什么是勒索攻击?勒索攻击到底该怎么防御?

时间:2023-02-09

 

当前,勒索攻击、僵尸网络攻击、DDos攻击、APT攻击、挖矿攻击、供应链攻击、网站攻击、电信诈骗等各种攻击手段层出不穷。勒索攻击应该是今年网络安全行业讨论最多的话题,勒索钱财或者窃取商业数据是黑产最主要的目的。全球几乎所有国家的政府、金融、教育、医疗、制造、交通、能源等行业均受到影响。在不久前闭幕的 G20 峰会上,中美俄甚至携手 15 国共同举行了以防范勒索攻击为主题的网络安全演习。基本上有互联网的地方就可能存在勒索攻击。勒索攻击已经成为未来一段时期各大企业网络安全的主要威胁。黑客善于利用各种伪装达到入侵企业的目的,任何一个经过包装的垃圾邮件、网页广告、系统漏洞、U盘等都可能让企业的安全防护功亏一篑。据某安全公司统计,我国其每年接到并处理的勒索攻击事件依然多达4000余,受害企业面临着重要数据资产被盗和泄漏的严重后果,轻则造成业务停顿,重则被迫缴纳巨额赎金。勒索攻击泛滥的一个主要原因在于,RaaS(Ransomware as a Service,勒索即服务)模式大幅降低了攻击团伙的技能门槛,而上下游协同又进一步促进了勒索软件的技术发展。勒索软件技术发展主要有三大特点:对抗性高:从大多数勒索攻击全过程来看,黑客分阶段使用了加密、免杀、逃逸等技术,对抗能力不断提高。勒索攻击 APT 化:勒索攻击团伙更具耐心,为获取有价值资产,其入侵与渗透过程甚至可长达数周乃至数月,这与 APT 攻击特点趋同。静态防御见效难:针对勒索攻击各阶段攻击手法,单一安全产品很难完整覆盖,静态依靠规则检测的防御手段越来越难防范勒索攻击。面对勒索攻击技术的不断发展,目前有效的防御手段主要包括攻击面收敛。网络攻击无孔不入,攻防双方真正的较量从入侵环节开始。勒索攻击通常采用 RDP 爆破、僵尸网络与 Web 渗透(典型如漏洞利用)网络钓鱼、等方式入侵,其中 RDP 爆破与网络钓鱼是主流入侵手段,但勒索攻击软件也正快速集成并丰富 Web 渗透等入侵技术。要防范被入侵,首先要做好攻击面收敛与管理,尽可能减少暴露资产。那么就要求企业进行更精细的资产管理,杜绝存在弱密码的操作系统账号、开放端口、不当配置等;同时企业也需要实时检测各类操作系统、中间件及上层应用漏洞信息,及时更新补丁,避免被黑客利用。还要从攻击者视角去审视企业存在的攻击面与入侵路径,比如可以通过使用红队评估服务,让企业安全状态保持在一个较高水准。全面的攻击面管理与收敛可以尽量避免入侵,但并不能完全杜绝,毕竟业务正常运行,为用户提供服务,互联网之上的数字资产必不可少。入侵并不可怕,只要在事中能及时阻断攻击,同样能保护企业数字资产安全。事中检测响应勒索团伙攻击所使用的工具是勒索软件,无论其攻击技术多么高明,都必须依仗恶意软件来完成攻击。而不同勒索团伙所使用的恶意软件功能大致相同,比如弱口令爆破工具、横移工具、内网探测工具、凭据窃取工具、勒索主体软件等。如果能在恶意软件写入主机硬盘时就响应,就可以很大程度上阻断勒索攻击的后续过程。然而,每种类型工具都有相应的变体软件,有的甚至还可能使用了移除特征码、加密、免杀、逃逸等技术,那么单一检测工具就很难完全抵御勒索攻击。那么威胁情报可以帮助企业更高效地应对勒索攻击等新型威胁,事件聚合一些高明的黑客攻击能绕过基于规则的静态检测技术,但黑客攻击的行为特征却不会改变,一定会产生异常行为,比如提升权限、关闭安全软件、删除文件等。那么通过行为特征检测(IOA)理论上是可以有效检出高明、隐蔽的黑客攻击的。不过大多数都行为特征检测都是单点检测,也就是告警孤立、缺乏上下文联系,需要人工二次研判,但是面对成百上千台,乃至上万台主机的异常行为告警,很容易被告警淹没,从而 “抓不住” 真正有价值的告警。但如果以事件为维度统一查看、处理威胁,便可以有效的解决告警基数大、误报多、不可读的问题。最后,企业想要构建有全面威胁应对能力的整体网络安全防护体系,还需要系统性建设思维,比如企业办公网已经日渐成为黑客最频繁利用的风险点,终端安全建设的重要性日渐突出,不可忽视。


联系老师 微信扫一扫关注我们 15527777548/18696195380 在线咨询
关闭