01
Attention!中毒终端已超2000个
近日,一则大型企业的勒索病毒事件在网络上传播,引起了广泛关注。
某互联网企业财务管理软件***T+,被爆出存在任意文件上传+远程代码执行的未授权访问漏洞。
未授权访问漏洞,在企业内部一直以来都是非常常见的问题。未授权访问可以理解为,需要安全配置或权限认证的地址、授权页面存在缺陷,导致其他用户可以直接访问,从而引发重要权限可被操作、重要API可被调用、存在缺陷的系统被攻击等等。
该漏洞被“魔笛”黑客组织利用,进行勒索病毒攻击,据说中毒终端已超过2000个,受害者反映,中毒后被要求支付0.2个比特币(约27439元人民币)才能解锁。
随后,该财务软件官方发布公告称,公司确有少量客户反馈受到勒索病毒攻击,并强调说,受勒索的皆为客户自有部署模式,公有云客户未受到影响。
02
What?Web应用勒索病毒!
***T+是一款基于互联网的企业管理软件,现在很多公司用CRM\OA\ERP等系统来提高企业效率,这类系统的优势是部署轻量,混合办公模式下使用方便,但是方便的另一面是Web应用可能存在安全隐患,比如这次爆雷的财务系统软件就是中了Web应用勒索病毒。
Web应用勒索病毒通常分为两种,一非定向勒索,二定向勒索。
非定向勒索是一种发散式、大规模传播的勒索病毒,通过加密中毒的数据对企业进行勒索,攻击者对攻击收益没有精准预估,也没有精心挑选攻击对象,大面积投放,中毒面广。
定向勒索更接近APT攻击能力,通常有非常明确的攻击目标,核算过攻击成功之后的收益数额才开始行动,通常需要消耗较大的攻击资源。
部分有组织的攻击者,会在攻击成功后,继续潜伏企业内部,将备份文件同时加密,使甲方数据中心彻底瘫痪后,才进行勒索。
更有“不讲武德”的攻击者,即使收到了赎金,也不解除密码锁定,给甲方业务系统、业务资源产生难以弥补的伤害。
勒索病毒一般会采用比特币之类的去中心化的账户结算,很难追溯。
安装了杀毒软件行不行?也不行,因为传统杀毒产品是基于特征对比,很难第一时间发现Web应用勒索病毒,所以一旦被入侵,阻断行为是十分滞后和低效的。
03
Why?上了那么多安全产品
为啥就是防不住?
先说外因,攻击者在非法暴利的驱使下,攻击技术进化很快;再说内因,企业的网络安全建设体系本身就存在各种“死角”。
比如实际操作中,企业安全工作可能已经做到了以下动作:采购了IAM产品,对企业信息化系统进行统一身份管理;定期展开员工安全培训,防止出现弱口令或被钓鱼;发现漏洞尽快响应并做修补;暴露面排查等等。
以上这些安全产品和措施,对防御攻击有一定效果,但还是存在诸多被攻破的风险,比如:
……
要做到真正挡得住,守得牢的安全架构,还需要在现有的网络安全架构上,打一个“加强针”,真正站在实战攻防的角度,建立企业办公安全基础网络。
04
How?Web应用勒索病毒克星!
在面对实战防御场景时,甲方无需做任何操作,持安零信任办公安全解决方案,应可以主动防御Web应用攻击与威胁事件的发生。
图:持安零信任应用网关
第一、默认不可信,而非假定部分人员可信
持安零信任默认威胁存在于企业的任何地点任何环节,要在企业内部的系统、人员、设备已经被攻破的情况下,仍然可以保障企业业务的安全、稳定运行。同时,对员工的每一次请求都要做可信验证,进行安全审计与日志记录,监控企业敏感数据,跟踪访问行为。
第二、先验证、再访问,而非先访问再验证。
根据“先验证、再访问”原则,持安零信任网关会代理转发所有的访问、连接请求。假如员工身处内网且被攻击者钓鱼,受到网关保护的应用被扫描时,只会给攻击者返回网关的信息。对攻击者来说,就像架起了一堵高墙,即便知道内网资产的真实域名,也无法越过这堵墙进行访问和攻击。
第三、基于应用防护,而非网络防护
传统网络层防护,只能针对网段信息进行粗略的防护,而持安零信任可将零信任能力深入至企业应用、资源、数据,无论威胁发生在业务系统的任何位置,零信任都可以及时感知及告警,可以有效的防止非授权访问对应用系统所造成的漏洞利用破坏。
第四、基于身份的动态持续校验,而非单次校验
持安零信任可与企业原有的信息化系统融合,建立一个基于身份的零信任安全网络,实行动态的细粒度访问控制。访问者每发起一个访问请求,都需要通过零信任的可信验证,每一次访问请求都要综合用户的身份、行为、状态进行安全评估和认证。
第五、基于信任链验证,而非特征对抗
持安零信任网关保护应用,并不像传统的WAF一样基于漏洞特征进行防护,因为这种方式经常存在多种被绕过的可能性。持安根据零信任思想建立用户——设备——网络——应用——资源的信任链,网关接收到访问数据包时,第一步就会将不可信的数据包拦截,不存在绕过的可能性。即便后端业务存在漏洞,或遭受到0day攻击,攻击者也无法将数据包发送到后台。
基于此,即使攻击者利用各种手段,窃取了一个账号,当他试图在业务系统内操作时,也会因为所处ip地址、访问时间、敏感数据访问行为等,与原用户的使用方式、习惯、权限不同,而被告警上传,使其寸步难行。
05
持安科技
持安零信任平台以零信任最佳实践方式落地,深入至应用层,面对web勒索病毒类攻击,具有天然的主动防御优势。目前客户主要集中在互联网、金融、能源、科技、高端制造、新零售领域,已为数十万人办公安全以及数千个业务系统提供持续稳定的保护。