安全419《勒索攻击解决方案》系列访谈——深信服科技篇
关于勒索软件攻击的一些趋势问题我们在之前《预告:安全419<勒索攻击解决方案系列选题>即将发布》中有大量介绍,感兴趣的朋友可以跳转阅读,此后的系列选题将不再额外赘述。
作为一种活跃且广泛的网络安全威胁,建设相应的能力已成企业、组织必做之事,持续呈现的《勒索攻击解决方案系列选题》,此次将带领大家走进的是另外一家头部网络安全企业——深信服科技股份有限公司,看看他们是如何应对勒索软件攻击所带来的新威胁。
我们仍然先大致了解一下这家企业:
深信服科技股份有限公司是一家专注于企业级网络安全、云计算、IT基础设施与物联网的产品和服务供应商,拥有深信服智安全和信服云两大业务品牌,与子公司信锐技术,致力于承载各行业用户数字化转型过程中的基石性工作,从而让每个用户的数字化更简单、更安全。目前,深信服员工规模超过9000名,在全球设有50余个分支机构,目前,超过10万家企业级用户正在使用深信服的产品。
深信服科技股份有限公司于2000年12月25日成立,是我国最早一批网络安全企业,经历并见证了我国网络安全发展进程。深信服科技股份有限公司于2018年5月16日在深交所挂牌上市,股票代码:300454。在前不久第三方机构发布的国内百强网络安全企业调研中,深信服以1002亿元价值位列榜单第一名,成立二十余年之后,已发展成为我国网络安全龙头企业。
下面我们就进入正题,安全419在对话深信服勒索病毒防护解决方案专家刘帆之后,对他们的勒索病毒防护解决方案作出如下了解:
难以防范的勒索攻击
为何只有经历生死才会真正重视安全?
本次交流在更加开放状态下进行,安全419将不仅仅重视解决方案当中安全产品的能力,更加重视的是安全企业突出的勒索攻击解决方案的系统方法论,以及企业用户在日常业务运营时会遇到的真实勒索威胁,这也将是我们接下来要重点展示的内容。
刘帆首先告诉安全419的是,之所以勒索攻击正在对全行业产生威胁,正是因其不断发展产生的普遍性威胁与针对性威胁相交织的结果。过去以WannaCry为代表的勒索病毒的爆发,实际上就是一种普遍性威胁,早年间的勒索攻击更多是无差别式攻击,利用用户未修复的武器级漏洞进行广泛的、以蠕虫为载体的自动化病毒传播,彼时攻击的针对性不强。
但时至今日,因其能对涉事企业造成巨大损害,并从中勒索巨额钱财,勒索攻击已经发展成了一个独立的安全威胁分支,大量黑客组织聚集于此,攻击逐渐以产业化模式运作,此时其攻击已不再仅限于普遍性。“勒索组织正将其勒索能力RaaS化,仍以产业链分工模式带动勒索攻击的普遍性。同时,他们自身则正在不断加大对特定各级商业组织、政府机构开展广泛而活跃的定向攻击,具有明显的针对性。”
正是这种普遍性威胁与针对性威胁两者交织之下,让企业一侧在对应勒索攻击时更加难以防范。
刘帆表示:“在深信服进行应急处置的事件中,大部分组织单位知道有勒索病毒防护解决方案,但没被勒索的时候,很少认为有购买的必要性。”
“只有经历生死,企业才能真正的重视安全。”而最终寻求安全企业的帮助,企业才会意识到,如果没有系统的方法论对勒索风险全面封堵,二次勒索也只是时间问题。
剑指核心 以持续的安全服务
打通客户防勒索“能力应用”
安全企业在“勒索攻击大时代”下必将肩负更重责任,企业一侧在抵御勒索攻击时仍然要靠专业的安全企业提供相应的解决方案予以应对。据了解,深信服在帮助企业应对勒索攻击时,建立了整套的勒索病毒防护解决方案,其围绕预防、监测、处置三大维度进行。其中,预防能力是方案的重要前提。
