根據(jù)深信服千里目安全實(shí)驗(yàn)室發(fā)布的《2020勒索病毒年度報(bào)告》可知,如今網(wǎng)絡(luò)攻擊種類(lèi)繁多,其中最令人恐懼的網(wǎng)絡(luò)攻擊之一便是勒索軟件(勒索病毒攻擊以防為主,目前大部分勒索病毒加密后的文件都無(wú)法解密)——通過(guò)加密主機(jī)數(shù)據(jù)文件從而勒索贖金的病毒程序。

各行業(yè)勒索病毒感染分布

各行業(yè)勒索病毒感染分布(圖源深信服千里目實(shí)驗(yàn)室《2020年度勒索病毒報(bào)告》)

從行業(yè)來(lái)看,政企單位、科研教育、政府遭受的勒索攻擊最多,總占比接近3/4;由于這些行業(yè)的業(yè)務(wù)對(duì)數(shù)據(jù)文件依賴(lài)較大,安全防護(hù)薄弱,系統(tǒng)設(shè)施脆弱等因素,極易成為勒索病毒的主要攻擊目標(biāo)。

因此,深信服認(rèn)為有必要提供一個(gè)真實(shí)有效的安全解決方案,給予各行業(yè)一個(gè)清晰的防護(hù)思路,避免在遭遇勒索攻擊時(shí)造成無(wú)法挽回的損失。

打造一個(gè)全流程閉環(huán)的勒索防護(hù)解決方案迫在眉睫

深信服基于近1000個(gè)用戶的最佳實(shí)踐總結(jié)出勒索病毒的防護(hù)思路:在云網(wǎng)端的多層架構(gòu)下,針對(duì)勒索病毒在突破邊界、病毒投放、加密勒索、橫向傳播等各個(gè)環(huán)節(jié),實(shí)現(xiàn)實(shí)時(shí)攔截、快速查殺、多重監(jiān)測(cè)和有效處置,為客戶提供全方位的勒索防護(hù)能力。

在勒索病毒防護(hù)方面,深信服已有一套完整的安全解決方案。

勒索防護(hù)方案思路

勒索防護(hù)方案思路

具體而言,這套安全解決方案包含四個(gè)層次,即攔截——查殺——監(jiān)測(cè)——閉環(huán)處置。

一、攔截

攔截能力覆蓋發(fā)起勒索攻擊時(shí)和被勒索攻陷后,又細(xì)分為五個(gè)環(huán)節(jié),即勒索預(yù)防、勒索專(zhuān)項(xiàng)防護(hù)、慢速爆破防御、RDP 登錄二次攔截、進(jìn)程控制

1、在勒索預(yù)防環(huán)節(jié),為確保終端安全性,必須安裝殺毒軟件、修復(fù)操作系統(tǒng)安全漏洞才能接入網(wǎng)絡(luò),減少終端中勒索病毒的風(fēng)險(xiǎn),可采用網(wǎng)絡(luò)準(zhǔn)入類(lèi)產(chǎn)品,如深信服全網(wǎng)行為管理AC(以下簡(jiǎn)稱(chēng)深信服AC)建立終端入網(wǎng)安全基線。

2、在勒索專(zhuān)項(xiàng)防護(hù)環(huán)節(jié),由于漏洞修復(fù)成本極高導(dǎo)致內(nèi)網(wǎng)遺留大量未修復(fù)漏洞,給攻擊者預(yù)留了潛在的漏洞利用攻擊機(jī)會(huì),故需采用有效識(shí)別漏洞且維護(hù)便捷方式,業(yè)內(nèi)常以網(wǎng)絡(luò)串接防護(hù)設(shè)備,如采用深信服下一代防火墻(以下簡(jiǎn)稱(chēng)深信服AF)內(nèi)置 8000+漏洞特征庫(kù),并基于攻擊泛化的漏洞覆蓋技術(shù),從漏洞共性攻擊與利用方式,打造具備泛化能力的漏洞語(yǔ)法檢測(cè)引擎,同時(shí)通過(guò)云端全球共享情報(bào)5分鐘完成同步漏洞攻擊有效攔截率 98.7%。

