例如:现代勒索攻击团伙在入侵后会潜伏几天、几周甚至数月,他们在真正运行勒索病毒加密删除文件之前,都会偷偷寻找有价值的文件或数据,并将其外传。另外,在勒索加密代码真正启动之前,一般都会进行免杀处理,以此让防毒软件失效。
亚信安全首席研发官吴湘宁提到:“由于勒索攻击深度结合APT攻击技术手段,要解决各种来源的威胁情报杂乱无章,安全团队缺乏完整的威胁可见性、应急响应流程 ‘纸上谈兵’等问题,势必需要XDR这样的联动方案,从威胁的检测、控制,再到威胁狩猎、调查、归因等整体联动防御,方能产生更好的效果。”
【勒索病毒治理联动全景图】
为此,亚信安全根据勒索攻击6个阶段的不同特点,推出以XDR技术为核心的现代勒索病毒治理解决方案,从服务能力、产品能力逐层向上提供支撑,通过终端、云端、网络、边界、身份、数据的检测与响应(目前引擎可洞察72个勒索攻击的检测点),以及威胁数据、行为数据、资产数据、身份数据、网络数据等的联动分析,形成了针对勒索病毒治理全链条,覆盖“事前、事中、事后”运营处置,为贯穿勒索病毒事件应急响应全流程的关键动作提供了支撑。
【勒索病毒治理解决方案】
事前——风险排查
事前风险排查是应对勒索病毒攻击最可行手段,因为其通过现代密码学实现高强度数据文件加密,理论上通过现有技术几乎不可能破解。亚信安全勒索体检中心提供了分行业、场景和需求,定制化的专项体检服务,例如:网络资产大盘点、网络流量勒索体检、威胁情报告警分析、高危失陷主机确认、EDR端点勒索体检服务、IOA与IOC热点事件与勒索情报碰撞后的高危主机评估、云主机安全勒索体检服务、终端安全勒索体检服务等。
事中——应急处置
亚信安全方舟覆盖了勒索病毒攻击治理响应的全流程,具体包括:初始响应阶段、遏制阶段、分析阶段、补救措施阶段、恢复阶段、事后分析会议,并通过资深安全专家组成的网络安全服务,加速应对勒索攻击的响应效率,减轻因勒索攻击导致的企业资产损失。
【勒索攻击事件应急响应流程】
事后——扫除威胁
现代勒索攻击是一个集合了多种常见攻击方式的综合性攻击,同时具备了针对性、持久性和隐藏性的特点。因此,它可以通过Web进行攻击,可以通过电子邮件传递攻击,也可以通过操作系统和应用程序的漏洞来攻击,并且还可以通过人工社交攻击在企业内网端点上潜伏下来,让人防不胜防。
为此,针对事后可能出现的二次攻击,方舟提供了全链路智能行为与内容变化追踪,对批量数据窃取及高度隐蔽性异常访问等恶意行为进行智能安全分析,高效识别各类已知与未知的攻击,同时利用EDR强大的检测能力及威胁情报能力,定期、主动对端点上潜藏的威胁进行隔离,扫清“雷点”。
平台为先,筑牢新一代威胁治理屏障
目前,我们所面对的是现代勒索已经成熟的 “产业链”,他们不仅包括了上中下游的勒索病毒开发者、勒索执行者,还应运而生出赎金谈判和赎金代管者,不法分子的相互协作配合,共同瓜分勒索收益,大大降低了攻击实施的技术门槛。
