随着云计算、大数据、人工智能等新技术的快速普及和应用,全球网络攻击层出不穷,勒索攻击呈现出持续高发态势,并已成为网络安全的最大威胁之一。因此建立全流程勒索软件防护体系,成为了企业防御勒索软件攻击的首要重点。
在此背景下,云计算开源产业联盟启动了《勒索软件防护发展报告(2022年)》(以下简称《报告》)的编制工作,在80页、三万五千字长文报告的撰写过程中,腾讯安全、腾讯标准的专家团队作为核心编制团队,深入参与了该报告的编撰,结合腾讯安全二十多年的黑灰产对抗经验,以及勒索攻击防御产品体系的实战经验,助力企业高效应对勒索软件攻击。
12月28日,在“应刃而解——应用安全技术发展论坛”上,《报告》重磅发布,旨在通过对勒索软件发展情况、主要特点、攻击现状、发展态势以及防护体系建设、未来发展展望等多个方面进行梳理、总结和分析,帮助企业正确认识勒索软件,合理高效地防范勒索软件攻击,增强产业界信心。
勒索软件攻击已成为网络安全的最大威胁之一
勒索软件是一种阻止或限制用户使用电脑系统的恶意程序,极具传播性、破坏性,攻击者用来对用户资产或资源进行劫持,旨在加密和盗窃数据以勒索钱财。由于勒索攻击事件中被加密信息难以恢复,直接导致作为攻击目标的关键信息系统无法正常运转,攻击来源难以追踪,敏感信息的窃取和泄露导致极大的法律合规和业务经营风险,勒索软件对现实世界的威胁加剧,已经成为全球广泛关注的网络安全难题。
近年来,勒索软件攻击已成为无处不在的网络安全攻击手段。新型勒索攻击事件层出不穷,勒索软件攻击形势更加严峻,已经对全球制造、金融、能源、医疗、政府组织等关键领域造成严重影响。
根据SonicWall发布的2022年年中网络威胁报告,2022年1-6月,全球共记录了2.361亿次勒索软件攻击。世界经济论坛《2022年全球网络安全展望报告》称,80%的网络安全领导者认为勒索软件是对公共安全的重大威胁。勒索软件损害预计将从2015年的3.25 亿美元增长到2031年的2650亿美元。
《勒索软件发展报告(2022年)》指出,勒索攻击事件在全球各地频频发生,可归因于几方面:
一是企业内部基础设施建设不完善,拥抱数字化转型后缺少有效的安全防护措施。
根据美国国家标准与技术研究所(NIST)发布的数据显示,2021年报告的漏洞数量为18378个,年度漏洞数据已经在五年内连续增长。根据《2022上半年网络安全漏洞态势观察》,我国2022年上半年新增通用型漏洞信息共计12466条,超高危及高危漏洞占比超过50%,存在大量暴露在互联网的设备和系统,存在高危漏洞的系统涉及诸多重点行业。
二是高额赎金已经成为网络攻击者极高的犯罪动力。根据 《Akamai 勒索软件威胁报告APJ深入洞见2022年上半年》,勒索软件攻击在全球造成的损失已超过200亿美元。《Ransomware Uncovered 2021/2022》报告指出,2021年的平均赎金要求增长了45%,达到24.7万美元,比2020年高出45%。
三是远程办公增加安全风险。疫情期间,远程办公带来的安全漏洞,通过技术迭代,不断进化数据泄露、加密数据等攻击手法和方式,开辟新的攻击面,利用人们在危机期间的恐慌心理,勒索次数持续增加。
勒索软件攻击防护体系日趋纵深防御发展
勒索软件发展至今,勒索软件经历萌芽期、发展期,目前已正式进入高发期。后疫情时代,勒索攻击手段日趋成熟、攻击目标越发明确,模式多种多样,攻击愈发隐蔽,更加难以防范,危害也日益增大。
《报告》提到,勒索软件即服务(RaaS)商业模式的兴起使得从业者无需任何专业技术知识就可以发起勒索攻击活动。开发者只需要更新病毒,拓展传播渠道大肆释放勒索软件,各级分销参与者点击鼠标就能从中瓜分利润。这种黑色产业分销模式大大降低了勒索攻击的传播门槛,使网络安全风险快速扩散。
在此背景下,传统勒索软件攻击防护已效率不足,企业和组织须推陈出新。《报告》认为,勒索软件攻击防护体系应基于事前、事中、事后,构建纵深的全流程防护体系,实现事前的防护、勒索事件发生后的持续监测、以及事后持续检测、快速响应以及安全加固。由于勒索软件攻击具有强对抗性,并没有一种方法可以单独有效解决,这也导致应对勒索攻击应是全面的防护体系才能予以应对。
1、事前防护体系建设
企业的事前防御体系建设主要包括员工培训教育与安全意识宣传、备份管理、主动防御、系统加固等多个部分。
一是员工培训教育、安全意识宣传以及应急演练。二是加强备份管理,建立关键数据、系统的周期备份计划。三是主动防御。减少网络暴露面,使用最小权限原则对组织关键业务系统设置严格的访问权限和维护变更,在事前阶段保障对勒索软件的精准判断,利用多层次的主动防御对各种攻击方式的勒索软件进行有效拦截。
