企业防勒索病毒安全解决方案
一、方案应用背景
勒索病毒是指:黑客通过锁屏、加密文件等方式劫持用户文件数据,并敲诈用户钱财的恶意软件,利用恶意代码干扰中毒者的正常使用,只有交钱才能恢复正常。自2017年5月WannaCry勒索病毒爆发以来,在短时间内大范围传播,给企业、高校、医院机构、公共基础设施造成了严重后果。硅谷网络风险建模公司Cyence的首席技术长George Ng称,仅“永恒之蓝”网络攻击造成的全球电脑死机直接成本总计约80亿美元。中国是勒索病毒攻击受害最为严重的国家之一,WannaCry勒索病毒爆发时仅一天时间,国内有近3W机构被攻击,覆盖至全国各地,其中教育、医疗、大型企业是国内被攻击最为严重的三大行业。
时隔一年后的2018年,勒索病毒威胁犹存。据相关机构统计,Globelmposter、Crysis、GandCrab、Satan是2018年上半年最为活跃的四大勒索病毒家族,传播量占到上半年勒索病毒传播总量的90%以上。今年七月,针对Windows 服务器的勒索病毒“撒旦”开始对大批企业服务器发起攻击,病毒会将计算机中的数据库文件进行加密,同时还具备二次传播能力,有可能入侵局域网内的其他机器。专家预测,由于利润丰厚、追踪困难等原因,未来各种勒索软件的攻击将会更为频繁,杀伤力也更大。
二、方案应对方法
针对持续爆发的勒索病毒,应当通过构建起从事前到事后全周期、全方位的安全防护体系,帮助各企事业单位及国家关键信息基础设施部门抵御勒索病毒的侵害。
在事前,从传播、加密、扩散三条路径对勒索病毒进行监测,并从网络异常、入侵、多引擎病毒、威胁变种基因等多方面进行分析检测,对未知威胁,采用沙箱检测方式,检测涵盖已知未知高级威胁,检测结果以预警方式发布,建立未知威胁预警体系。
勒索病毒有以下传播方式:
1、通过邮件附件进行传播;
2、通过钓鱼邮件进行群发下载URL传播;
3、企业用户在恶意站点下载病毒文件进行传播;
4、通过浏览器漏洞(网页挂马)进行传播;
就爆发的WannaCrypt勒索病毒来看,勒索病毒使用是通过随机生成的AES密钥、使用AES-128-CBC方法对文件进行加密,然后将对应的AES密钥通过RSA-2048加密,再将RSA加密后的密钥和AES加密过的文件写入到最终的.WNCRY 文件里。简而言之,就是用一个非常非常复杂的钥匙,把企业用户文件锁上了。能解开的钥匙掌握在黑客手里,而以现在的企业用户现有的计算能力,也基本没有办法强行破解。
行而有效的手段是在勒索事件的事前、事中、事后三个主要节点进行安全防护,针对勒索病毒生效的每个环节进行监控、阻止、查杀。
1.在社会工程学攻击或者黑客投递病毒前,通过部署在互
联网出口和园区网出口的高性能防火墙、入侵检测产品
进行检测。主要有两个生效功能:漏洞利用检测防护、样本投递检测防护;
2.在勒索病毒从跳板主机向内网主机感染中,利用网络交
换机中的防病毒插卡进行防护检测,防止横向扩散,并采取策略全局联动进行整体防护;
3.通过网络系统和操作系统的漏洞扫描设备针对系统和架
构的脆弱性进行定期扫描,提前发现并做好预警;
4.建立统一的网络安全平台和调度系统指挥中心安全态势
感知,感知全局感染趋势、策略联动下发、并利用威胁情报有效定位攻击事件,全方位打造自适应的安全防护能力。
为了避免类似病毒的再次入侵,企业用户通过积极地做好以下防范措施,也可以达到防护效果:
1.微软已经对部分操作系统停止安全更新,请尽快升级
操作系统到最新版本。
2.对重要文件进行定期非本地备份。
3.始终保持Windows防火墙的开启状态。
4.及时安装操作系统的最新安全更新。
5.在网络边界、防火墙设备上配置阻止访问135/137/13
9/445端口的安全策略
6.关注新华三发布的网络安全提示以及IPS特征库升级
提示
三、方案效果收益
通过专业的勒索病毒防护方案,可以有效的为企业客户打造一下能力,有效的防止勒索病毒的感染,降低企业重要数据被加密勒索的风险:
第一,强化了现有网络的基础架构,通过对内部网络进行更加精细的分段和隔离,构建内网的塔防体系。同时,通过提升对安全策略执行效果的感知能力,及时发现访问控制的疏漏,避免安全设备成为“摆设”,维持网络的结构坚固;
第二,构建统一管理平台和安全态势感知系统,加强安全设备维护管理,依靠自动化、半自动化的手段提升应急处置的效率与准确性,企业用户可以降低运维管理、应急响应的操作难度。
第三,重视持续监控,通过数据分析构建用户对于风险、威胁的发现和感知能力,针对勒索病毒感染的每个过程层层防护,主动出击,把企业“被动响应”的安全防护能力向“积极防御、自适应防御”持续迈进。
