反勒索 新抓手 | 安天睿甲云上勒索防护解决方案
“反勒索新抓手 依托执行体治理升级勒索防护能力”专题
1.勒索攻击的模式与波音遭遇攻击事件复盘2.强化主机系统侧执行体治理,防护勒索攻击
3.安天智甲主机勒索防护能力与案例
目前各行业对云计算的应用越来越广泛,云上承载的关键业务和重要数据不断增多,而云上承载业务的云主机、容器等工作负载也成为勒索攻击的主要目标。由于云本身大规模与集中化的资源共享,以及业务之间的高开放性和互联性等特点,会带来很多区别于传统架构的新的攻击面,进一步增加了勒索攻击的风险。
这也使得传统防勒索方案无法有效覆盖当前云场景业务的安全防护需求,其难点主要体现在三个方面:首先,云上勒索攻击目标更加多样,包括服务器、虚拟机、云主机、容器、微服务等,传统勒索攻击更多地关注办公终端;其次,云业务场景具备弹性伸缩、动态迁移的特性,导致云上暴露面无法很好收敛,更容易遭到勒索攻击;另外,若用户对云内东西向安全建设不足时,会出现API滥用、互相VPC内部信任等问题,导致勒索病毒更容易在云环境中横向移动。
针对云上海量异构的工作负载的勒索防护需求,安天睿甲产品分别从事前、事中、事后三个阶段提供多层次、立体化、可扩展的勒索防护解决方案,安全能力可覆盖云上工作负载勒索攻击的全流程,帮助用户构建从勒索软件到高级威胁对抗体系化的纵深安全防线。
图1 安天睿甲云上勒索防护方案总体思路
事前阶段:通过细粒度的资产识别和全面的风险核查,发现风险暴露面,并提供针对性的系统加固、补丁修复、行为基线、网络基线等事前加固手段,收敛暴露面。
图2 风险总览视图
图3 行为基线视图
事中阶段:通过内置EDR、HIDS、RASP、日志审计等多维度威胁检测能力,实时发现并阻止勒索软件落地前的入侵行为。针对已落地的勒索软件,睿甲提供勒索攻击诱饵、勒索行为特征检测、恶意外连监测、重要文件保护等多种能力,当勒索软件执行时可快速发现定位并阻止其勒索行为执行。针对正在横向渗透的勒索攻击,睿甲通过进程级访问控制的微隔离,将失陷工作负载控制在指定有限范围内,有效遏制其横向移动攻击。
图4 Lockbit勒索软件告警
图5 高危工作负载隔离处置
事后阶段:睿甲提供文件备份恢复和事件溯源能力,根据时间周期、攻击IP、受影响工作负载、进程、文件等IOC溯源,完整还原攻击者的攻击路径,有效支撑当勒索事件发生后的文件恢复和溯源取证工作。
图6 勒索事件溯源拓扑图
➢24小时不间断防护,时刻保障用户高价值数据;
➢从识别分析到响应处置提供一站式勒索病毒防护,支撑安全运营闭环;
➢针对海量异构的防护对象,做到统一客户端、统一管理平台,减少用户安全资源成本重复投入;
此外,针对勒索威胁的防治工作,还需要进行实战化演练,不断提升网络安全保障水平,下一篇文章将详细介绍《安天勒索防治演练服务》。