而針對(duì)勒索擴(kuò)散行為,需快速縮小范圍,隔離問(wèn)題主機(jī),可通過(guò)深信服終端檢測(cè)響應(yīng)平臺(tái)(以下簡(jiǎn)稱(chēng)深信服EDR)則利用無(wú)文件攻擊防護(hù)和勒索誘餌防護(hù)對(duì)勒索病毒進(jìn)行實(shí)時(shí)掃描監(jiān)測(cè),防止病毒進(jìn)一步加密擴(kuò)散。

3、在慢速爆破防御環(huán)節(jié):目前大部分勒索病毒為繞過(guò)各系統(tǒng)自帶或安全設(shè)備的閾值破解防護(hù),使用慢速爆破難以被安全設(shè)備檢測(cè)的方式,這也是很多用戶使用傳統(tǒng)的IPS或防火墻仍中勒索病毒的原因。

對(duì)此,深信服AF自研口令暴破深度檢測(cè)引擎,基于多時(shí)間窗口尺度異常登錄檢測(cè)和精細(xì)化日志審計(jì)分析算法結(jié)合,并通過(guò)多種特征綜合判定登錄成功或失敗的狀態(tài),突破加密流量暴破、慢速/分布式暴破的檢測(cè)盲區(qū),跳出解密困局,檢測(cè)率高達(dá)95%。

4、在 RDP 登錄二次攔截環(huán)節(jié):RDP 爆破作為唯一或者主流的感染方式,先通過(guò)釣魚(yú)郵件/釣魚(yú)網(wǎng)站/漏洞利用等,再 RDP 爆破,或者直接 RDP 爆破。

典型代表:LockCrypt、 Crysis 、Planetary、GlobeImposter 等,主要利用了遠(yuǎn)程桌面協(xié)議 RDP 應(yīng)用的廣泛性以及攻破后使用上的便捷性。

需針對(duì)遠(yuǎn)程訪問(wèn)服務(wù)器的行為進(jìn)行二次密碼驗(yàn)證,防止黑客遠(yuǎn)程登錄服務(wù)器進(jìn)行勒索病毒投放,減輕服務(wù)器資產(chǎn)損失的風(fēng)險(xiǎn),可采用終端安全平臺(tái),如深信服EDR。

5、在進(jìn)程控制環(huán)節(jié):由于勒索形成前會(huì)利用系統(tǒng)進(jìn)程進(jìn)行偽裝,故需針對(duì)服務(wù)器全系統(tǒng)進(jìn)程進(jìn)行可信識(shí)別與控制,如通過(guò)通過(guò)深信服EDR可信進(jìn)程的加固防護(hù)技術(shù),以進(jìn)程學(xué)習(xí)、手動(dòng)導(dǎo)入的可信進(jìn)程的防護(hù)策略,阻止非可信的勒索進(jìn)程運(yùn)行與破壞可信進(jìn)程。

二、查殺層面

預(yù)防之后,最重要的是要對(duì)勒索病毒保持時(shí)刻警惕,經(jīng)常查殺。包含兩個(gè)環(huán)節(jié),即檢測(cè)和查殺環(huán)節(jié)。

隨著 AI 技術(shù)的誕生以及物聯(lián)網(wǎng)應(yīng)用的普及,勒索軟件呈爆發(fā)式增長(zhǎng),據(jù)統(tǒng)計(jì)每14秒就會(huì)發(fā)生一次勒索攻擊事件。因此,勒索病毒的種類(lèi)也越來(lái)越多,單純的檢測(cè)方法無(wú)法完全檢測(cè)。

1、在檢測(cè)環(huán)節(jié),深信服 EDR 引入了5層多維度漏斗型檢測(cè)框架,通過(guò)文件信譽(yù)檢測(cè)引擎、基因特征引擎、人工智能引擎、行為檢測(cè)引擎、云腦引擎五個(gè)維度檢測(cè)勒索病毒。

2、在查殺環(huán)節(jié),深信服 EDR 基于文件信譽(yù)引擎將病毒文件的md5特征值進(jìn)行全網(wǎng)通報(bào);也可針對(duì)md5特征,主動(dòng)進(jìn)行全網(wǎng)威脅定位,從而在全網(wǎng)進(jìn)行圍剿式查殺。

