9455澳门新葡萄娱乐场官网版

9455澳门新葡萄娱乐场官网版

  • 基础设施安全

    基础设施安全
  • 数据安全

    数据安全
  • 云计算安全

    云计算安全
  • 工业互联网安全

    工业互联网安全
  • 物联网安全

    物联网安全
  • 信息技术应用创新

    信息技术应用创新
  • 全部产品

    全部产品
  • 全部解决方案

    全部解决方案

基础设施安全


  • 政府

    政府
  • 运营商

    运营商
  • 金融

    金融
  • 能源

    能源
  • 交通

    交通
  • 企业

    企业
  • 科教文卫

    科教文卫

返回列表

500万的勒索赎金预算,批还是不批?

2021-02-03

又到了一年一度做企业预算的时刻,今年,小W遇到了一个难题。作为一家大型制造企业的IT负责人,小W在2021年的预算表中增加了一项500万元的“勒索咨询服务费”,用途备注是勒索赎金。以往,这笔这项预算从来没有过。领导怎么想,会不会被驳回,小W心里打鼓。

设置这笔预算费的是有背景原因的:2020年,公司遇到了勒索事件,生产线瘫痪了2周,并且为此支付了400万。虽然勒索事件发生后,做了简单的加固,但是生产线上的工业控制主机,并没有完全升级,还有被攻击的风险。这笔预算的目的,是为了再次遇到勒索事件时有所准备。

 

据9455澳门新葡萄娱乐场官网版发布的《2020互联网安全事件观察报告》中指出,2020年安全事件主要有如下几类:漏洞类、勒索软件、信息泄露、工控攻击事件及恶意软件。其中,勒索软件事件占全年网络攻击的四分之一,最高勒索赎金超4000w美金。

勒索软件发展趋势

勒索软件有三个发展趋势。第一个趋势是勒索软件的APT化。APT是高级持续性威胁的英文缩写,高级是指攻击手法高级,持续指的是攻击时间长。三年前,WannaCry大规模的蠕虫勒索软件,只是通过微软操作系统的漏洞传播,并未体现出高级持续性的特点。近年来,勒索软件有针对性的找攻击目标,花费更长的时间攻击渗透,不达目标不罢休。

图中是微软对几种勒索软件的一个分析图,可见整个勒索软件攻击过程包括初始探测、获取密码、横向移动、持续保留、释放恶意代码、实现对文件的加密。此图可以和ATT&CK的攻击手段做映射,侧面反映了勒索软件攻击的复杂性,持久性。

图:微软-勒索软件攻击链

第二个趋势,在加密勒索基础上,数据泄漏勒索增加。原来勒索软件加密文件,不给赎金,勒索不给解密密钥。现在的勒索软件团伙,不仅仅是加密数据,还会盗窃数据。勒索团伙的目的很明确,就是索取赎金。如果不给赎金,他会利用把数据放到暗网售卖的方式进行威胁,数据泄漏勒索方式逐渐增加。

第三个趋势,勒索软件对制造企业的攻击成增长趋势。其中原因包括两点:一是制造型企业的安全防护不到位,很多工业控制主机的系统,比较老旧,容易击破;二是制造型企业支付赎金的意愿比其他行业高。制造型企业的生产线一旦受到影响,日均损失将相当严重。为了减少停工停产的影响,制造企业不得已选择支付赎金,尽快恢复生产,减少损失。

勒索软件入侵途径

勒索软件的入侵有多个途径,以RDP暴力破解、钓鱼邮件和软件漏洞为主要方式。2020年初,由于新冠疫情原因,远程办公成为主要的办公方式,远程桌面和VPN的广泛使用,让众多设备暴露在互联网上。系统如果未采用双因素认证(2FA),就有可能被暴力破解攻击。

图:COVEWARE-勒索软件攻击方式

第二大类型是钓鱼邮件,也叫做鱼叉攻击。邮件中有URL链接,或者附件存在恶意代码,一旦不小心打开设备就会感染。

第三大类型是互联网上开放的系统或者软件存在漏洞。攻击者通过定向扫描,或者查询公开的网络威胁情报进行踩点,发现存在漏洞的系统,尝试攻击,进入后再横向移动,逐步控制整个系统,再展开数据窃取和勒索加密的操作。

勒索软件安全解决方案

针对勒索软件的入侵方式,单一的产品不能阻止勒索软件的入侵。需要综合的系统的解决方案。9455澳门新葡萄娱乐场官网版推出“三阶六步”的解决方案对抗勒索软件。“三阶”是指事前、事中、事后三个阶段,“六步”指的是事前做好准备、备份和防护,事中做检测和缓解,事后做响应和还原六个步骤。

