关于勒索软件攻击的一些趋势问题我们在之前《预告:安全419<勒索攻击解决方案系列选题>即将发布》中有大量介绍,感兴趣的朋友可以跳转阅读,此后的系列选题将不再额外赘述。
作为一种活跃且广泛的网络安全威胁,建设相应的能力已成企业、组织必做之事,持续呈现的《勒索攻击解决方案系列选题》,此次将带领大家走进的是另外一家头部网络安全企业——奇安信科技集团股份有限公司(以下简称:奇安信),看看他们是如何应对勒索软件攻击所带来的新威胁。
我们仍然先大致了解一下这家企业:奇安信科技集团股份有限公司(股票代码:688561)成立于2014年,专注于网络空间安全市场,向政府、企业用户提供新一代企业级网络安全产品和服务。凭借持续的研发创新和以实战攻防为核心的安全能力,已发展成为国内领先的基于大数据、人工智能和安全运营技术的网络安全供应商。同时,奇安信是2022年冬奥会和冬残奥会网络安全服务与杀毒软件的官方赞助商;此外,公司已在印度尼西亚、新加坡、加拿大、中国香港等国家和地区开展网络安全业务。
据了解,奇安信刚刚完成北京冬奥会和冬残奥会网络安全保障工作,保障其间“零事故”进一步证明了,仅用6年时间就完成上市的这家头部网络安全企业所拥有的坚实技术实力。下面我们就进入正题,安全419在对话奇安信解决方案总监徐伟之后,对他们的勒索攻击解决方案作出如下了解:
以实际案例切入勒索攻击 安全意识薄弱仍是攻击主因
在开放的交流下,徐伟先以案例作为切入,将勒索攻击场景化更值得企业进行思考和借鉴。
今年一月份,国内某大型企业因勒索攻击找到奇安信,寻求事后解决方案。在这一案例场景中,攻击者最先控制一台内网主机,并以此进一步地拿到了域控服务器的权限。对长期观察各种网络安全攻击形式的徐伟而言,这正是“一次具有针对性的典型勒索攻击案例”。
经奇安信技术专家调查发现,攻击者采用水坑攻击方式作为突破,他们制作了一套与企业业务系统相近的在线系统,并被企业内网人员所访问。在攻击者进入企业内网之后,他们并不急于实施勒索加密,而是进行横向扩散,在潜伏直到成功获得了域控服务器权限之后,勒索病毒才正式下发。
对于定向攻击企业而言,当勒索病毒被下发之时,就已经为时已晚。这说明了黑客已经达到了攻击预期,锁定了重要系统及数据,已经拿到了足够的勒索筹码。
这一案例暴露出一系列网络安全问题。一方面,企业员工安全意识仍然是攻击入坑的主因,另一方面,终端和服务器侧安全检测能力全部缺失,同时企业内网基于流量的安全检测同样空白。在整个攻击链当中,没有任何攻击告警,直到勒索发作。
另外一个勒索攻击案例当中,某领域内一家企业将IT运维外包给了第三方机构,在某一新系统准备上线之际,原本第三方机构相关运维人员需要到现场亲自负责项目对接、调式,但该第三方运维人员实际操作时采用了取巧方式,擅自开启了远程访问端口,同时并没有及时关闭,造成外部扫描探测并进一步暴力破解实现了攻击突破。
据徐伟介绍称,在这一案例当中,该企业建设有完备的安全防控机制,比如服务器本身要通过堡垒机进行特定终端进行访问,但第三方运维人员在实操时将安全措施全部绕过,并在互联网上暴露了威胁面,同样属于人为因素造成的攻击突破。
徐伟强调称,大量的案例证实,因为企业员工或第三方人员安全意识问题仍然是黑客攻击的主要突破口,而安全意识培养也不存在捷径,在不断反复强调之余,企业应不定期地开展安全意识培训和仿真模拟实训,再辅以必要的安全防护产品,才有可能能达到我们预期的勒索防护效果。
防勒索企业应积极主动 应强化安全服务为主
在落实到奇安信具体的防勒索解决方案上,徐伟坦言,企业应建立最基础的底层网络安全能力,再针对当前勒索攻击的主要攻击场景作为切入点,重点部署相应的安全防御产品,同时辅以安全服务,才有可能建立一定程度的勒索防御能力。
之所以是“才有可能”,徐伟同样从案例中总结经验,其一是有的企业并不缺安全防御产品,但同样被勒索攻击,是因为其安全产品并没有被妥善地得到运维应用,而且还存在人为绕过的原因;其二是大多数企业在建设勒索防护体系是仍然受限于资金,建设程度并不相同,同时往往会忽视不被在乎的风险面。
