以该视角审视防勒索,起因是上月初美国油气管道企业Colonial pipeline遭勒索攻击事件一周年,安全专家们在总结经验教训时认为,关基设施并没有想象中那么安全,事件给关基单位最重要的启示是他们的网络安全需要升级。针对勒索攻击成为主要威胁这一趋势,则需要针对性的开展相关防御部署。
此次参与《勒索攻击解决方案》访谈调研的企业是北京威努特技术有限公司(以下简称:威努特),这是一家成立于2014年的专注于工业控制系统网络安全(工控安全)产品与解决方案研究开发的创新型高科技公司。威努特于最近宣布已完成总金额超10亿元国资战略入股,可见其在工控安全领域的实力与潜在价值。
威努特是国内工控安全行业领军企业,安全419在对话威努特产品经理李之云之后,对他们的勒索攻击解决方案作出如下了解:
被勒索几乎无解 应对勒索攻击需要的是“特效药”
李之云指出,勒索软件攻击将是信息世界长期存在的威胁,造成这个问题的一个主要原因可以归咎于虚拟货币。多年之前,中本聪提出区块链概念之时绝对想象不到的是,随后几年的发展,虽然这一技术也被广泛应用于信息安全领域,但其最大的应用则是“虚拟货币”,由于技术上无法追溯其交易,也直接导致了网络犯罪的直线飙升。
勒索攻击则是这些网络犯罪当中最具代表性的那一个存在,特别是其商业模式在近年来已完全发展成熟,比如RaaS(勒索即服务)模式的勒索滥用让勒索攻击进一步泛滥。李之云强调,应对勒索软件攻击事前安全建设是唯一可行手段,因为其通过现代密码学实现高强度数据文件加密,理论上通过现有技术几乎不可能破解。
而且勒索攻击威胁还在进一步加剧,2021年勒索攻击相比2019年增长了231%,达到了惊人的6.2亿次,这意味着平均每一秒就有20次勒索攻击尝试。李之云认为,造成攻击趋势快速增长除了勒索模式完全成熟,也与全球广泛开展的数字化转型带来的更大攻击面息息相关。
“数字化转型贯穿各行各业,以工控领域关基设施为代表,此前几乎完全处于隔离状态,但随着工业互联网、数字化转型的融合加速推进,来自网络另一侧的威胁也随之而来。”同时过去勒索软件主要集中在Windows系统平台,现在也已侵害到多系统平台,加之工控系统安全建设普遍滞后,工控关基设施勒索形势已十分严峻。
在与李之云交流过程中我们发现,不同的安全厂商,对待勒索攻击会采用不同的技术路线。在威努特看来,以整套的解决方案或安全服务来解决勒索攻击固然有其优势所在,比如更加系统或更加全面,但投入过大或周期过长是落地的主要障碍,大而全的系统性解决方案并不适合所有企业。
“勒索软件攻击是一种新型威胁,需要有专用的特效药来解决。”李之云认为,对于防勒索攻击,企业侧更需要一个专用的工具和专用的产品,从而短平快地、针对性地去解决这个问题。而这种特效药的产品化能力交付给企业,其适用性也决定了企业可以更好地,更快速地以低成本的方式全面部署。
调研百款勒索软件 威努特主机防勒索系统发布 实现分阶段应对处置
据李之云介绍,近年来工控关基设施单位屡遭勒索攻击,面对该趋势,威努特综合研判认为勒索软件攻击不仅将长期存在,而且越来越多的关键行业已经拥有迫切的防御勒索攻击需求。“勒索攻击像是网络空间的新冠一样,短期内不会被消除,作为网络安全企业,就需要去解决这个问题。”
据了解,威努特在去年就立项要做一款防勒索攻击的这样一款安全产品,为了将产品能力做到商用阶段,他们做了大量的勒索软件样本分析工作,用以汇总不同勒索软件的特点。“我们前期分析了市面上流行的150多种勒索病毒样本,后期还在不断加入新样本的分析工作,用以更新安全防御策略,优化安全防御能力。”
超过百款勒索病毒样本分析工作完成之后,威努特发现,勒索软件攻击与其它网络攻击威胁最大的不同之处在于其具有自身典型特征的“杀伤链”,研发人员将其归纳为如下三个阶段:
第一阶段:被定义为感染准备阶段,包括最初攻击阶段的漏洞利用信息,以及勒索软件自身模块释放之后对环境系统及应用终止,还包括勒索病毒在内网环境的自我扩散等。
第二阶段:被定义为遍历文件加密阶段,勒索病毒在入侵之后会遍历系统文件,如果有高价值数据、文件,则进入加密环节,完成勒索前重要一步。
第三阶段:被定义为最终弹窗勒索环节,该阶段是勒索病毒的最终下发环节,意味着数据、文件已经被加密,企业如不支付赎金,数据、文件将处于不可用状态。
基于以上的前期调研工作,威努特经过一段时间的产品研发,于2022年年初发布了威努特主机防勒索系统。据李之云介绍,威努特主机防勒索系统根据汇总而得的勒索软件杀伤链模型,提供了多种安全设计,针对勒索病毒在主机侧的不同阶段分别做出针对性的技术应对。
在技术上,威努特主机防勒索系统将检测、防护、恢复三者能力做了结合,并独立生效,在勒索软件入侵主机的第一阶段,系统采用检测技术发现威胁,并及时处置;如果勒索软件绕过了第一阶段,系统在第二阶段还从多种技术手段上建立防护能力,或对系统服务、文件数据执行严密保护,从而阻断加密;如果前两个阶段全部被绕过,在第三阶段该系统还为用户提供了基于数据备份的快速恢复能力,从而为用户主机建立底层安全基线。