與此同時(shí),配合深信服下一代防火墻采用流模式和啟發(fā)式文件掃描技術(shù),對(duì) HTTP、 SMTP、 POP3、 IMAP、 FTP、 SMB 等多種協(xié)議類(lèi)型的近百萬(wàn)種病毒進(jìn)行查殺,以及可對(duì)多線程并發(fā)、深層次壓縮文件等進(jìn)行有效控制和查殺。

此外,還可利用人工智能引擎通過(guò)對(duì)數(shù)億維的原始特征進(jìn)行分析和綜合,強(qiáng)大泛化能力,大幅提升對(duì)變種、未知勒索威脅的檢出及查殺效果。

三、監(jiān)測(cè)層面

查殺之后要做的工作時(shí)監(jiān)測(cè)勒索病毒的活動(dòng)路徑。主要包含監(jiān)測(cè)和告警兩個(gè)環(huán)節(jié)。

監(jiān)測(cè)環(huán)節(jié)又細(xì)分為 C&C 非法通信檢測(cè)、流量行為監(jiān)測(cè)、攻擊鏈監(jiān)測(cè)、勒索誘捕監(jiān)測(cè)。

由于病毒變種數(shù)量多,傳統(tǒng)監(jiān)測(cè)方式難免會(huì)存在漏網(wǎng)之魚(yú)。

1、在勒索主機(jī)進(jìn)行 C&C非法 通信時(shí),常以動(dòng)態(tài)域名進(jìn)行隱藏,深信服 AF 創(chuàng)新引入 DGA 動(dòng)態(tài)域名、DNS 隱蔽隧道等檢測(cè)技術(shù)識(shí)別惡意連接。

2、在流量行為監(jiān)測(cè)方面,則主要基于深信服安全感知平臺(tái)SIP(以下簡(jiǎn)稱(chēng)深信服SIP)內(nèi)置的勒索專(zhuān)項(xiàng)檢測(cè)系統(tǒng),采用業(yè)界獨(dú)創(chuàng)的動(dòng)態(tài)流檢測(cè)技術(shù)(非規(guī)則漏洞檢測(cè)、異常點(diǎn)檢測(cè)、進(jìn)程級(jí)網(wǎng)端檢測(cè)、異常行為利用、多階段攻擊等APT場(chǎng)景檢測(cè)點(diǎn)等)。

勒索防護(hù)方案思路

深信服態(tài)勢(shì)感知平臺(tái)SIP勒索專(zhuān)項(xiàng)檢測(cè)頁(yè)面

利用AI 2.0和UEBA2.0技術(shù)(涵蓋13類(lèi)攻擊類(lèi)別以及400+算法模型)進(jìn)行綜合分析,能夠精準(zhǔn)的識(shí)別不同的勒索軟件家族,并通過(guò)專(zhuān)業(yè)分析識(shí)別出勒索病毒感染行為和加密特征,同時(shí)通過(guò)可視化界面為用戶展示內(nèi)網(wǎng)整體安全狀況,第一時(shí)間發(fā)現(xiàn)內(nèi)網(wǎng)橫向掃描、病毒擴(kuò)散、非法外聯(lián)等勒索病毒行為,全面分析新型勒索病毒的攻擊面及其影響范圍,幫助用戶在勒索病毒大面積感染前及時(shí)發(fā)現(xiàn)。

3、在告警環(huán)節(jié),利用微信告警通知用戶,緊急事件會(huì)在2分鐘內(nèi)發(fā)出,其他事件在告警策略--高級(jí)選項(xiàng)--告警頻率處所設(shè)定的時(shí)間內(nèi)發(fā)出。同類(lèi)事件每日推送三次,超過(guò)三次不再推送告警提醒。每日8:00--22:00進(jìn)行告警推送,其余時(shí)間段不主動(dòng)推送任何消息。

四、處置層面

包括三個(gè)環(huán)節(jié),即聯(lián)動(dòng)響應(yīng)、自動(dòng)化響應(yīng)、應(yīng)急處置。

1、在聯(lián)動(dòng)響應(yīng)環(huán)節(jié),包括聯(lián)動(dòng)封鎖、訪問(wèn)控制、一鍵查殺、進(jìn)程取證、快照備份,并且可根據(jù)用戶的需要,自由組合多項(xiàng)措施進(jìn)行處置。

