查看原文
其他

安全419《勒索攻击解决方案系列推荐》绿盟科技篇

闫小川 安全419 2022-08-17


关于勒索软件攻击的一些趋势问题我们在之前《预告:安全419<勒索攻击解决方案系列推荐>选题即将发布》中有大量介绍,感兴趣的朋友可以跳转阅读,此后的系列选题将不再额外赘述。


作为一种活跃且广泛的网络安全威胁,建设相应的能力已成企业、组织必做之事,作为《勒索攻击解决方案系列推荐》首篇,安全419将带领大家走进老牌网络安全企业——绿盟科技,来看看他们是如何应对勒索软件攻击所带来的新威胁。



在此之前,我们还是先再次了解一下这家企业,绿盟科技——全称绿盟科技集团股份有限公司,成立于2000年4月,是我国最早成立的专业型网络安全企业之一。绿盟科技于2014年1月29日在深圳证券交易所创业板上市,发展至今在国内各地已设有50余个分支机构,为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企业用户,提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。并且绿盟科技在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立海外子公司和办事处,力图打造全球网络安全行业的中国品牌。


从企业介绍可以看到,绿盟科技可以为企业用户提供全线网络安全产品和服务,以下我们就进入正题,安全419在对话绿盟科技产品总监王凤周之后,对该企业的勒索软件安全解决方案作出如下了解:


传统方法面对日益复杂的勒索攻击日渐失效

企业应建立全方位针对性解决方案


王凤周告诉我们,由于勒索攻击方法持续进化,以及勒索变种类型快速演进,传统防御手段面对日益复杂的勒索攻击日渐失效,应对勒索攻击要对其攻击形式进行全面且持续地研究,推出更适合企业自身特点的防御手段。由于勒索软件攻击面较为广泛,没有一蹴而就的解决方式,因此需要全面的解决方案才能予以应对。


“针对勒索攻击更有效的方法是构建包含边界、内网、终端的纵深防御体系,来斩断勒索病毒攻击的攻击链。”王凤周介绍称,绿盟科技在整体的绿盟勒索攻击安全解决方案中提出了一系列安全应对方法,共包括邮件安全防护、网络入侵防护、终端安全、漏洞扫描、威胁诱捕、流量分析、数据备份等等。



绿盟勒索攻击安全解决方案的大框架之下,将针对不同的端点进行全方位的安全防护,其中邮件安全如邮件安全网关、邮件高级威胁防护系统将有效应对常见的APT钓鱼攻击;在边界安全方面,网络入侵防护系统、流量分析系统将对入侵第一时间以有形化无形,为用户重要的信息系统提供告警和防护能力;内网环境安全方面,可部署漏洞扫描系统、一体化终端安全管理系统、高级威胁狩猎系统、数据备份等产品,实现无缝的安全能力。


王凤周向我们强调称,勒索攻击两大趋势当中,除了勒索攻击RaaS(勒索软件即服务)产业化将导致勒索攻击泛滥之外,勒索攻击借助APT技术将重要服务器作为目标,将是今后的攻击常态,所以邮件安全是最不应该被忽视的环节,当然还包含员工的安全意识培训等服务。同时,每一个0day漏洞的爆出,都是对业务系统的一次重大挑战,在线业务如果缺少相应的安全能力,被勒索攻击风险将大幅提升。


在终端所对应的内网环境中,王凤周更以实例向我们证实其同样需要重点防护的必要性。无论是以公司视角,还是以个人安全专家视角,都有大量客户或用户向他们咨询勒索恢复问题,而这些被勒索攻击的案例中较为常见的是内网主机被攻击,通常由于员工的安全意识薄弱导致,比如企业员工点击了虚假的含病毒的网址,或是点击了资源型网站的恶意广告等。


同时在绿盟勒索攻击安全解决方案中,进阶的安全能力是智能安全运营平台和一体化安全运营方面的能力,智能安全运营平台是一个XDR的集成威胁分析检测与响应的安全套件,能够跨越混合IT架构,实现威胁预防、检测与响应等要求的互操作与协调功能。这两大安全基线方面的建设则应对了运维人员需时刻掌握企业全面的信息化安全能力,相当于态势感知体系的建设,涵盖有基于日志、流量进行分析,以及资产、脆弱性等进行管理。


终端防护是对抗勒索攻击的主战场

绿盟一体化终端安全管理系统能力突出


王凤周向我们表示,如果企业认识到网络安全的必要性,认识到勒索攻击对企业的致命危害,在预算允许的情况下,应考虑部署整体的勒索攻击安全防护方案。但现状仍然不那么乐观,大量的企业仍然没有条件实现全方位部署,面对现状,王凤周认为安全企业就需要为有安全需求的企业做得更多。


“勒索攻击防护最终还是要落到终端上来,如何按照企业现实的环境,对勒索病毒在终端上予以斩断,将是勒索攻击防护的重点。”王凤周向我们介绍称,绿盟一体化终端安全管理系统(NSFOCUS UES)从产品的体系架构和终端安全视角对绿盟智慧安全3.0理念体系实现接壤,即实现了“全场景、可信任、实战化”的安全能力,在应对勒索防护方面,将以事前防御、事中阻断与应急处置、事后审计等三个维度来应对勒索攻击。



