無懼勒索攻擊風(fēng)暴 詳解亞信安全「方舟」計劃

當(dāng)前勒索病毒全球肆虐，勒索病毒攻擊已成為網(wǎng)絡(luò)安全最大威脅，并已形成大量分工細(xì)致、專業(yè)化、職業(yè)化的勒索團(tuán)體組織。在此背景下，亞信安全在9月20日召開「全面勒索治理即方舟計劃」發(fā)布會，基于“現(xiàn)代勒索攻擊團(tuán)伙就是APT組織”的最新威脅研判，詳細(xì)介紹了「方舟」計劃的“全貌”，同時全面解讀了勒索治理的最新理念與解決方案。

勒索病毒演進(jìn)加速，與APT攻擊“合體”

勒索軟件的“鼻祖”誕生于1989年，而在那個互聯(lián)網(wǎng)的“蠻荒”時代，攻擊者還沒有找到高效且“安全”的敲詐方法。時代變遷，從“星星之火”發(fā)展到今天的“燎原烈焰”，勒索攻擊造成經(jīng)濟(jì)損失甚至超過一些國家的年GDP總量：據(jù)全球知名威脅情報機(jī)構(gòu)RiskIQ數(shù)據(jù)統(tǒng)計，每1分鐘就有6家單位遭受勒索攻擊，全年超315萬家單位被勒索，每分鐘因網(wǎng)絡(luò)安全導(dǎo)致的損失高達(dá)180萬美元，全年超過6萬億人民幣。

歷經(jīng)數(shù)年演化，勒索病毒經(jīng)歷了與比特幣支付方式結(jié)合、與釣魚郵件結(jié)合、攻擊目標(biāo)轉(zhuǎn)向大型政企、與蠕蟲木馬結(jié)合、出現(xiàn)RaaS服務(wù)、數(shù)據(jù)泄露與多重勒索等多個發(fā)展階段，無論從攻擊形式、攻擊技術(shù)、勒索形式等都發(fā)生了翻天覆地的變化，并形成了產(chǎn)業(yè)化發(fā)展態(tài)勢，勒索攻擊已經(jīng)成為網(wǎng)絡(luò)安全的最大威脅。勒索病毒攻防的矛盾博弈日益激烈，然而大量“堆砌”的安全產(chǎn)品和零散部署的安全檢測技術(shù)卻無法與之對抗。

北京郵電大學(xué)網(wǎng)絡(luò)空間安全學(xué)院教授、副院長彭海朋表示：“勒索病毒的攻擊能力十分驚人，一方面勒索病毒的作者在延續(xù)開發(fā)周期，其制作新變種的更新速度和攻擊方式變化極快，加強(qiáng)軟件彈性、駐留能力、無文件、免殺逃逸等額外功能也將成為勒索病毒的標(biāo)配。另一方面，RaaS的攻擊形式進(jìn)一步增強(qiáng)了攻擊的隱蔽性，且勒索攻擊已由個人或單個黑客團(tuán)伙攻擊轉(zhuǎn)向?qū)蛹壏置鳌⒎止っ鞔_的黑色產(chǎn)業(yè)活動，勒索行為日益專業(yè)化?！?/p>

亞信安全副總裁徐業(yè)禮在分享對現(xiàn)代勒索態(tài)勢分析及研判中談到：勒索病毒已經(jīng)正式進(jìn)入到2.0時代——勒索團(tuán)伙APT化。

【傳統(tǒng)勒索與現(xiàn)代勒索的區(qū)別】

現(xiàn)代勒索攻擊的轉(zhuǎn)變升級主要體現(xiàn)在作戰(zhàn)模式、攻擊目標(biāo)和勒索方式上。首先，勒索即服務(wù)RaaS（Ransomware-as-a-Service）的興起使得勒索的作戰(zhàn)模式從傳統(tǒng)的小型團(tuán)伙單兵作戰(zhàn)，轉(zhuǎn)變?yōu)槟K化、產(chǎn)業(yè)化、專業(yè)化的大型團(tuán)伙作戰(zhàn)，其造成的勒索攻擊覆蓋面更廣，危害程度顯著增加；其次，對于勒索攻擊的目標(biāo)，也從過往的廣撒網(wǎng)蠕蟲式攻擊升級成為針對政府、關(guān)鍵信息基礎(chǔ)設(shè)施、各類企業(yè)的定向攻擊；另外，從勒索方式來看，現(xiàn)代勒索攻擊已經(jīng)從傳統(tǒng)的支付贖金恢復(fù)數(shù)據(jù)的勒索方式，演化為同時開展雙重勒索，甚至三重勒索。