这也是以威胁情报为基础建立企业自身业务系统的防勒索解决方案的重要性,他需要及时地更新下发策略,有的防御侧策略是产品端的,不需要企业干预,有的则需要企业实时跟进处理,此时需要本地的服务人员来协同处理最新的网络安全威胁。
另外,考虑到勒索攻击技术多变,病毒程序为应对安全产品检测会经常变种,最新的漏洞也常被其利用,这都在考验安全厂商和企业客户两者之间技术能力的协调能力,这也会令安全服务占据更大的比重。
同时,在勒索攻击的事后阶段,安全服务的介入则同样重要,也有案例证实,企业忽视这部分的工作所遭受的极有可能是二次入侵,此前做的应急工作也将付诸东流。这部分的溯源工作要做的是做到整体排查,掌握病毒入侵方式和传播路径,从而总结经验并吸取教训,继而阻断后续安全风险。
防护产品各司其职 建立四方面能力降低勒索威胁
徐伟表示,面对日益猖狂的勒索攻击,奇安信推出勒索攻击防护解决方案,帮助政企单位加强自身网络安全防护建设,建立起完善的安全防护措施,构建自适应安全防御体系,实现对勒索病毒的有效检测和防护,保证内部网络及信息系统的安全。
在奇安信整体的勒索攻击解决方案中,将注重以下四方面的能力建设:
一、防御能力:该能力将通过一系列策略集、产品和服务,通过减少被攻击面来提升攻击门槛,并在受影响前拦截攻击动作;
该能力指从网络入口到需要防御的目标均设置防御节点的方式,具体的能力来自奇安信的智慧防火墙、终端安全管理系统、终端安全准入系统、服务器安全管理系统构成。
二、检测能力:用于发现逃过防御网络的攻击,从而降低威胁造成的“停摆时间”以及其他潜在的损失;
该能力主要通过在内部网络中部署奇安信天眼新一代安全感知系统,进行检测能力建设。可进行自动化挖掘获悉安全威胁,并根据专属威胁情报提升安全性。同时,天眼还能为后期研判与溯源提供重要依据。
三、响应能力:目标是实现高效调查和补救被检测分析功能(或外部服务)查出的安全事件,以提供入侵认证和攻击来源分析,并产生新的预防手段来避免未来的安全事件;
该能力将通过产品之间的联动响应以及应急响应服务机制,实现响应能力建设。奇安信天擎&天眼、防火墙&天眼联动响应,可构建终端、网络层的多级深层次的安全防御能力,带来的安全事件应急响应机制的建立,将对安全事件进行检测、分析、协调、处理,保护资产安全属性的活动,并协同建立有效的防御策略来抵御网络安全威胁。
四、预测能力:通过对外部黑客行动的学习,主动锁定对现有系统和信息具有威胁的新型攻击,并对漏洞划定优先级和定位。该情报将反馈到预防和检测功能,从而构成整个处理流程的闭环。
该处能力将通过奇安信云端海量数据的分析成果定期同步至方案中涉及到产品,实现对APT攻击、勒索病毒、新型木马、特种免杀木马的规则化描述。同时通过威胁情报解读定期推送分享服务,向政企单位分享APT攻击行为和事件情报、攻击团伙情报、恶意代码和漏洞利用情报、攻击团伙活跃态势情报等,建立预测预警能力。
徐伟强调称,勒索攻击背后活跃着数量众多的专业黑客团伙,并已向产业化发展,这也注定了其攻击手段会不停地产生变化,所以落实到产品端,需要及时跟进最新攻击趋势和技术手段。随着奇安信第三代“天狗”安全引擎的成功开发,带来了内存指令集的检测能力,其终端、服务器端的安全检测能力和响应能力将大幅加强,这也是应对黑客攻击技术手段不断翻新的一种技术应对升级。
同时,徐伟进一步指出,全面的勒索防御体系也并不是某一款单一安全产品就能完全解决,威胁面不断加大的今天,安全产品也需要形成联动,并结合全面的安全服务,形成覆盖“边界+终端+云端”,基于威胁情报的多层次智慧检测、防御措施,并最终形成“自动化+人工响应”的有效处置机制,才能建立更强的安全优势。
真的遭遇勒索怎么办?事前演练要做到“稳准狠”
在本次沟通交流中,我们还延伸交流了其他诸多问题,比如在面对遭遇勒索之后企业应该怎么办时,徐伟表示:
“有客户经常找到我们,他们在遭遇勒索攻击之后最常问的就是这个问题,在这方面企业应建立高度联动性。具体表现方面,其一是迅速进行隔离操作,以防病毒持续传播,其间涉及内部多部门联动处置机制的建立;其二是第一时间与专业安全厂商取得联系,尽快处置进行排查,以便阻止二次勒索。”
