首頁 > 運動
什麼是勒索攻擊?勒索攻擊到底該怎麼防禦?
由 網盾網路安全 發表于 運動2023-01-09
簡介那麼威脅情報可以幫助企業更高效地應對勒索攻擊等新型威脅,三、事件聚合一些高明的駭客攻擊能繞過基於規則的靜態檢測技術,但駭客攻擊的行為特徵卻不會改變,一定會產生異常行為,比如提升許可權、關閉安全軟體、刪除檔案等
現在主流網線是幾類的
當前,勒索攻擊、殭屍網路攻擊、
DDos
攻擊、
APT
攻擊、挖礦攻擊、供應鏈攻擊、網站攻擊、電信詐騙等各種攻擊手段層出不窮。
勒索攻擊應該是今年網路安全行業討論最多的話題
,勒索錢財或者竊取商業資料是黑產最主要的目的。
全球幾乎所有國家的政府、金融、教育、醫療、製造、交通、能源等行業均受到影響。
在不久前閉幕的
G20
峰會上,中美俄甚至攜手
15
國共同舉行了以防範勒索攻擊為主題的網路安全演習。
基本上有網際網路的地方就可能存在勒索攻擊。勒索攻擊已經成為未來一段時期各大企業網路安全的主要威脅。駭客善於利用各種偽裝達到入侵企業的目的,任何一個經過包裝的垃圾郵件、網頁廣告、系統漏洞、
U
盤等都可能讓企業的安全防護功虧一簣。
據某安全公司統計,
我國
其每年接到並處理的勒索攻擊事件依然多達
4000
餘,受害企業面臨著重要資料資產被盜和洩漏的嚴重後果,輕則造成業務停頓,重則被迫繳納鉅額贖金。
勒索攻擊氾濫的
一個主要
原因在於,
RaaS
(
Ransomware as a Service
,勒索即服務)模式大幅降低了攻擊團伙的技能門檻,
而
上下游協同又進一步促進了勒索軟體的技術發展。
勒索軟體技術發展
主要有
三大特點:
對抗性高:從
大多數
勒索攻擊全過程來看,
駭客
分階段使用了加密、免殺、逃逸等技術,對抗能力不斷提高。
勒索攻擊
APT
化:勒索攻擊團伙更具耐心,為獲取有價值資產,其入侵與滲透過程甚至可長達數週乃至數月,這與
APT
攻擊特點趨同。
靜態防禦見效難:針對勒索攻擊各階段攻擊手法,單一安全產品很難完整覆蓋,靜態依靠規則檢測的防禦手段越來越難防範勒索攻擊。
面對勒索攻擊技術的不斷髮展,
目前有效的防禦手段主要包括
:
一
、
攻擊面收斂。
網路攻擊無孔不入,攻防雙方真正的較量從入侵環節開始。
勒索攻擊通常採用
RDP
爆破、殭屍網路與
Web
滲透(典型如漏洞利用)網路釣魚、等方式入侵,其中
RDP
爆破與網路釣魚是主流入侵手段,但勒索攻擊軟體也正快速整合並豐富
Web
滲透等入侵技術。要防範被入侵,首先要做好攻擊面收斂與管理,儘可能減少暴露資產。
那麼就
要求企業進行更精細的資產管理,杜絕存在弱密碼的作業系統賬號、開放埠、不當配置等;
同時
企業
也需
要實時檢測各類作業系統、中介軟體及上層應用漏洞資訊,及時更新補丁,避免被駭客利用。還要從攻擊者視角去審視企業存在的攻擊面與入侵路徑,比如可以透過使用紅隊評估服務,讓企業安全狀態保持在一個較高水準。
全面的攻擊面管理與收斂可以儘量避免入侵,但並不能完全杜絕,畢竟業務正常執行,為使用者提供服務,網際網路之上的數字資產必不可少。入侵併不可怕,只要在事中能及時阻斷攻擊,同樣能保護企業數字資產安全。
二
、
事中檢測響應
勒索團伙攻擊所使用的工具
是勒索軟體
,
無論其
攻擊技術多麼高明,都必須依仗惡意軟體來完成攻擊。
而
不同勒索團伙所使用的惡意軟體功能大致相同,比如弱口令爆破工具、橫移工具、內網探測工具、憑據竊取工具、勒索主體軟體等。如果能在惡意軟體寫入主機硬碟時就響應,就
可以很大程度上
阻斷勒索攻擊的後續過程。
然而
,
每種型別工具都有
相應的
變體軟體,
有的
甚至還可能使用了移除特徵碼、加密、免殺、逃逸等技術,
那麼
單一檢測工具
就
很難完全抵禦勒索攻擊。
那麼
威脅情報可以幫助企業更高效地應對勒索攻擊等新型威脅,
三
、
事件聚合
一些高明的駭客攻擊能繞過基於規則的靜態檢測技術,但駭客攻擊的行為特徵卻不會改變,一定會產生異常行為,比如提升許可權、關閉安全軟體、刪除檔案等。
那麼
透過行為特徵檢測(
IOA
)理論上是可以有效檢出高明、隱蔽的駭客攻擊的。
不過
大多數都行為特徵檢測都是單點檢測,也就是告警孤立、缺乏上下文聯絡,需要人工二次研判,
但是
面對成百上千臺,乃至上萬臺主機的異常行為告警,很容易被告警淹沒,從而
“
抓不住
”
真正有價值的告警。但如果以事件為維度統一檢視、處理威脅,便可以有效的解決告警基數大、誤報多、不可讀的問題。
最後
,
企業
想
要構建有全面威脅應對能力的整體網路安全防護體系,還需要系統性建設思維,比如企業辦公網已經日漸成為駭客最頻繁利用的風險點,終端安全建設的重要性日漸突出,
不可忽視
。