李之云告诉安全419,威努特主机防勒索系统在不同阶段应对勒索攻击是根据攻击行为做出准确识别,而不是基于传统防病毒产品的特征识别,其优势在于对“变种”病毒、新型勒索病毒仍具有识别能力。“如果基于病毒特征做识别,勒索病毒每次‘变种’可能都会存在空档期,造成安全绕过。”同时威努特此前在工控安全领域的经验积累也应用到了该款主机防勒索系统之上,包括不同系统平台内核级开发能力、数百个系统稳定性兼容性积累、抗注入防渗透能力等。
五大核心功能构筑主机防勒索系统多层次纵深防御能力
威努特主机防勒索系统在产品设计上为用户提供了五大安全防护能力,分别是勒索行为监测、勒索病毒诱捕、关键业务保护、核心数据保护、数据智能备份。
其中多项功能容易理解,比如监测与保护功能,稍有不同的是其更具工控安全基因,但核心做法相同,即感知一切勒索软件、恶意软件的攻击行为,从而进行干预阻断。而文件保险箱对应则是智能备份系统,该系统可实时备份系统中关键数据,并对备份数据严密保护,用以支撑勒索攻击事后的快速恢复能力。
“威努特主机防勒索系统在数据备份方面创新应用了基于信息熵差异度量方法,执行对备份数据是否被加密判断,该方法可以避免将已加密文件备份到备份区,进一步避免备份数据被污染的可能性。”根据李之云介绍我们大概可以理解为,威努特主机防勒索系统在兜底的备份功能时仍然提供着一定的检测能力,在实现备份时,仍能检测是否被勒索并阻断勒索。
安全419在本次访谈中重点了解了威努特主机防勒索系统所提供的勒索病毒诱捕能力,在这一技术应用上,该系统将在主机一侧部署大量诱饵文件。李之云举例说明,比如为系统盘部署一个名为A.xxx的文件,当勒索病毒在遍历文件时,该文件则将被勒索病毒最先遍历,理论上正常应用均不会操作该诱捕文件,所以该能力的部署则为提前洞悉加密提供支撑,从而及时终止勒索病毒。
勒索病毒诱捕采用静态、动态诱饵结合的方式来部署,并支持智能投放、智能更新,用以保障该功能不被轻易绕过,并保障已知和未知勒索病毒诱捕的有效性。静态诱饵方面较容易理解,在动态诱饵方面,系统将为应用遍历文件时提供包含多机制的诱饵文件指令函数调用反馈,如果应用试图修改诱饵文件,则会立即触发系统拦截阻断机制。
李之云表示,诱饵检测是行为检测能力的延伸,文件加密、文件遍历是勒索病毒的核心行为,一旦诱饵文件被勒索病毒检索触发,威努特主机防勒索系统将会直接杀死勒索病毒进程,从而阻断勒索病毒对后续文件的加密和破坏。
李之云强调,勒索即服务致使勒索攻击泛滥,但针对中大型企业的攻击,以及工控安全场景下的关基单位,这种勒索攻击往往具有APT属性,这就决定了单一技术手段存在被绕过的风险,威努特主机防勒索系统在产品设计上以多种技术手段组合应用、层层递进、相互交叉的方式对勒索病毒进行防范,可极大降低被勒索的风险。
另据了解,威努特主机防勒索系统还在积极推动与保险公司在网络安全险一侧上的联动,目前保险科技公司正在对该系统进行测试,李之云对通过测试保有信心。据他透露,该系统在企业一侧实际上已经通过了大量的实践检验,在多场景下均实现了百分百抵御多样本勒索攻击的能力。而通过测试之后,该系统也将成为在网络安全保险一侧对抗风险的有力工具。
如何做好勒索攻击防护? 工控场景下的防勒索重点
“在更多的场景下,勒索攻击是一典型的数据安全问题,而数据安全问题有个治本的方式,就是做好数据的日常备份工作。”在回答大多数企业如何做好勒索防护问题时李之云做出如上总结。
李之云也进一步强调了两点,第一,主流勒索攻击多采用多重勒索方式,比如威胁泄露数据,所以仅靠数据备份却忽视安全防护,显然不是企业一侧明智的选择;第二,做好备份工作也并不简单,因为勒索病毒同样会最先破坏备份数据,所以做好数据备份这件事,最好交给专业的安全工具来完成,从而保障备份数据的鲜活性和有效性。
在工控场景下的关基单位在应对勒索攻击方面,最重要的就是要考虑业务系统的连续性问题。在工控安全场景下,相关企业遭受勒索攻击带来的业务停摆和生产系统停机所带来的不确定性后果难以想象,甚至会衍生出次生灾难事件。业务连续性还在于遭到勒索攻击之后,运营企业通常很难在短时间内快速恢复。
“所以在工业场景下,相比传统IT场景在防勒索攻击方面重点要对业务进程进行保护。”威努特主机防勒索系统在应用到工业生产系统当中时,可以对工控系统进程提供保护,威努特根据长期工控安全经验积累,会为系统提供一份工业场景下需要保护的系统进程名单,阻止非可信应用终止工控系统进程运行,从而保障现场生产系统的稳定性和控制的连续性。
尾声
以上为此次我们对威努特针对勒索攻击所能提供的安全能力进行的全面了解,希望能为企业做出针对性部署防护起到借鉴和帮助作用。同时,本次系列选题还将持续更新,我们还将持续走进更多的网络安全企业,来观察他们针对不同行业、不同用户和不同环境以及技术能力之间的细节与区别,敬请持续关注。
同时我们也欢迎更多拥有同样实力的安全企业自荐,只要你的安全解决方案、能力得到我们的认可,我们的最终目的只有一个,那就是帮助我们最终企业用户,避免他们成为勒索攻击的下一位受害者。
京公网安备 11010802033237号
