1 企业预防勒索病毒,如何减少攻击面?-德赢Vwin官网 网
0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

企业预防勒索病毒,如何减少攻击面?

如意 来源:嘶吼网 作者:luochicun 2020-08-31 12:44 次阅读

SentinelOne最近发布了一份关于企业的安全报告——《了解企业中的勒索软件》,这是一份全面的企业安全指南,可帮助组织理解、计划、响应和防范这种目前普遍存在的威胁。

这篇文章就是选取了其中的部分章节,还原了一个关于如何减少攻击面的示例。

随着网络办公成为一种常态,勒索软件攻击也呈现了上升态势,事实上,勒索即服务(Raas)和其相关产业所带来的好处(低风险和丰厚回报)表明,在可预见的未来,勒索软件将继续发展,并变得越来越复杂。

勒索软件即服务模式是指,勒索软件编写者开发出恶意代码,并提供给其他犯罪分子(有时通过购买),让他们可以通过网络钓鱼或其他攻击发送给目标用户。随着云计算、移动互联网、大数据、物联网等新技术的持续演进,网络安全形势变得尤为复杂严峻。网络攻击“道高一尺,魔高一丈”,网络安全问题层出不穷,给政府、企事业单位带来风险威胁级别升高,挑战前所未有。目前灰产、黑产环境比较复杂,很多攻击手段已经向云和SaaS服务方面发展,暗网已经存在专业提供勒索即服务(Raas)的服务模式,另外很多勒索攻击软件已经开源,易用性得到了极大的提高,同时也大大降低了网络攻击的技术门槛。  

例如,DopplePaymer勒索软件,SpaceX和美国宇航局NASA首次载人火箭发射成功后不久,一个名为DopplePaymer的勒索团伙即刻宣布他们入侵了一家名为DMI的公司内网,这家公司正是NASA的一家IT供应商,该团伙甚至嚣张地留下了祝贺信息来挑衅。按照惯例,DopplePaymer团伙在“泄密网站”上发布一些窃取的数据是为了向被入侵网络系统的公司索取赎金,倘若受害者(通常是一家大公司)仍然拒绝支付,他们将会公开所有的文件作为报复,并且向记者提供泄露信息。

通常,DopplePaymer使用闪电般的有效载荷在不到7秒的时间内对主机执行超过2000次恶意操作。这意味着,传统的检测和响应方法无法防止这种攻击,而防御者对勒索软件的响应往往是在勒索软件达到其目标后才开始。

为了更有效地防止勒索软件,请尽可能采取以下步骤。

威胁情报的收集

你对你的攻击面了解多少,只有知己知彼才能增强你的防御能力,并帮助你了解和控制你的攻击面。

高度组织化的犯罪软件组织,如Dridex和TrickBot已经证明了他们利用勒索软件作为主要攻击载体所取得的成功。Dridex 早期版本很原始,但这几年来该恶意软件变得越来越专业和复杂。事实上,Dridex 攻击活动在 2015 和 2016 年里非常活跃,已成最为普遍的电子犯罪恶意软件家族。TrickBot银行木马自2016年问世以来,一直活跃至今。它从最初的银行木马发展到今天已经成为一款强大的恶意家族软件,其功能包括盗取用户电子邮箱、收集系统信息以及盗取浏览器隐私信息等等。经过几年的发展,TrickBot银行木马已经变得高度模块化,其可以由威胁参与者根据目标环境进行配置,进而实现不同的恶意功能。在它们曾经主要依赖银行欺诈的地方,它们的业务已经发生了明显的变化。这吸引了许多新的创业公司试图效仿他们的成功。毫无疑问,RaaS的泛滥已经对许多公司网络造成了严重破坏。

然而,在迅速发展的勒索软件服务领域,各组织争夺主导地位的竞争似乎有所升级。运营商不再满足于个人用户,他们现在正在寻求巨额回报。运营商会在网络上连续数日或数周搜索,试图绘制数据点,找到最诱人的数据目标,从而为他们提供最佳的攻击手段。

