“反勒索 新抓手”直播回看丨从方法框架到产品实践的有效防护
4月25日,安天“反勒索新抓手 依托执行体治理升级勒索防护能力”主题分享会在线上召开,从方法框架到产品实践,探索勒索防御的新理念及如何构建行之有效的治理抓手。
安天反勒索的方法和理念基于安天对勒索攻击长期的持续跟踪与分析,和积累的大量实战经验。安天工程师们从勒索攻击事件的复盘和防护启示、执行体治理理念在主机系统侧防勒索中的价值、终端安全产品和云安全产品基于执行体的落地防护能力以及安天勒索防治演练服务方面展开分享,构建端/云/网多层次和实战化的纵深防护体系,强化全主机系统防护的基石作用。目前,直播视频可在安天微信视频号、哔哩哔哩平台回看。
➤哔哩哔哩回看地址:https://www.bilibili.com/video/BV1fu4m1F7K4/?vd_source=68a7ca50402bd3860918130a6147d357
图1 LockBit组织总体攻击过程复盘
强化主机系统侧执行体治理,防护勒索攻击
面向定向勒索乃至APT级定向攻击,最终在主机系统侧达成作业目的现实情况,安天始终坚持夯实自身在产业上游赋能的优势,以此塑造执行体治理主赛道结构,将资源聚焦于共性方法、共性能力、全主机系统安全、支撑服务、共性平台(赛博超脑)的塑造。
安天解决方案中心的工程师介绍了如何通过防护勒索攻击落地、执行、致效这三个关键环节,强化主机系统侧执行体治理能力,融合主机系统侧业务场景,降低用户遭受勒索攻击的风险。
安天在共性能力和知识体系的支撑下,完善安全能力的引擎化封装和功能积木构建,形成了以智甲防护工作环境、睿甲防护工作负载的积木化灵活组合和可扩展的防护、检测和响应能力,实现全主机系统勒索防御覆盖。
图2 强化主机系统侧勒索攻击防护的基石作用
终端是防御勒索病毒攻击的主战场。安天智甲基于多年对勒索事件的跟踪分析和对抗经验,构建了“五层防御,两重闭环”的防护技术手段。
五层防御分别为:
1.系统加固是基于环境塑造技术,实现对系统配置脆弱点的检查修补,从而减少勒索攻击的暴露面,削弱漏洞利用的成功率;
2.(主机)边界防御是基于外设管控和主机防火墙技术,实现拦截扫描、入侵数据包,阻断攻击载荷传输,拦截外设插入自动运行,使勒索攻击难以获得主机入口;
3.扫描过滤是基于AVL SDK威胁检测引擎和执行体治理技术,实现对主机全量执行体进行细粒度识别,判断检测对象恶意,从而实现精准清除和行为管控;
4.主动防御是基于内核驱动持续监控操作行为,研判是否存在疑似勒索攻击动作,并通过文件授信(签名验证)机制,过滤正常应用操作动作以降低误报;
5.文档安全是依靠部署多组诱饵文件并实时监测,诱导勒索病毒优先破坏,达成欺骗式防御效果。
图3 智甲勒索防护方案
睿甲专注于云上主机、容器、微服务等工作负载的统一安全管理,针对云上的勒索攻击,睿甲从事前暴露面收敛和加固,到事中的实时入侵检测和响应处置,再到事后的数据恢复和溯源取证,安全能力可完整覆盖云上工作负载勒索攻击的全流程,提升勒索威胁对抗能力,帮助用户构建从勒索软件到高级威胁对抗的体系化纵深安全防线。
图4 睿甲云上勒索纵深防护方案
安天勒索防治演练服务安天安全服务中心的工程师提到,在勒索病毒突发的情况下,用户面临的主要问题包括数据被加密导致无法访问、业务中断造成的经济损失、支付高额赎金的压力,以及可能引发的声誉损害和法律风险等。安天勒索病毒应急演练服务通过提供模拟攻击场景、专业培训和优化应急响应机制等方式,协助用户预防勒索病毒攻击,并在遭遇攻击时能够迅速解决问题,减少损失。
图5 安天勒索防治演练流程