全文下载 | 三万字《防数据勒索解决方案》让关基保护实现真实场景落地
天下苦“勒索软件攻击”久矣。
近日,美国政府宣布悬赏高达1000万美元,以获取帮助识别或追踪臭名昭著的“黑暗面”(DarkSide)黑客组织头目的信息。美国执法部门此前宣称,该黑客组织是5月份导致美国燃油管道公司Colonial Pipeline瘫痪的勒索软件攻击的幕后黑手。那次袭击导致一条5500英里长的向美国东海岸提供燃料的管道关闭,造成汽油短缺。Colonial最终以加密货币的形式向黑客支付近500万美元的赎金。美国燃油管道事件被不少美媒定性为 “美国有史以来最具破坏性的数字勒索事件之一”。
勒索软件对关基危害巨大
勒索软件是目前网络空间中最具破坏性且传播广泛的一种恶意软件,近年来持续肆虐,已成为威胁网络安全的主要“杀手”。
2016年3月,网络攻击导致孟加拉国央行8100万美元被窃;2017年,Petya勒索病毒暴发,欧洲多个国家被大规模攻击,尤其乌克兰的政府机构、银行、企业等均遭大规模攻击,甚至乌克兰副总理的电脑也遭受攻击;2019年6月,世界最大飞机零件供应商之一ASCO遭遇勒索病毒攻击,生产环境系统瘫痪,千名员工被迫带薪休假;2019年10月,全球最大的助听器制造商之一Demant遭受勒索病毒入侵,损失高达9500万美元;2019年12月,一个名为Maze的黑客组织攻击了佛罗里达州彭萨科拉市,该市电话、市政热线、电子邮件服务器和账单支付系统遭到破坏;2020年底,电子巨头富士康在在墨西哥的一家工厂遭遇数据勒索攻击,一度造成这家工厂停工减产;2021年,美输油管道运营商、华盛顿警局接连“中招”,被索高额赎金,国家一度进入紧急状态。
有研究表明,在未来国际网络空间战场上,攻击者对勒索软件的利用将不再局限于经济牟利,而更多转向纯粹的国家级破坏活动。一言以蔽之,针对关键信息基础设施的攻击可能会对国家的运作能力造成“破坏性影响”。
抽丝剥茧分析勒索攻击作案路径
安恒信息董事长范渊曾在接受央视采访时曾表示,勒索病毒以及它的变种是一种非常典型的网络安全的例子。面对勒索攻击,如果提前预防,成本可能是事后的百分之一、甚至千分之一。下一步很有必要针对关键、敏感的新型关键性基础设施快速做好对勒索病毒变种为代表的网络安全防范工作。
面对现代勒索软件攻击甚嚣尘上的现状和挑战,安恒信息在实践基础上输出多达三万字的全面体系化《防数据勒索解决方案》。方案从具体案例切入:
举个例子:富士康被勒索事件
2020年底,电子巨头富士康在在墨西哥的一家工厂遭遇数据勒索攻击,攻击者声称,加密了超过1,000台服务器,窃取了100 GB的未加密文件,并删除了20-30 TB的备份,勒索者还在数据泄露站点上发布部分数据。数据勒索者索要1804.0955 BTC赎金,约为35,000,000美元(约合2亿人民币),一度造成这家工厂停工减产。
以此事件为例,勒索组织并不是仅仅将数据加密,而是渗透、窃取、泄露、破坏、加密相结合,由此可见,在实施企业数据勒索的过程中,勒索组织又有进一步的精细化分工。在对企业进行数据勒索时,勒索病毒反而成为最后实现勒索的工具,数据勒索过程与APT攻击有相似的攻击链,描述如下:
入侵内网:通过网站挂马、垃圾邮件、病毒、木马、社会工程等方式,甚至是APT攻击,勒索组织进入用户内网;
内网踩点:获取一部分资源的控制权限后,勒索组织会建立隐蔽通信通道进行远程控制,也为窃取数据建立数据传输通道;
勒索组织会通过扫描探查、数据监听、记录分析等方式,了解用户内网的资源分布情况,到薄弱环节和有漏洞的系统,重点探查数据库服务器、备份服务器的数据较为集中的系统。
横向渗透:通过系统漏洞、口令攻击等方式获取更多系统的控制权,尤其是获取数据库权限,为窃取数据和实施勒索做准备;
窃取数据:将数据库中存储的数据复制或者外发到黑客控制的服务器,分析实施勒索的定价,勒索不成也可以卖到暗网上。
删除备份:数据备份是能否成功勒索的最大障碍,勒索者会找到数据备份系统,并删除备份数据,破坏备份机制,防止受害者因为可以利用备份恢复数据,不付赎金造成勒索失败;
加密数据:对数据进行加密,造成业务系统崩溃或者数据库宕机,一般选在晚上和周末,等用户发现系统异常时,已经来不及做响应;
实施勒索:从多个维度进行勒索,包括数据加密造成的生产停顿或者经营困难,威胁将下载的数据对媒体公开、出售给竞争对手、对企业高管进行人身攻击,逼迫受害人就范。如果勒索不成,被下载的数据会被在暗网出售,弥补勒索组织的损失。
结论:即便支付了赎金还有可能由于技术原因数据恢复失败,泄露的数据也可能重新包装后进入暗网。
坚守积极防御之道
沿着数据勒索攻击链:入侵内网→内网踩点→横向渗透→窃取数据→删除备份→加密数据→实施勒索的每个步骤,《防数据勒索解决方案》提出要建立涵盖事前检测预防、事中监测防御、事后恢复溯源的纵深防御体系,将数据勒索风险降到最低。
事前检测预防覆盖的场景主要包含:主机安全及管理(EDR)、防垃圾邮件、关键数据识别、安全评估检查、安全意识、应急演练等。
事中检测防御采取的安全措施包括:数据库审计、数据库蜜罐、APT攻击预警、用户行为分析(UEBA)、数据分析处置等。
事后恢复溯源的举措方法主要包括:数据备份与恢复、备份物理保护、应急响应、谈判专家、网络保险等。
结合客户真实业务场景的痛点、需求,为客户量身定制的防勒索体系详细设计,可以通过下载解决方案全文获取。
安恒信息《防数据勒索解决方案》
扫描二维码下载
往期精选
围观
热文