《企业勒索软件防护应用指南》报告发布

发布时间 2022-04-01

近年来,勒索软件攻击数量明显上升,攻击手段越来越复杂,并呈现家族式关联,这给企业数字化转型发展带来了严峻的安全风险和经济损失。随着勒索攻击模式的组织化、规模化、商业化发展,传统安全防御模式已经很难有效应对。

为了帮助企业更好地应对勒索软件攻击,构建完善的勒索防护体系,安全牛通过访谈调研十余家甲方企业的信息安全管理者,并从技术先进性、产品成熟度和综合服务能力等维度,征集邀请到美创科技、佰倬、安天、奇安信、安恒信息、深信服共6家勒索软件防护代表性国产安全厂商,共同发起《企业勒索软件防护应用指南》报告(以下简称“《报告》”)研究项目。3月24日,《报告》正式发布。

《报告》概述及关键发现

为切实了解勒索软件对企业的影响以及甲方用户对勒索软件的防护现状,并为用户开展勒索软件防护建设提供更真实的参考与帮助,本次《报告》以问卷调查、现场访谈和线上交流等方式开展调研,覆盖了金融行业、制造业等多个领域用户。报告调研发现,当前企业在勒索软件防护能力构建的过程中,面临的主要挑战有:

企业面临的挑战

挑战一:勒索软件防护产品需要全面满足企业防、管的需求,这对产品厂商的综合服务能力提出较高要求;

挑战二:部分企业用户对勒索软件攻击的认知还停留在加密勒索阶段,对双重勒索、三重勒索的认知不足;

挑战三:甲方企业员工安全意识薄弱是造成勒索软件进驻到系统的重要原因;

挑战四:甲方企业中专业勒索防护产品部署率较低,并且存在没有妥善利用的情况。

在网络安全领域,只要有诱人的利益,黑色产业链就会一直存在,甚至会更猖獗,勒索软件攻击也会继续生存下去。报道调研发现,勒索软件攻击和防护呈现以下发展趋势:

趋势一:随着勒索软件开源,RaaS模式涌现,这将进一步降低攻击者门槛,未来勒索软件攻击数量将进一步增加。

趋势二:勒索组织已不再满足于针对个人终端的小额勒索,定向勒索将成为需要防范的主要勒索方式。

趋势三:勒索黑产攻击期望值增加,单个攻击索要赎金及实际赎金支付数额均有所增长,勒索软件攻击造成的影响将越来越大。

趋势四:结合了数据窃取、DDoS的勒索攻击比重不断上升,双重勒索甚至多重勒索盛行。

趋势五:随着攻击手段的多元化,不断有安全技术例如抗DDoS技术、dlp技术等融合到勒索防护体系中。

趋势六:随着勒索软件已对实体空间的民计民生造成影响,未来针对勒索软件的防护将上升到综合治理层面。

《报告》关键发现

1、勒索软件攻击符合攻击链模型。勒索软件攻击依照模型进行入侵及侵害,同时又具备系统文件夹扫描、数据加密、文件频繁变更等特性,有明显的识别依据,能够依照相应的方法进行阻断。

2、攻击目标以关键信息基础设施为主。医疗行业、制造业、高科技等涉及基础民生行业成为被攻击的主要目标,其比例有所上升;高收入地区成为勒索软件攻击的主要目标地区,在全球范围内欧美更易成为攻击目标,在我国广东、江苏、浙江等地区更易成为攻击目标。

3、勒索软件攻击者能力不断增加。主流的定向勒索攻击,其攻击组织和攻击实力都向高级威胁趋同,甚至一些国家行为体也会存在勒索攻击行为,这意味着一方面勒索攻击能力提升,另一方面,我们也可以按照高级威胁框架进行能力构建。

4、信息安全厂商具备多种专业防勒索能力及产品。在对厂商进行调研后,主流的针对勒索的防护技术包括诱饵文件识别、文件状态识别、内核抢占、数据资产操作管控,基本能满足各类型数据的勒索防护需求。

产业专家观点

01 深信服勒索防护解决方案专家刘帆

在服务大量用户的过程中,我们发现从黑客视角来看,企业遭受勒索软件攻击主要分5个步骤:第一步,通过钓鱼邮件突破企业网络边界,给目标企业终端安装木马程序,并通过木马程序安装Cobalt Strike;第二步,利用Cobalt Strike进行横向渗透,获取目标企业重要服务器RDP登录凭证;第三步,通过RDP登录到目标企业服务器,利用PowerShell自动安装勒索软件;第四步,继续横向渗透更多目标企业服务器并安装勒索软件;第五步,窃取重要数据,启动加密勒索。通过对勒索软件攻击步骤的分解,深信服目前已推出有针对性的整体防御方案。