值得關(guān)注的是，勒索病毒已經(jīng)完全符合了網(wǎng)絡(luò)安全行業(yè)對于APT組織的認(rèn)定標(biāo)準(zhǔn)：

1． 幾乎所有的勒索攻擊都基于經(jīng)濟(jì)目的；

2． 所有的勒索攻擊都是潛伏的，多階段的持續(xù)性攻擊；

3． 現(xiàn)代勒索攻擊主要是針對企業(yè)組織的定向攻擊；

4． 勒索的攻擊方式多樣，包括魚叉攻擊、商品化與定制化惡意軟件、遠(yuǎn)端控制工具，漏洞利用等。

勒索團(tuán)伙APT化，讓現(xiàn)代勒索威脅表現(xiàn)出更強(qiáng)的攻擊性、更好的隱蔽性、更高的達(dá)成率，更大的危害性，這無疑將對目標(biāo)造成降維打擊。

三大核心賦能，「方舟」正式啟航

勒索團(tuán)伙APT化，還意味著，一旦失守，便會陸續(xù)承擔(dān)運(yùn)營停滯、知識產(chǎn)權(quán)損失、名譽(yù)損失、經(jīng)濟(jì)損失，甚至是法律的懲戒。是繳納贖金，還是提早防范，有效應(yīng)對？

【亞信安全「方舟」引領(lǐng)勒索威脅治理新模式】

針對現(xiàn)代勒索威脅持續(xù)猛烈的攻勢，能夠有效遏制勒索團(tuán)伙APT攻擊的最新勒索威脅防護(hù)體系——亞信安全「方舟」正式推出。以治理理念為指引，以產(chǎn)品技術(shù)為基礎(chǔ)，以安全服務(wù)為支撐，三位一體的亞信安全「方舟」將引領(lǐng)勒索治理進(jìn)入全新模式，并依此形成全鏈條、立體化的勒索治理合力。

亞信安全高級副總裁兼首席營銷官馬紅軍表示：“亞信安全「方舟」提供了從勒索攻擊發(fā)現(xiàn)到響應(yīng)，再到恢復(fù)的全鏈條綜合治理體系，幫助用戶提早發(fā)現(xiàn)隱患、及時封堵攻擊、避免二次勒索，最大化降低客戶受勒索攻擊風(fēng)險和影響?！?/p>

據(jù)悉，亞信安全提供了三大核心能力賦能方舟治理：

勒索體檢中心：亞信安全運(yùn)營團(tuán)隊通過部署端點(diǎn)及網(wǎng)絡(luò)探針，對勒索攻擊進(jìn)行全面排查分析，幫助客戶防范在前，早發(fā)現(xiàn)、早預(yù)警、早研判、早處置。利用最新的勒索威脅情報進(jìn)行數(shù)據(jù)碰撞，確認(rèn)企業(yè)環(huán)境中是否存在勒索行為，將勒索攻擊爆發(fā)風(fēng)險降至最低。

全流程處置機(jī)制：亞信安全「方舟」覆蓋了勒索病毒攻擊治理響應(yīng)的全流程，依照攻擊發(fā)生的狀態(tài)，協(xié)助用戶建立勒索防護(hù)策略、勒索攻擊事前防護(hù)、勒索攻擊識別阻斷方法，以及勒索攻擊應(yīng)急響應(yīng)。