勒索软件运营商现在正试图完善他们的勒索方案,美国联邦调查局在RSA发布的最新数据显示,RYUK勒索软件的运营者总共获得了6100万美元的收入。这一数字只包括了2018年2月至2019年10月期间的行动。2020年1月至今,工业企业的生产网络或办公网络遭受数十起勒索软件攻击,其中仅Ryuk勒索软件就感染了EVRAZ、EMCOR Group、EWA等多家工业企业,加密企业关键数据信息,导致企业停工、停产,造成重大的经济损失。

Maze和Revil (sodinokibi)的运营商正在利用媒体和数据泄露网站,以进一步威胁和羞辱受害者,以威胁支付他们满足勒索要求。Maze勒索软件在过去的大约一年时间里被广泛使用,成为全世界许多不同参与者的最终有效载荷。今年,臭名昭著的Maze运营商不仅开始通过加密文件勒索公司,而且威胁会在线发布被窃取的文件,从而勒索公司。最近,我们抓住了一个Maze会员,该会员尝试通过借由我们客户的网络进行传播。许多勒索软件家族,如DoppelPaymer, Clop, Netwalker, ATO和其他类似的网站都有泄露网站的操作。随着网络办公的兴起,这种攻击不太可能在短期内消失,这些恶意组织现在拥有大量的资金来加强他们的攻击并进一步改进他们的产品

如何发现勒索攻击

勒索软件犯罪分子利用社交,移动,云和软件定义的网络等技术,利用BYOD,物联网和数字化转型计划所带来的挑战和漏洞。远程工作人员要求能够随时随地工作,同时访问公司数据和使用云应用程序也带来了挑战,并增加了攻击面。为了控制并采取行动,防御者的目标是使用主动和被动发现来连续发现所有连接的设备并对其进行指纹识别,以识别并创建甚至间歇性连接的设备的实时清单,以便用户查找和控制恶意终端。

软件漏洞允许攻击者使用开发工具包来传播勒索软件,通过了解终端和服务器上具有哪些操作系统,软件和版本,可以对终端发现进行补充,这对任何修补程序管理过程都很重要。比如:

哪些设备连接到我的环境?

在我的环境中连接了哪些设备?

设备最后一次或第一次出现在我的环境是什么时候?

哪些设备是未受管理和不受保护的?

什么是设备的IP?苹果电脑?制造商?类型?

此设备是否打开了特定端口

设备在这个端口上报告什么信息?

它连接在哪个网络(在哪个GW后面)?

连接的终端上安装了哪些应用程序?

组织中是否有未经授权的应用程序在运行?

控制漏洞并强化配置

在你了解了环境中有哪些设备以及它们上安装了哪些程序之后,你需要控制访问、减轻漏洞并加固这些终端及其上的软件。

集中管理设备配置和遵从性的评估和实施对于减少攻击面非常重要,不兼容的设备应该重新配置和加固。加强虚拟专用网连接、强制磁盘加密和端口控制将减少勒索软件的攻击面。

修补程序管理是关键,但是由于每年都会出现数以千计的新漏洞,没有哪个组织会真正地修补每一个漏洞。拥有一个基于风险的结构化方法是最好的,但是没有一种方法是绝对正确的。

通过集中管理应用程序控制,安全团队可以控制在终端环境中运行的所有软件,并防止未修补的漏洞被利用。它允许新软件的授权,并防止其他未经授权的、恶意的、不可信的或不必要的应用程序的执行。

控制端的人为漏洞

通常,勒索软件最薄弱的环节是我们人类。主要的攻击渠道仍然是电子邮件或访问有风险的网站。网络钓鱼、鱼叉式网络钓鱼正变得越来越复杂和有针对性,它们附带着恶意文件或勒索软件链接,引诱那些用户去点击。

因此制定一项员工教育和培训计划,对于营造一种怀疑和警惕的企业安全文化很重要,与员工分享现实世界的例子,以及测试弹性很重要,但即便是最优秀的人也会有最脆弱的时刻。你可以降低风险,但不能仅仅通过培训来消除风险。