02 安恒信息终端安全产品专家何柏宜

全球勒索态势愈演愈烈,勒索病毒累计给全球带来超过1000亿美元的损失。2021年勒索产业链已经非常完善,勒索攻击更频繁、更多样、更精准、更有目的性,勒索病毒目前已成为网络安全头号威胁,每15秒就有一家企业受到侵害。传统终端安全防护机制缺乏有效的发现、处置手段,边界防护失效,终端已成为勒索防护的主战场。为应对勒索软件带来的巨大风险,我们提出应构建从勒索检测——勒索预防——勒索防御——勒索专项加固——追踪溯源——勒索响应的全流程“勒索风险处置闭环”,持续进行分析、监测、防御、响应。

03 奇安信服务体系解决方案部徐伟

勒索病毒具有传播途径多,传播技术隐蔽,病毒变种复杂,勒索产业化发展等显著特点,我们认为,有效的勒索病毒防御手段一定是尽可能地早于事故发生前检测发现异常,从而采取应对措施。而非着眼于事件发生后的补救行动。因此防御勒索病毒的思路应由“事后补救”转变为“事前防御”。即便如此,也不能确保万无一失,仍然要建立针对勒索病毒的专项应急响应体系,遏制内部资产遭投毒。同时,在遭到勒索病毒投毒后,应具备溯源定位能力,查明攻击源头,确定应对措施,固化安全经验,查漏补缺,避免事件再次发生。

04 安天产品经理周胜鑫

依靠单一手段已很难实现对勒索病毒的有效防护,难点有三:一是,新型病毒不断出现,传统病毒库检测机制逐渐失效;二是,勒索病毒加密技术快速迭代和提升,特别是在防御规避、身份仿冒、数据外渗等方面有了极大提高,这给传统主动防御机制带来极大挑战;三是,缺乏完善的端点安全防护机制,勒索软件攻击常常利用系统漏洞、弱口令等主机脆弱点进行攻击,单纯依靠病毒防御,而不从根本上加固主机,缩小受攻击面,会给主机带来很大的安全风险。我们提出建立从网络边界到端点内核的立体化防护体系,通过“环境塑造+威胁拦截+数据保护”建立多层级有效防护,不断提升用户的防护能力。

05 佰倬信息售前总监王景普

现有常见的防勒索解决方案有一些不足之处,例如:备份系统不能防范数据泄露和黑客破坏;文件加密方式不能防范攻击者的二次加密;防病毒、EDR等方式只能防范已知勒索软件,不防范黑客停服务、杀进程等恶意行为,且如果软件更新不及时其防护效果会大打折扣;防火墙、IPS防勒索软件传播等方式也只能对已知勒索软件进行防范,不能有效防范未知勒索软件。佰倬提出在计算执行环境内进行加密隔离的理念,将数据文件的最高操作权限外移,防止拥有服务器最高权限的人员或黑客提权后窃取和破坏数据文件。

06 美创科技安全实验室负责人刘隽良

为应对当前爆发式增长的勒索事件,我们提出“知白守黑、不阻断无安全”的理念,倡导使用以数据资产防护为核心、以零信任为基础的勒索病毒防护软件或解决方案,通过集合内核级别防护机制、主机防护、基线防护、威胁情报、诱捕机制、智能模型等创新技术,实时监控各类进程对数据文件的读写操作,快速识别、阻断非法进程的入侵行为,帮助政企事业单位主动抵御面临的各类病毒。

07 安全牛分析师王剑桥

定向勒索攻击与高级威胁攻击存在趋同的地方,因此安全牛参照高级威胁模型,构建了勒索防护模型。从时间维度,结合PPDR模型,从勒索软件事前防护、勒索软件识、勒索软件阻断以及勒索软件攻击应急响应进行能力构建。从空间维度,依据纵深防御模型,由内到外,多层次地进行防护能力建设,在不同位置上部署勒索防护能力。从手段维度,通过采用叠加演进模型,从整体的体系防护,到对重要数据的防护,到有针对性的勒索防护手段,进行能力的叠加。