AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
公司
勒索病毒來勢洶洶,看安恒EDR四招破解
近日,國際貨運巨頭Expedit or s 遭遇疑似勒索軟件攻擊,Expedit or s公司官網在當天中午發布公告,稱由于遭遇針對性網絡攻擊,被迫關停全球業務系統。雖然目前沒有具體公布此次網絡攻擊的類型,但從相關描述和國外各家媒體提供的線索來看,這極有可能是一起大規模的惡意勒索事件。
該事件對Expedit or s公司影響巨大,貨運、海關與配送等業務面臨停擺;Expedit or s公司表示:這是一次“可能對公司業務、收入、運營能力和商業聲譽造成嚴重負面影響”的重大事件。
?
勒索病毒作為目前最具有破壞力的惡意軟件之一,2021年達到爆發高峰,據數據統計,全網勒索攻擊總次數高達2234萬+,平均贖金從2020年的 400,000 美元提高到 800,000 美元,影響面從企業業務到關鍵基礎設施,從業務數據安全到國家安全與社會穩定,勒索病毒已經成為了網絡安全領域的一塊“頑疾”。同時,隨著Apache Log4j2漏洞等全球網絡安全事件頻發,網絡攻擊的強度和破壞性都到達頂峰。
近年,大規模勒索病毒事件頻發,隨著勒索病毒的不斷發展、“變種”,如今的勒索產業鏈已經非常完善,變得更加難以防御。接下來讓我們詳細剖析勒索病毒的入侵過程,分析怎樣才能有效防御勒索病毒。
01
信息收集? 尋找攻擊點
攻擊者為了尋找攻擊點,首先會搜集目標資產的系統信息、組件、漏洞等信息,攻擊者通過漏洞掃描、網絡嗅探等方式,發現攻擊目標網絡和系統存在的安全隱患,找到或形成攻擊的突破口。
如何在事前對攻擊者的探測與入侵進行有效防護?
安恒EDR具備防端口掃描功能,實時檢查入站連接并阻斷對本機端口的惡意探測, 防止攻擊者進行掃描和嗅探,導致敏感信息泄露。
安恒EDR能夠幫助用戶清晰梳理資產,發現資產的薄弱點,進行針對性加固,不給攻擊者“可乘之機”。通過利用基線安全檢查與勒索風險專項評估能力,對系統的弱口令、威脅文件、風險賬號、錯誤配置等進行專業評估、針對系統的薄弱點進行快速修復,防止被攻擊者利用。
02
入侵主機 持久化攻擊
主動防御要前置,EDR三大核心能力,將勒索病毒拒之門外:
?主動防御能力:針對惡意的程序及文件進行檢測和發現,并進行自動化響應
?暴力破解防護能力:能夠對系統登錄行為進行合理限制,防止賬號被爆破,導致攻擊者提權,從而繞過主機防護
?違規外聯防護能力:檢測主機直接連通互聯網或通過其他設備訪問互聯網,有效發現并阻斷惡意外聯的行為
防護加固正當時,安恒EDR兩大防護功能,讓主機安全固若磐石:
?防單機擴展:針對本機的擴展行為進行監測,防止提權行為
?防遠控持久化:對失陷后主機遠控持久化行為進行檢測,并可阻斷遠控
03
橫向滲透 擴大攻擊面
攻擊者會利用已失陷的資產對其他資產進行掃描滲透,以失陷的資產作為跳板對當前網段進行感染,擴大攻擊面。一旦通過445端口、3389端口連接成功,則會嘗試通過漏洞利用進行感染,以控制盡可能多的網絡資產。如何有效切斷攻擊者攻擊途徑,阻止攻擊者進行滲透呢?
安恒EDR通過防內網探測功能對內網的惡意攻擊行為進行識別,阻斷攻擊者對內網的橫向滲透。并基于業務隔離的策略劃分特定的網絡域, 防止威脅在內網擴散;搭載一鍵關閉高危端口,一鍵封鎖威脅IP等應急策略,防止“威脅串網”維持整個網絡環境穩定。
04
植入勒索病毒 ?迅速擴散
如何有效切斷勒索病毒加密行為,保護核心業務文件?
交給安恒EDR專利級勒索病毒防護引擎:及時發現并阻斷勒索病毒的啟動,準確高效地實時保護用戶關鍵業務數據及服務。
?勒索行為防護引擎:通過分析海量的勒索軟件樣本及病毒家族特性,總結了樣本具有的共性特征形成了引擎行為知識庫,通過系統API級別分析,高效抵御未知勒索病毒。
?勒索防護誘餌引擎:針對勒索病毒遍歷文件實施加密的特點,在終端關鍵目錄下放置誘餌文件,當有勒索病毒嘗試加密誘餌文件時及時精準中止惡意進程,阻止勒索病毒的進一步加密和擴散。
?文件保險柜:安恒EDR添加訪問控制策略,對重要文件或目錄進行訪問權限控制,僅允許配置的例外進程操作,根本上杜絕勒索病毒,根本上保護業務數據安全。
在對勒索病毒入侵的這四步中如果系統沒有形成針對性防御的話,攻擊者在這四個步驟中就會形成完整的勒索攻擊鏈:入侵->滲透->擴散->勒索,將一舉癱瘓目標網絡并實施勒索。安恒EDR能夠幫助用戶打造全流程閉環的勒索病毒防護體系,對勒索病毒入侵的各個階段 實施全面防護,徹底解決用戶的后顧之憂,全方位保障用戶數據安全。