1+2+3體系化防禦能力|綠盟科技定向勒索攻擊防護解決方案讓你不再"談虎色變"

綠盟科技發表於2021-10-29

01序言

各行各業在數字化轉型程式中時刻都在產生著資料。資料已經成為第五個關鍵生產要素,承載著企業的智慧財產權、商業秘密,甚至國家政治經濟資訊,像 “血液”一樣滋養著數字經濟的發展。隨著《網路安全法》《資料安全法》的頒佈實施,我國網路安全建設已經進入有法可依的時代,網路安全法制體系逐步健全,保障資料資產安全、防範勒索攻擊成為國家網路安全保障的重要議題。

02勒索攻擊演進的兩大趨勢    

  • 低門檻與高收益

勒索攻擊能如“野草”般肆意生長,主要原因一方面勒索攻擊的門檻越來越低,各種簡單易用的程式語言簡化了勒索軟體的編寫過程;同時,勒索攻擊服務化模式的出現,可以使攻擊者以購買服務的方式利用勒索軟體開發者精心準備的勒索攻擊服務方案,從發起勒索攻擊到收取贖金都不需要任何高深的專業知識,就可以完成一次收益頗豐的非法勾當。另一方面是勒索攻擊進行加密的手段複雜、解密成本高,使用電子貨幣支付贖金,變現快、收益高、追蹤難。

  • 定向性與高損傷

勒索攻擊朝著定向性、複雜性加速“進化”,演化出針對關鍵基礎設施等高價值目標的定向勒索,藉助APT技術對重點目標進行隱匿而持久的網路入侵,尋找特定的高價值伺服器目標。企業不僅遭受資料被非法加密還要防範敏感資料洩漏,其帶來的危害損傷遠不止贖金造成的經濟損失,對於生產製造企業更是面臨生產業務中斷、資料損毀或商業聲譽受損等機會成本方面的損失,甚至給國家帶來社會不穩定等多方面的影響。

03 構建1+2+3體系化防禦能力    

1個安全防禦框架

勒索攻擊從WannaCry爆發走進了大眾視野,至今四年的時間裡勒索軟體衍生出了多個變種,持續對全球網路安全造成威脅,不斷有國際知名企業被勒索的案件發生,贖金也持續重新整理紀錄。勒索攻擊雖然無解,但是我們根據攻擊者實現網路滲透的手段和路徑建立起以評估、防護和響應為核心的安全防禦框架。

1+2+3體系化防禦能力|綠盟科技定向勒索攻擊防護解決方案讓你不再"談虎色變"

圖 1 定向勒索攻擊安全防禦框架

2項常態化安全管理

常態化網路安全風險評估,這是一個摸清家底的過程。在評估前確定評估目標和範圍;透過風險識別釐清資訊資產,梳理資料在不同資訊系統或裝置間的流動方向,摸清攻擊者橫向移動的可能路徑,識別關鍵風險點;開展安全風險分析,輸出資產面臨的風險,分析關鍵業務、關鍵系統及其依賴關係,分析各類風險可能造成的影響;風險處置階段確定應急響應的優先順序,並開展系統安全加固工作。

1+2+3體系化防禦能力|綠盟科技定向勒索攻擊防護解決方案讓你不再"談虎色變"

圖 2 網路安全風險評估框架

常態化勒索攻擊應急響應演練,針對重要資訊系統,制定勒索攻擊應急響應預案和恢復方案,明確應急人員與職責,在實際演練中不斷提高人員網路安全意識,透過分析攻擊入侵途徑,及時發現並加固堵塞安全防護漏洞。當檢測到遭受勒索攻擊後,啟動應急響應,阻斷勒索攻擊路徑,確認勒索攻擊影響範圍,消除被攻陷主機上的勒索軟體,啟用備份資料進行恢復,總結網路安全短板並及時修補。

1+2+3體系化防禦能力|綠盟科技定向勒索攻擊防護解決方案讓你不再"談虎色變"

圖 3 定向勒索攻擊演練與應急響應框架

3道安全防禦陣線

網際網路安全防線、內網終端安全防線和資料備份安全防線構建起應對勒索攻擊入侵、橫向移動、資料竊取和資料加密勒索四大典型環節的3道縱深防禦陣線。

1+2+3體系化防禦能力|綠盟科技定向勒索攻擊防護解決方案讓你不再"談虎色變"

圖 4 定向勒索攻擊路線與防禦陣線

構建網際網路安全防線, 針對將勒索軟體偽裝成設計圖紙、訂單等重要文件的釣魚郵件,透過郵件安全閘道器(SEG)和郵件高階威脅防護系統(TAC-E)對已知和未知的勒索軟體進行識別和阻斷。針對透過網際網路邊界發起的入侵行為,利用網路入侵防護系統(NIPS)對攻擊者漏洞利用和惡意樣本投遞的行為進行檢測、告警和阻斷。針對攻擊者竊取資料後非法外發的網路流量,透過網路流量分析系統(NTA)識別流量資料中存在的異常行為,掌握異常流量成分、來源等資訊。

鞏固內網終端安全防線,針對攻擊者在內網中潛伏、掃描和擴散等攻擊行為,透過一體化終端安全管理系統(UES)檢測網路中各個裝置可能造成威脅的異常行為,藉助本地資產資訊識別,與安全評估系統(RSAS)進行聯動分析,及時掌握裝置的安全脆弱性。應用高階威脅狩獵系統(ATH)佈置蜜罐誘餌主機、網路服務等對攻擊者進行欺騙,從而對攻擊行為進行捕獲和分析,實現更有效的攻擊檢測和威脅防護。結合智慧安全運營平臺(ISOP)對網路威脅實時感知,對各類安全資訊與威脅情報進行關聯分析,結合專業人員的安全運營,在勒索攻擊爆發前快速發現、預警和阻斷。

夯實資料備份安全防線,資料備份被認為是當前企業機構防禦勒索攻擊的有效做法之一,透過定期對IT和OT系統資料採取線上和離線兩種備份方式,應用至少兩種不同的備份介質,以便在發生勒索攻擊事件時,能夠及時恢復相應資料,降低業務應用中斷造成的影響。

防禦部署

為了有效提高企業應對勒索攻擊的防護能力,針對企業內部管理網和生產控制網分別進行安全防禦部署。在內部管理網的網路接入區、DMZ區、資料中心區、資料備份區、內網終端區和安全管理區分別部署勒索攻擊防護產品,及時檢測、告警和阻斷攻擊行為。對生產控制網路,部署工控安全防護產品,實現生產控制網路異常感知、處置策略下發,保障生產業務連續和穩定。

1+2+3體系化防禦能力|綠盟科技定向勒索攻擊防護解決方案讓你不再"談虎色變"

圖 5 定向勒索攻擊防護部署圖

04 總結    

綠盟科技定向勒索攻擊防護解決方案針對勒索攻擊全流程(網路入侵、橫向移動、資料竊取、資料加密)都採用針對性防護產品,實現了體系化縱深防禦與橫向預防及應急處置的有效閉環。

對於企業進行相應的網路安全建設並不是從零開始,看似龐大的網路安全產品資金投入實質上只需要針對企業現有網路安全體系進行“查漏補缺”。企業網路中已經部署了入侵防禦、郵件安全閘道器、集中安全管控平臺等安全產品,只需要透過安全運營充分發揮這些已有產品的作用,再新增郵件高階威脅防護系統、一體化終端安全管理系統和資料備份系統等產品就能夠補齊安全短板,有效應對勒索攻擊帶來的安全威脅。

相關文章