現(xiàn)代勒索治理解決方案：基于亞信安全成熟的XDR技術(shù)，現(xiàn)代勒索治理方案可全面覆蓋勒索病毒的攻擊鏈，通過“事前預(yù)防、事中處理、事后掃雷”三大手段，構(gòu)建立體化、平臺級的運(yùn)營防護(hù)能力。

據(jù)了解，目前已經(jīng)有行業(yè)用戶通過亞信安全勒索體檢中心對IT環(huán)境進(jìn)行安全測評，針對潛藏勒索威脅風(fēng)險獲得了針對性的安全治理規(guī)劃和建議。同時，亞信安全也配備了覆蓋全國 31個省市服務(wù)網(wǎng)絡(luò)，通過安全服務(wù)工程師等構(gòu)成的本地團(tuán)隊，以及云端安全運(yùn)營專家、病毒樣本專家、威脅情報專家的總部團(tuán)隊，協(xié)助企業(yè)確認(rèn)環(huán)境中是否有勒索行為，一同將勒索攻擊爆發(fā)風(fēng)險降至最低。

全鏈條、全流程，勒索威脅治理全景展示

亞信安全副總裁劉政平介紹：“勒索病毒攻擊可以分為6個階段，包含初始入侵、持續(xù)駐留、內(nèi)網(wǎng)滲透、命令控制、信息外泄、執(zhí)行勒索，而單一防御安全體系很難對這種有別于傳統(tǒng)病毒的‘殺傷鏈’發(fā)揮作用?！?/p>

例如：現(xiàn)代勒索攻擊團(tuán)伙在入侵后會潛伏幾天、幾周甚至數(shù)月，他們在真正運(yùn)行勒索病毒加密刪除文件之前，都會偷偷尋找有價值的文件或數(shù)據(jù)，并將其外傳。另外，在勒索加密代碼真正啟動之前，一般都會進(jìn)行免殺處理，以此讓防毒軟件失效。

亞信安全首席研發(fā)官吳湘寧提到：“由于勒索攻擊深度結(jié)合APT攻擊技術(shù)手段，要解決各種來源的威脅情報雜亂無章，安全團(tuán)隊缺乏完整的威脅可見性、應(yīng)急響應(yīng)流程 ‘紙上談兵’等問題，勢必需要XDR這樣的聯(lián)動方案，從威脅的檢測、控制，再到威脅狩獵、調(diào)查、歸因等整體聯(lián)動防御，方能產(chǎn)生更好的效果?！?/p>

【勒索病毒治理聯(lián)動全景圖】

為此，亞信安全根據(jù)勒索攻擊6個階段的不同特點(diǎn)，推出以XDR技術(shù)為核心的現(xiàn)代勒索病毒治理解決方案，從服務(wù)能力、產(chǎn)品能力逐層向上提供支撐，通過終端、云端、網(wǎng)絡(luò)、邊界、身份、數(shù)據(jù)的檢測與響應(yīng)（目前引擎可洞察72個勒索攻擊的檢測點(diǎn)），以及威脅數(shù)據(jù)、行為數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、身份數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)等的聯(lián)動分析，形成了針對勒索病毒治理全鏈條，覆蓋“事前、事中、事后”運(yùn)營處置，為貫穿勒索病毒事件應(yīng)急響應(yīng)全流程的關(guān)鍵動作提供了支撐。

【勒索病毒治理解決方案】

事前——風(fēng)險排查

事前風(fēng)險排查是應(yīng)對勒索病毒攻擊最可行手段，因?yàn)槠渫ㄟ^現(xiàn)代密碼學(xué)實(shí)現(xiàn)高強(qiáng)度數(shù)據(jù)文件加密，理論上通過現(xiàn)有技術(shù)幾乎不可能破解。亞信安全勒索體檢中心提供了分行業(yè)、場景和需求，定制化的專項體檢服務(wù)，例如：網(wǎng)絡(luò)資產(chǎn)大盤點(diǎn)、網(wǎng)絡(luò)流量勒索體檢、威脅情報告警分析、高危失陷主機(jī)確認(rèn)、EDR端點(diǎn)勒索體檢服務(wù)、IOA與IOC熱點(diǎn)事件與勒索情報碰撞后的高危主機(jī)評估、云主機(jī)安全勒索體檢服務(wù)、終端安全勒索體檢服務(wù)等。