这是对网络安全没有那么重视的企业在遭遇勒索攻击之后最先应做的,而对于网络安全较为重视的,并已经建立了相应的安全防御措施,企业相应的应急预案在此时就已经启用了。
“应急预案是以灾难视角并具有换位思考的防治勒索攻击的一个很好的抓手,一方面不会让企业遭遇临时抱佛脚的尴尬境地,同时经常组织开展勒索攻击应急演练,其安全防御能力也会不断提升,在真正遭遇勒索时,可以将损失降到最低。”
徐伟强调,很多企业建立有相关的应急预案,但在事后环节如何执行是要被打个问号的,这需要企业经常开展相关演练工作,并且在各环节中做到“稳准狠”,因为在真正遭遇勒索之后,因为信息系统的重要性,会导致运维人员没有办法放开手脚,而在演练的环节,则可以积累经验,什么事可以做什么事不可以做,在真正问题面前才不至于慌乱。
考虑到勒索攻击最终还是会指向数据,同时数据安全现在也是国家重点合规要求之一,企业本质上应对勒索攻击,还需要建立妥善的数据安全防御机制。在这方面,据了解奇安信在数据安全安全产品分类中有数十款安全应用,用户也可以按需选择。
另据了解,奇安信与人保财险在网络安全保险领域有着深度合作,前不久,国家工业信息安全发展研究中心发布了“2021年网络安全保险新业态新模式十大典型案例”,就收录了人保财险和奇安信申报的“医疗行业网络信息安全保险案例”。应对勒索攻击,以网络安全保险为切入点,也是近年来我们观察到的一个可选方向。
以Lapsus$展开防御视角讨论 攻击方式可能并不新奇
在展开奇安信相关勒索攻击解决方案之余,我们还与徐伟还就近期受人关注的黑客组织 Lapsus$ 展开了一系列话题讨论。需要说明的是,本部分内容为个人视角,并不代表企业观点。
南美黑客组织 Lapsus$ 近期宣称对一系列勒索攻击事件负责。据挖掘,该组织曾在2021年年底攻击了巴西卫生部,并窃取删除了大量数据进行勒索。2022年2月,该组织宣称对葡萄牙多家媒体集团网络攻击事件负责,并判断期间针对葡萄牙通讯商活达丰开展的攻击,导致葡萄牙全国断网也同样出自他手。近期就是大家都熟悉的英伟达、三星网络攻击事件。
通过对攻击事件及背景的调研,徐伟认为,Lapsus$ 黑客组织先前对葡萄牙媒体集团展开的勒索攻击种种迹象以个人判断更符合邮件钓鱼进行突破,后续的英伟达、三星由于自身存在完善的安全防护,给出如下基于个人视角的判断,极有可能是窃取了这两家公司的代码签名证书。
“并不存在什么特别新奇的攻击方式,或者是超级攻击手段。”据了解,相应的攻击手段在网络安全厂商向甲方客户提供的授权下的安全渗透测试服务项目中均有所包含,其中欠缺的仍是老生常谈的安全意识,以及安全策略该如何有效避免网络风险问题。
但有一点徐伟可以确定的是,具体攻击手段只能是当事双方能够真正掌握,但事实上 Lapsus$ 正手握致命武器,其攻击手段较高,企业面对这一等级黑客攻击,还是应该将安全做到提前预防,并做好勒索攻击应急预案。
“Lapsus$ 的行事风格与其他勒索组织不一样的是,他们更喜欢曝光受害企业的数据。”相关信息整理发现,他们甚至不会主机加密数据,而是盗取数据,甚至会对源数据进行删除操作。当然如果从勒索加密数据的机理来说,两者几乎没有区别,但实锤的多重勒索,往往对企业一侧要更为致命。
我们可以得出这样的结论,部署安全产品抵御黑客攻击并不能100%保证企业的网络安全,但与企业、组织必将要面对的来自于网络威胁而言,他能最大程度上的减少或延缓黑客攻击,同时相应的安全能力建设,某种程度上讲也成为事后恢复的唯一可能,否则你只能接受黑客的漫天赎金要价,这就是安全建设的必要性。
尾声
以上为此次我们对奇安信针对勒索攻击所能提供的安全能力进行的全面了解,希望能为企业做出针对性部署防护起到借鉴和帮助作用。同时,本次系列选题还将持续更新,我们还将持续走进更多的网络安全企业,来观察他们针对不同行业、不同用户和不同环境以及技术能力之间的细节与区别,敬请持续关注。
同时我们也欢迎更多拥有同样实力的安全企业自荐,只要你的安全解决方案、能力得到我们的认可,我们的最终目的只有一个,那就是帮助我们最终企业用户,避免他们成为勒索攻击的下一个受害者。