针对勒索攻击,绿盟UES在事前防御方面主要提供安全合规建设能力,安全合规是企业在近几年频繁会遇到的问题,比如数据安全合规、隐私保护合规,但在勒索攻击事前防御方面则是另外一个维度,它包含可配置的基线合规,其作用是制定一套对外界而言未知的标准,以此来实现终端可信监测。同时事前的安全能力方面还包含弱口令、漏洞扫描、补丁修复等方面。


王凤周强调称,在真实事件中经常能见到被勒索的企业虽然有做大量的安全合规工作,但往往最终还是被勒索加密,如果没有做数据备份,一旦数据被加密就很难恢复,这说明企业对于事前防御方面仍存在很多不足之处。所以对重要数据进行备份也属于事前机制,而真正遭遇勒索,数据加密之后再进行数据恢复则是事后要做的事。


零信任终端防护在应对勒索攻击方面以减少暴露面和阻断传播为主,安全能力则包括网络微隔离、关键项防护、应用控制、病毒查杀、文件防篡改能力,同样是应对勒索见招拆招。勒索攻击方与防守方博弈不断,而绿盟UES的威胁诱捕则属于主动出击的防御手段,通过部署高价值虚假目标,以蜜罐沙箱的方式让攻击者无功而返,但企业可以从中分析攻击行为,这样可以帮助真正的业务系统实现更加完善的攻击防御方法和手段。


智能安全运营平台XDR体系则可以有效的检测和应对目标攻击,包括利用人工智能进行事件调查响应,结合终端锚点、安全遥测与分析快速发现攻击端点,通过低成本的安全编排与响应,协调各个安全组件响应跨组织的威胁攻击防御。从根本上减少威胁驻留时间和人工操作,帮助企业抵御攻击。



王凤周进一步介绍称,威胁检测响应通过部署绿盟UES客户端对终端上的各种行为基于流量进行监测,在勒索病毒入侵时,可以第一时间做到检测到攻击行为,此时将对主机进行隔离操作,将阻断病毒的横向传播。在终端安全审计对应的事后审计方面,将为用户提供强大的日志能力,包括事件日志、应用日志、系统日志,终端上所有的行为均有记录,以便于攻击溯源提供支撑。


在勒索攻击解决方案中,识别勒索病毒的能力至关重要,绿盟UES在检测勒索攻击方面,基于终端行为分析、情报分析、机器学习、特征值等综合技术,不仅可以检测抵御已知勒索病毒,同时对未知勒索病毒同样提供支持。


同时据王凤周向我们介绍,作为一款下一代终端安全产品,绿盟UES还可有效检测APT攻击、挖矿木马、传统的僵尸木马蠕虫病毒等、以及0day漏洞等已知和未知威胁,并且提供多维度的及时响应措施,从而全面保障企业终端安全。


王凤周还进一步向我们展示绿盟UES各功能模块的可视化能力,可视化逐渐成为网安新标准,他将为运维人员提供更便利的操作和分析工作。以资产为例,有的企业业务线较少,开展的线上业务情况总是能做到心中有数,但企业规模逐渐扩大,线上业务也会越来越多,其涉及的资产只有有效的统一可视管理,才能让安全工作变得高效直接。


全员的安全意识是重中之重

网络安全保险业务为意外托底


王凤周表示,在绿盟科技所面对的寻求事后恢复的真实勒索案例中,绝大多数勒索攻击导致数据加密是源于员工的意识疏忽问题。相关组织的调研报告更是称对于工业网络事故中,50%以上是人员失误造成的,特别是疫情和数字化转型带来的影响也将加剧这一方面的可能,一个是远程办公的增加,另一个是管理工具的移动化。


为解决企业面对勒索攻击的全方面威胁,绿盟科技还可以为企业量身定制定培训与教育服务,该项服务覆盖信息安全意识、信息安全技能、信息安全管理等多方面内容,培训对象涉及普通员工、IT技术人员及领导决策层。在国外的很多信息技术发达国家,企业安全意识培训由上驱动,已成为企业文化之一,国内在这方面明显存在很大不足。


另外,据进一步了解,针对勒索攻击,绿盟科技还可以提供网络安全保险业务,通过提供相关险种进行覆盖,以应对完全由数据安全威胁造成的勒索损失。相关业务由绿盟科技与前海财险合作达成,双方于2018年就签订了战略合作协议,联合发布“网络安全综合保险”,探索网络安全保险业务模式,并逐渐形成“保险+风险管控+服务”的现有服务机制,同时已在客户侧进行实践落地。


安全419观察发现,随着网络安全风险成为全球主要风险之一,保险公司也在针对该风险推出更多的险种来扩大其市场。在这一方面,他们通常会与专业的网络安全企业达成合作,通过评估+服务的模式来平衡双方风险。针对网络安全保险话题本篇内容不作深入讨论,但我们认为,针对勒索攻击以保险业务为切入,随着保险公司与安全公司之间的不断深入合作,也是应对勒索攻击的一种可行办法。


● 尾 声

以上为此次我们对绿盟科技针对勒索攻击所能提供的安全能力进行的全面了解,希望能为企业做出针对性部署防护起到借鉴和帮助作用。


同时本次系列选题还将持续更新,我们还将持续走进更多的网络安全企业,来观察他们针对不同行业、不同用户和不同环境以及技术能力之间的细节与区别,敬请持续关注。同时我们也欢迎更多拥有同样实力的安全企业自荐,只要你的安全解决方案、能力得到我们的认可,我们的最终目的只有一个,那就是帮助我们最终企业用户,避免他们成为勒索攻击的下一个受害者。


THE END

// 推荐阅读

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存