查看原文
其他

从勒索攻击事件,谈病毒防御之道

天融信 2022-05-08

1


近日,据外媒 Bleeping Computer 报道,位于墨西哥的富士康工厂遭受DoppelPaymer勒索软件攻击,感染大约 1200 台服务器、窃取100GB未加密文件,删除20TB 至 30TB 的备份数据,并对相关设备进行加密。DoppelPaymer 团伙要求支付 1804.0955 比特币 (价值约 2.2 亿元)的赎金,以换取加密密钥和不公布被盗数据的承诺。

                           

勒索病毒活跃程度持续居高,第一个勒索病毒“艾滋病信息木马”可追踪到1989年,问世至今已有近三十年,历经多年勒索病毒不但没有消亡,反而愈演愈烈。根据《2019年我国互联网网络安全态势综述》报告展示,CNCERT于2019年捕获勒索病毒73.1万余个,较2018年增长超过4倍,可见勒索病毒增长迅猛。


勒索病毒在地下黑客论坛已形成黑色产业链,甚至有成套的销售、售后服务,为获取高收益赎金,高价值企业已成勒索病毒精准攻击对象。攻击技术不断演进升级,导致传统病毒防护方案收效甚微,勒索病毒已是全球最严峻的网络安全威胁之一。面对层出不穷的勒索病毒,该如何构建行之有效的勒索病毒防御体系是当务之急。


如何做好病毒防御?





一款优秀的EDR 

要素1:具备全面的风险分析和发现能力,将勒索病毒拒之门外

EDR要能够通过主动式探测扫描,深入检测系统、应用及内核模块中存在的漏洞、弱口令及配置风险,并结合系统业务情况提供智能补丁修复、虚拟补丁和修复建议,从而及时、精准清除可能被勒索攻击利用的隐患。


要素2:具有独特的防御技术,让勒索病毒“无路可走”

EDR需具备可将单步防御和多步监控相结合的防御技术,针对文件、注册表、进程、网络等可能的威胁入口点进行立体式防御、持续监控,动态识别正常行为和异常攻击,拦截各种威胁行为。


要素3:多引擎实时检测,实现精准查杀

多引擎协同,保证勒索病毒的实时检测与精准查杀。基因识别引擎提取恶意代码行为特征(类生物病毒DNA片段),通过高度复用、重组技术形成恶意代码基因情报库。当勒索病毒及其变种病毒运行时,精准识别并查杀病毒载体,保护用户业务数据不被勒索攻击。行为分析引擎采用内核级虚拟沙盒技术,完善模拟系统进程、线程调度、文件系统、注册表、API等。在进行勒索病毒检测时,在虚拟沙盒中对其进行受控虚拟执行,还原病毒本质的攻击行为,全面识别免杀逃逸、漏洞利用等未知勒索病毒攻击行为,阻止勒索病毒威胁事件发生。勒索病毒诱捕引擎深入分析勒索病毒加密行为,针对勒索病毒加密入口点存放诱饵文件并持续监控。一旦监测到加密行为发生,便精准终结相应进程、清除文件,阻止勒索病毒蔓延。


要素4:及时、有效响应安全威胁事件,实现快速处置

在响应与处置方面,实现根据预置动作自动处置并上报检测到的恶意代码威胁及攻击行为,从而完成文件自动处置、文件隔离、文件删除、文件恢复、攻击自动拦截等响应动作。当威胁发生时,可提供溯源分析日志快速定位攻击源,并可通过远程协助快速连接到目标主机进行威胁取证和处置,缩短威胁响应时间。






一套协同的防御体系

勒索病毒及时防,协同联动是王道。通过下一代防火墙、防病毒网关、入侵防御、容灾备份一体机及EDR构建立体式防护方案,从边界到终端形成协同联动防御,实现精准检测、快速响应、联动处置,从而大大降低对勒索病毒的响应时间。同时,防御体系贯穿勒索行为整个生命周期,有效从事前、事中、事后等多个时间节点进行防御。

 

天融信EDR单机版下载地址:

http://edr.topsec.com.cn/

天融信EDR企业版:扫码下方二维码即刻申请






热·点·推·荐

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存