事中——應(yīng)急處置

亞信安全方舟覆蓋了勒索病毒攻擊治理響應(yīng)的全流程，具體包括：初始響應(yīng)階段、遏制階段、分析階段、補(bǔ)救措施階段、恢復(fù)階段、事后分析會議，并通過資深安全專家組成的網(wǎng)絡(luò)安全服務(wù)，加速應(yīng)對勒索攻擊的響應(yīng)效率，減輕因勒索攻擊導(dǎo)致的企業(yè)資產(chǎn)損失。

【勒索攻擊事件應(yīng)急響應(yīng)流程】

事后——掃除威脅

現(xiàn)代勒索攻擊是一個集合了多種常見攻擊方式的綜合性攻擊，同時具備了針對性、持久性和隱藏性的特點(diǎn)。因此，它可以通過Web進(jìn)行攻擊，可以通過電子郵件傳遞攻擊，也可以通過操作系統(tǒng)和應(yīng)用程序的漏洞來攻擊，并且還可以通過人工社交攻擊在企業(yè)內(nèi)網(wǎng)端點(diǎn)上潛伏下來，讓人防不勝防。

為此，針對事后可能出現(xiàn)的二次攻擊，方舟提供了全鏈路智能行為與內(nèi)容變化追蹤，對批量數(shù)據(jù)竊取及高度隱蔽性異常訪問等惡意行為進(jìn)行智能安全分析，高效識別各類已知與未知的攻擊，同時利用EDR強(qiáng)大的檢測能力及威脅情報能力，定期、主動對端點(diǎn)上潛藏的威脅進(jìn)行隔離，掃清“雷點(diǎn)”。

平臺為先，筑牢新一代威脅治理屏障

目前，我們所面對的是現(xiàn)代勒索已經(jīng)成熟的 “產(chǎn)業(yè)鏈”，他們不僅包括了上中下游的勒索病毒開發(fā)者、勒索執(zhí)行者，還應(yīng)運(yùn)而生出贖金談判和贖金代管者，不法分子的相互協(xié)作配合，共同瓜分勒索收益，大大降低了攻擊實(shí)施的技術(shù)門檻。

亞信安全總裁陸光明表示：“發(fā)展與安全，是數(shù)字化時代的一體兩面。亞信安全提出了以安全平臺為抓手，打造‘產(chǎn)品+平臺+服務(wù)’完整閉環(huán)的發(fā)展戰(zhàn)略，真正做到為客戶建立整體性防御體系，提升客戶安全防御能力。‘平臺為先’的原則不僅可以讓碎片化的安全能力融入一體，變成系統(tǒng)性、可全局聯(lián)動的原生免疫系統(tǒng)，更能將復(fù)雜的管理問題，化解成極簡與智能的威脅治理運(yùn)營平臺?！?/p>

在此全局戰(zhàn)略下，亞信安全針對現(xiàn)代勒索攻擊推出的方舟計劃，將有助于用戶提前找到潛伏的威脅，通過多源情報攝取、關(guān)聯(lián)和安全行動，全面了解勒索團(tuán)伙發(fā)動的APT攻擊手段和途徑，最大限度地規(guī)避勒索攻擊風(fēng)險。

亞信安全方舟勒索體檢中心目前已全面上線，訪問下方鏈接，可了解體檢中心詳情，并開始網(wǎng)絡(luò)安全健康檢查：

https://page.ma.scrmtech.com/cyy-form/index?pf_uid=17105_1758&id=14897&main_id=17105&wx_id=1758&channel=6762

生成海報

免責(zé)聲明：此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評論性文章，所有文字和圖片版權(quán)歸作者所有，且僅代表作者個人觀點(diǎn)，與極客網(wǎng)無關(guān)。文章僅供讀者參考，并請自行核實(shí)相關(guān)內(nèi)容。投訴郵箱：editor@fromgeek.com。

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。