“但预防并不是简单的安全设备堆砌,而是如何真正把安全能力应用起来。”刘帆解释称,很多时候,企业并不缺乏相关安全能力建设,但多起攻击案例证明,勒索病毒在相关企业中能实现短期潜伏,其本质是能力应用失效问题。“所以我们也在持续地优化勒索病毒防护解决方案,如何帮助客户把安全能力应用起来尤为关键。”
刘帆向我们分享一个案例,之前国内某一家大型跨国企业就曾遭遇勒索攻击,生产系统调用的重要数据全部被加密,事后深信服参与应急处置了解到,该企业相关的安全设备并不欠缺,安全能力没有被有效利用是其导致最终被勒索加密的主要原因。
深信服通过长期服务于企业的安全建设经验发现,中大型企业在安全建设上控制力相对较好,但也存在大量IT资源难以全面管控问题;而小型企业IT资源相对集中,但又存在安全设备调试架设即终止的一种泛安全状态。
在安全本应是持续对抗的过程当中,企业一侧没有精力和能力对来自全面的威胁进行及时处置,长期存在的安全真空亦是造成被勒索攻破的主因。
观察到这一现状之后,深信服在勒索病毒防护解决方案的迭代过程中,对应强化安全服务能力,全面减轻企业的安全资源投入上的负担,以解决其中核心问题。
为此,深信服设立了一个庞大的安全运营中心,云端专家对交付安全解决方案后续提供7*24小时持续跟踪运维,对于发现的企业网络安全风险,可以基于授权进行及时处置,或第一时间与企业取得联系,授权下予以协同处置。
刘帆进一步指出,勒索攻击最终仍要向企业内部重要数据下手,以此要挟支付赎金。这也意味着勒索组织要在企业内部寻找重要数据,以此提升勒索成功率。对于企业而言,防御并不意味着永远有效,高明的攻击者有可能绕过企业已有的防御措施,故除防御措施外企业还应具备相应的监测能力,以判断来自未知风险面的攻击行为。
深信服安全托管服务MSS围绕资产、脆弱性、威胁、事件四个要素,帮助用户构筑持续(7*24小时)、主动、闭环的有效监测。该服务理念基于创新的“人机共智”防护思路,在充分整合资深安全服务专家经验基础上,以AI驱动安全运营平台和服务工具、以SOAR(安全编排自动化和响应)驱动标准化服务流程。
数字化转型带来的新挑战
安全的未来在云端
有了系统的应对勒索攻击的方法论,在落实到安全产品能力建设上时,刘帆认为,安全建设不是静态的,而是动态的、不断完善的过程,特别是企业在经历数字化转型以来,大量的应用、资产正向云端迁移,结合不断的创新,业务形态也具有不断变化特点。
云化的业务需要云化的安全来保护,绝大多数安全产品的能力实际上都可以用云化的方式进行交付。云化的安全产品和服务能够快速部署、快速演进,大幅简化用户在产品交付和运维上的工作。“顺应更多用户的数字化转型发展,深信服已将安全能力全面云化,用户可以根据自身的业务实际部署形式来选择使用。”
虽然安全本身不会给业务创造价值,但安全缺失给业务造成的损失将远超想象。因此安全能力应用一定要足够简单、足够有效、足够可靠,要让用户越来越省心,这也是深信服智安全践行的“简单有效、省心可靠”理念。
尾声
以上为此次我们对深信服科技针对勒索攻击所能提供的系统能力进行的了解,希望能为企业做出针对性部署防护起到借鉴和帮助作用。同时,本次系列选题还将持续更新,我们还将持续走进更多的网络安全企业,来观察他们针对不同行业、不同用户和不同环境以及技术能力之间的细节与区别,敬请持续关注。
同时我们也欢迎更多拥有同样实力的安全企业自荐,只要你的安全解决方案、能力得到我们的认可,我们的最终目的只有一个,那就是最终帮助企业级用户,避免他们成为勒索攻击的下一个受害者。
THE END
// 推荐阅读