2、持续监测体系建设
持续监测阶段需对全网进行持续监测,第一时间发现第一台失陷的主机,并进行应急处置,将勒索软件造成的损失降到最低。第一,提高防御对抗能力;第二,对业务系统进行排查;第三,对事件进行溯源分析;第四,安全专家追踪定位攻击者初始入口。
3、快速响应及事后加固体系建设
针对已中毒主机,盲目查杀往往会造成查杀完反复感染、一边查杀一边扩散的问题,严重降低处置效率,造成更进一步的严重损失。
腾讯安全助力企业高效应对勒索软件攻击
当前,随着云计算、大数据、人工智能等新技术的快速普及和应用,数字化转型升级的关键信息基础设施依旧是勒索软件攻击的重点目标。同时,基于新技术的创新勒索软件攻击防护体系也将更有效地保护客户免受勒索软件侵害。
《报告》提到,零信任将业务资源从互联网暴露面上进行隐藏,从而可以降低恶意软件的渗透风险。建立零信任安全防护机制,可弥补传统边界防护模式网络暴露面大和隐式信任问题以防护勒索软件攻击。
腾讯零信任iOA针对勒索病毒防护解决方案:
腾讯零信任iOA独家结合传统终端安全在勒索病毒防护上的经验积累,融入到零信任安全体系中,实现降低入侵几率、防御攻击入口、阻断加密行为、备份重要文档的可控、可防、可监测、可还原的勒索病毒防护目标。
1)事前预防:梳理风险资产,部署加固措施,减少暴露面
➢ 密码治理:1、弱密码检测:识别弱密码机器,阻止接入零信任办公网;2、密码加固:开启系统账号密码复杂性,有效期,可复用历史密码等要求;3、禁止入域终端本地账号认证,可防止由于密码泄露导致的大面积终端失陷。
➢ 风险端口收敛:修改RDP远程桌面默认3389端口,可以有效增加攻击者利用RDP爆破或者横移的难度。
➢ 漏洞修复要求必装补丁列表:识别存在高危漏洞的机器,阻止接入零信任办公网。
➢ 风险软件管控:通过禁用管控风险软件进程,避免企业内部使用存在严重漏洞的软件而被利用攻击,要求更严格的企业也可以根据进程文件名、进程文件签名、进程文件描述条件设定仅允许指定软件进程运行。
2)事中防御:5层攻击入口防护,严防攻击者获取初始终端控制权或扩大受害面
➢ 爆破攻击防护:精准识别爆破RDP、SMB、MySQL、VNC等爆破行为,自动封禁攻击IP访问。
➢ 漏洞利用防护:支持多种热门高危漏洞利用攻击的防御,从网络侧阻断攻击。
➢ 横向渗透防护:阻断内网机器通过对其它机器通过远程执行风险操作进行横移;阻断内网机器通过修改其它机器共享目录进行横移。
➢ 漏洞热补丁免疫:Win7等停服系统缺乏漏洞补丁或不适合安装补丁时,在终端系统漏洞利用部署免疫措施,无损保护终端。
3)事中监测:识别勒索攻击者在加密数据前环境准备、勒索病毒样本执行、勒索病毒行为基因、攻击后清理痕迹类动作,并在关键节点自动告警+处置响应。
➢ 监测终端环境异常:手动攻击过程中,攻击者通常在入侵后首先破坏安全软件正常运行,因此安全软件需具备自保护能力,能设置卸载或退出门槛,在出现暴力对抗干扰时能及时感知预警。腾讯零信任iOA客户端具备防卸载、自保护、开机自动运行等功能。
➢ 监测勒索病毒样本:腾讯自主研发的iOA云查杀引擎(云端情报检测引擎)、DNA特征检测引擎、TAV反病毒引擎,结合第三方情报,具备响应速度快、检测策略广、对抗强度深、情报信息全等优势。
➢ 监测勒索病毒特有行为。
➢ 攻击后清理痕迹类动作。
4)事后还原:iOA在终端安全产品中独有的文档工具--文档守护者3.0。在指定格式文档被修改时,实时备份并利用iOA内核驱动保护备份目录不被修改,在被勒索病毒攻击后可以轻松还原备份文档,日常也可以利用找回历史版本文档。
《报告》表示,除零信任之外,WAAP可针对漏洞扫描以及零日漏洞进行有效防护,防止攻击者利用应用漏洞发起勒索攻击。Gartner对Web和API保护提出了新的防护理念,即WAAP,需要具备分布式拒绝服务(DDoS)防御、机器人程序缓解(Bot Mitigation)、API保护和WAF防护能力。
腾讯安全WAF可提供Bot防护能力,具备针对各种自动化工具的主动防御能力,可以有效防护各种漏洞扫描和零日漏洞探测,防止攻击者利用应用漏洞发起勒索攻击。
除此之外,腾讯安全云防火墙、主机安全、高级威胁检测系统、网络入侵防御系统等产品都能提供勒索防御能力。正如报告所说,众多勒索软件防护技术合纵联合应用,能共同提升企业勒索防护能力。
关注腾讯安全公众号,回复“勒索防护”,可获取《勒索软件防护发展报告(2022年)》完整版报告。