你可以使用包含以下功能的产品来提高电子邮件安全性:

对入站或存档电子邮件进行URL扫描,直到对网站进行恶意软件检查后才允许点击目标网站;

在发送之前,检测邮箱中带有攻击附件的邮件,并在点击前重定向到沙箱。

防止假冒、社会工程,域名窃取和掩盖;

勒索软件只有在感染病毒的用户更改和加密文件时才有权更改和加密文件,控制用户对关键网络资源的访问是必要的,以限制这种情况的暴露,并确保横向移动感染更加困难。

因此,确保特权是当前的和最新的,并且用户只能访问其职责所需的适当文件和网络位置是至关重要的。

监控和控制网络内外的用户行为将允许警报和操作自动响应对服务器,文件共享或网络异常区域的可疑偏差。由终端记录数据、凭证的使用和连接可以突出显示生产率变化或可能的安全破坏信号。可以使用像EDR这样的工具来记录每个文件的执行和修改、注册表更改、网络连接和跨组织连接终端的二进制执行,增强威胁的可见性以加快运行速度。

改善终端安全性

几乎所有组织都具有终端安全性,但是,为了防止勒索软件,仅靠静态检测和防病毒已远远不够。在终端保护中具有高级功能以及通过集中式管理系统执行终端管理和防御的能力变得越来越重要。

良好的终端安全性应该包括多个静态和行为检测引擎,使用机器学习人工智能加速检测和分析。开发保护、设备控制、访问控制、漏洞控制和应用程序控制也很重要。在组合中添加终端检测和响应(EDR),提供取证分析和根本原因,以及诸如隔离、转移到沙箱和自动修复的回滚功能等即时响应操作,这些都是重要的考虑因素。
责编AJX

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表德赢Vwin官网 网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 网络安全
    +关注

    关注

    10

    文章

    3155

    浏览量

    59698
  • 企业
    +关注

    关注

    0

    文章

    215

    浏览量

    22832
  • 勒索病毒
    +关注

    关注

    1

    文章

    69

    浏览量

    9455
收藏 人收藏

    评论

    相关推荐

    Commvault支持企业实现持续业务

    我们生活在一个受勒索软件威胁挟持的世界。每个企业,无论其所属行业,都面临着攻击可能带来的后果。在AI的加持下,这些攻击变得愈发复杂,防不胜防。为了确保即使在受到
    的头像 发表于 11-22 16:27 199次阅读

    恒讯科技分析:海外服务器被攻击需要采取哪些预防措施?

    在网络上上线时,它就容易受到威胁,老实说,企业必须预防而不是治疗。防病毒是针对您的服务器的一种可治愈的治疗方法,表明威胁已经进入您的系统。您必须采取一些预防措施来防止
    的头像 发表于 10-23 15:08 158次阅读
    恒讯科技分析:海外服务器被<b class='flag-5'>攻击</b>需要采取哪些<b class='flag-5'>预防</b>措施?

    高鸿信安推出可信“AI+”勒索病毒解决方案

    勒索病毒是一种极具破坏性、传播性的恶意软件,主要利用多种密码算法加密用户数据,恐吓、胁迫、勒索用户高额赎金。近期,勒索病毒
    的头像 发表于 09-19 15:00 442次阅读

    国产网络安全主板在防御网络攻击中的实际应用

    在现代信息技术迅猛发展的背景下,网络安全问题变得越来越复杂和严峻。从企业到个人用户,各类网络攻击事件频繁发生,威胁着数据的安全和系统的稳定。近年来,我们看到各种形式的网络攻击——从勒索
    的头像 发表于 09-18 10:47 288次阅读

    Commvault分析正在改变网络威胁局势的六大趋势

    对于网络不法分子来说,如今这个时代可谓前所未有的“便利”。他们能够利用各种各样的工具,发起愈发复杂的攻击,而企业攻击面却还在不断扩大。
    的头像 发表于 08-21 09:30 289次阅读