 

事前:准备和防护

事前的准备和防护是最重要的步骤。防护需要围绕着勒索软件的初始进入来展开。在终端、网络、邮件等系统上,部署防护和过滤安全措施。并且,在提高员工意识培训,数据备份,应急响应等角度做充分的准备工作。

1)减少互联网暴露面,定期安全漏洞检查和加固,及时更新系统和应用补丁。需要检查暴露在互联网上设备清单,这些系统开放端口和应用的漏洞情况,做到非必要不开放,开放的服务需要多因素认证(MFA),并且保证系统和应用的版本最新。对于远程办公场景,在家办工的员工,需要访问公司或者云端的应用,可以考虑零信任安全解决方案;

2)部署终端安全产品。终端防病毒系统,EDR软件等;

3)部署邮件过滤产品。过滤垃圾邮件,钓鱼邮件,对于高级持续威胁,考虑部署邮件沙箱产品,检测和过滤鱼叉邮件,过滤伪装的未知威胁的附件;

4)企业定期组织安全意识培训;

5)准备勒索应急响应流程,提前规划一旦出现勒索病毒事件的缓解措施和业务恢复流程;

6)数据备份。备份坚持“3-2-1”原则,即有3份备份,分布在2个地方,并且1个是离线的备份。在线的备份系统,避免使用CIFS或者NFS等简单网络共享协议,避免勒索软件加密备份系统上的数据。对备份系统也需要格外保护,防止攻击者删除备份数据。

事中:检测和缓解

事中阶段指的是,一旦勒索软件进入企业网络系统,如果能在第一时间发现,也可以避免更大的损失。对感染的主机,需要及时隔离,避免勒索软件感染更多的主机。这个阶段利用终端部署EDR,网络层面部署NDR、NTA等检测系统,加上威胁情报输入,能够及时发现入侵的蛛丝马迹,隔离受影响主机。同时,SOAR的方案,在威胁分析的基础上自动的执行隔离切断操作。

事后:响应和还原

在事后阶段,要进行应急响应和业务恢复。根据事前做的应急响应流程,按照步骤开展工作。调研“零号病人”,即最初被感染的是哪台设备,遭到什么方式入侵,感染的是哪种类型的勒索软件以及感染的范围等。事后调查的目的,是为了不再出现勒索事件。

当下的勒索软件,与之前的WannaCry勒索相比,有了很大的变化。勒索软件威胁,利用了系统漏洞、密码偷窃、数据泄漏等高级持续性的特点。这要求企业网络安全负责人,转变思维,重视勒索软件风险。参考9455澳门新葡萄娱乐场官网版“三阶六步”的整体防御、纵深防御思路,在事前阶段,围绕阻断勒索软件的初始渗透路径上做好防护,以“3-2-1”原则进行数据备份,防范于未然,有效消除勒索软件风险。

 

参考文章:

1. 《2020互联网安全事件观察报告》--9455澳门新葡萄娱乐场官网版

2. 微软:减少勒索软件的风险

https://www.microsoft.com/security/blog/2020/04/28/ransomware-groups-continue-to-target-healthcare-critical-services-heres-how-to-reduce-risk/

3. COVEWARE:2020年Q3勒索软件统计报告

https://www.coveware.com/blog/q3-2020-ransomware-marketplace-report

<<上一篇

这封致谢信背后,是9455澳门新葡萄娱乐场官网版打造网络安全防护“金钟罩”的不懈追求

>>下一篇

技术创新 守护未来|9455澳门新葡萄娱乐场官网版政务云安全防护案例入选安全牛私有云报告

您的联系方式

*姓名
*单位名称
*联系方式
*验证码
提交到邮箱

购买热线

  • 购买咨询:

    400-818-6868-1

提交项目需求

欢迎加入9455澳门新葡萄娱乐场官网版,成为我们的合作伙伴!
  • *请描述您的需求
  • *最终客户名称
  • *项目名称
  • 您感兴趣的产品
  • 项目预算
您的联系方式
  • *姓名
  • *联系电话
  • *邮箱
  • *职务
  • *公司
  • *城市
  • *行业
  • *验证码
  • 提交到邮箱

服务支持

智能客服
智能客服
购买/售后技术问题
盟管家-售后服务系统
盟管家-售后服务系统
在线提单|智能问答|知识库
支持热线
支持热线
400-818-6868
9455澳门新葡萄娱乐场官网版社区
9455澳门新葡萄娱乐场官网版社区
资料下载|在线问答|技术交流

© 2024 NSFOCUS 9455澳门新葡萄娱乐场官网版 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证110355号

XML 地图