具體而言,當(dāng)深信服SIP、AF在實(shí)時(shí)監(jiān)測(cè)到勒索攻擊事件后,基于主機(jī)實(shí)體行為分析引擎EBA、聯(lián)動(dòng)EDR快速定位出全網(wǎng)失陷主機(jī),執(zhí)行聯(lián)動(dòng)封堵,如禁止主機(jī)對(duì)外訪問(wèn)、清除病毒文件。

此外,深信服 EDR 還可對(duì)主機(jī)訪問(wèn)的惡意域名進(jìn)行取證,定位訪問(wèn)該域名的子進(jìn)程、父進(jìn)程的詳細(xì)信息。

此外,深信服“人機(jī)共智”MSS安全運(yùn)營(yíng)服務(wù)為用戶提供勒索病毒預(yù)防與響應(yīng)專(zhuān)項(xiàng)場(chǎng)景服務(wù),服務(wù)專(zhuān)家基于安全運(yùn)營(yíng)中心百余項(xiàng)勒索病毒Checklist,定期開(kāi)展風(fēng)險(xiǎn)排查,并協(xié)助用戶加固;安全運(yùn)營(yíng)中心 7*24H持續(xù)監(jiān)測(cè)確保第一時(shí)間發(fā)現(xiàn)勒索攻擊、感染、傳播行為,第一時(shí)間為用戶精準(zhǔn)預(yù)警,服務(wù)專(zhuān)家在線5分鐘響應(yīng),高效閉環(huán)勒索病毒事件。

2、在自動(dòng)化響應(yīng)環(huán)節(jié),針對(duì)勒索事件,配置自動(dòng)響應(yīng)策略,當(dāng)SIP檢測(cè)到勒索事件時(shí),自動(dòng)根據(jù)響應(yīng)策略,執(zhí)行封堵,如聯(lián)動(dòng)AF封鎖該目標(biāo)主機(jī)、聯(lián)動(dòng)EDR禁止主機(jī)對(duì)外訪問(wèn)、聯(lián)動(dòng)EDR清除病毒文件。

3、在應(yīng)急處置環(huán)節(jié),又細(xì)分為四個(gè)環(huán)節(jié),即準(zhǔn)備、檢測(cè)&分析、遏制&消除&恢復(fù)、總結(jié)優(yōu)化。

在準(zhǔn)備環(huán)節(jié),準(zhǔn)備勒索病毒事件分析處理所需的資源,如通信保障、人員配合、工具等;

在檢測(cè)&分析環(huán)節(jié),通過(guò)查看系統(tǒng)日志、殺毒軟件告警日志等對(duì)勒索攻擊事件進(jìn)行檢測(cè)分析,并報(bào)告用戶安全管理人員;

在遏制&消除&恢復(fù)環(huán)節(jié),深信服分布式存儲(chǔ) EDS 嘗試遏制勒索病毒軟件,限制其影響或范圍,同時(shí)收集證據(jù)、執(zhí)行根本原因分析。在根因分析完畢后快速采取措施進(jìn)行根除,幫助用戶恢復(fù)業(yè)務(wù)正常運(yùn)轉(zhuǎn);

在修復(fù)完成后,同用戶一起回顧事件過(guò)程,對(duì)事件原因、處置過(guò)程等進(jìn)行復(fù)盤(pán),總結(jié)經(jīng)驗(yàn),并輸出事件報(bào)告。

綜上,深信服認(rèn)為只有通過(guò)攔截、查殺、監(jiān)測(cè)、處置四個(gè)階段對(duì)勒索病毒進(jìn)行精準(zhǔn)、快速的閉環(huán)處置,才能構(gòu)建整體的勒索病毒免疫力。

 
 
 
合作伙伴
微軟中國(guó) | 聯(lián)想集團(tuán) | IBM | 蘋(píng)果電腦 | 浪潮集團(tuán) | 惠普中國(guó) | 深信服 | 愛(ài)數(shù)軟件 | 華為
六安市永辰科技有限公司 版權(quán)所有 © Copyright 2010-2021 All Rights 六安市淠望路103號(hào) 最佳瀏覽效果 IE8或以上瀏覽器
訪問(wèn)量:2987110    皖I(lǐng)CP備11014188號(hào)-1