    如何预防云服务器被攻击

    服务器被攻击的应急措施 当然,预防总是胜于治理。调查表明,如果遵循网络安全建议,最近频发的WannaCry勒索软件对英国国家医疗服务体系(NHS)的攻击可能得到有效的阻止。 为了避免未
    的头像 发表于 07-05 11:16 278次阅读

    美国医疗巨头Ascension遭勒索软件攻击,涉及140家医院

    据报道,美国非营利性医疗机构 Ascension 于5月8日遭受黑客组织 Black Basta 的勒索软件攻击,导致其旗下140家医院和40家养老院的系统服务受到影响。
    的头像 发表于 05-14 11:37 589次阅读

    波音遭遇勒索软件攻击,拒付2亿美元赎金

    网络罪犯通过LockBit勒索软件平台于2023年10月展开攻击,并在11月初成功窃取了43GB的波音机密文件,后将其上传至LockBit网站。
    的头像 发表于 05-10 10:41 500次阅读

    “五一假期将至:您的企业网络准备好抵御黑客攻击了吗?”

    一、节假日期间导致企业网络安全事件频发的原因 1.企业防护方面: 员工休假导致安全漏洞:节假日时,企业员工通常会放假导致企业的网络安全人员配置减少
    的头像 发表于 04-26 17:46 603次阅读

    应对勒索病毒,群晖数据保护黄金架构,多维度保护企业安全

    上海2024年4月22日 /美通社/ -- 恶性的攻击和意外事件总是防不胜防,提前部署灾备方案可以在遭遇意外时尽可能减少企业损失。那么面对无处不在的勒索
    的头像 发表于 04-22 13:57 447次阅读
    应对<b class='flag-5'>勒索</b><b class='flag-5'>病毒</b>,群晖数据保护黄金架构,多维度保护<b class='flag-5'>企业</b>安全

    勒索病毒防护解决方案---预防、监测、处置、理赔,实现全面网络安全

    在数字化时代,网络安全威胁日益严峻,尤其是勒索病毒的泛滥成为了企业和个人用户的一大痛点。随着攻击手法的不断进化,传统的安全措施已经难以应对这些复杂多变的威胁。因此,打造一个全面的
    的头像 发表于 04-18 14:30 699次阅读
    <b class='flag-5'>勒索</b><b class='flag-5'>病毒</b>防护解决方案---<b class='flag-5'>预防</b>、监测、处置、理赔,实现全面网络安全

    沙丘世界,如何抵抗勒索病毒的入侵?

    当《沙丘》遇上“勒索病毒”怎么办?沙丘星球企业打响安全第一枪!
    的头像 发表于 04-10 14:29 459次阅读
    沙丘世界,如何抵抗<b class='flag-5'>勒索</b><b class='flag-5'>病毒</b>的入侵?

    勒索病毒的崛起与企业网络安全的挑战

    在数字化时代,网络安全已成为企业维护信息完整性、保障业务连续性的关键。然而,勒索病毒以其不断进化的攻击手段和商业化模式,成为全球网络安全领域最严峻的威胁之一。本文将概述
    的头像 发表于 03-16 09:41 474次阅读

    施耐德电气遭勒索软件攻击,大量机密数据泄露

    Cactus是一种新颖的勒索软件,首次出现于2023年5月,其独有的加密机制可避免常规检测。此外,Cactus具备多种加密选项,包含快速模式。若攻击者选择连贯执行两种模式,受害方文件将被双重加密,附件会添加两个不同的扩展名。
    的头像 发表于 01-31 10:51 1357次阅读

    台湾半导体公司遭遇勒索软件攻击

    来源:The Record 台湾一家半导体制造商受到网络攻击,据称该攻击是由臭名昭著的LockBit勒索软件团伙发起的。 黑客在京鼎精密科技(Foxsemicon)的网站上发布了一条威胁信息,称他们
    的头像 发表于 01-18 16:15 522次阅读