8月10日,思科确认其内部网络遭到勒索软件团伙入侵,导致部分数据泄露。尽管思科发言人表示,攻击者只是从与受感染员工账户相关的Box文件夹中窃取了一些非敏感数据,但该事件对思科的业务没有实际影响。但攻击者声称他们获得了大约2.75GB的思科内部数据,以及大约3,100个文件,其中许多涉及保密协议、数据转储和工程图纸。1、攻击事件分析根据思科对此次攻击事件的初步调查,攻击者劫持了该员工的个人谷歌账户并获取了VPN登录用户名和密码,然后通过社会工程学攻击获得了二次认证凭证,从而成功进入了思科内联网系统。攻击者已经扩展到思科服务器和域控制器。在获得域管理员权限后,它利用ntdsutil、adfind、secretsdump等枚举工具收集更多信息,并在受感染系统上安装包括后门在内的一系列payload。获得初始访问权限后,攻击者会进行各种活动来维护访问权限、最大限度地减少取证并提高他们对环境中系统的访问级别。由此可见,此次思科数据泄露事件可能是双重勒索攻击造成的。通过窃取数据,攻击者勒索数据所有者。一旦数据拥有者未能按要求支付赎金,相关数据将在暗网上出售,从而使攻击者真正获得攻击收益。勒索攻击是指攻击者劫持用户系统或数据资产,以勒索为主要目的的非法活动。近年来,勒索软件攻击已成为危害最大、最常见的网络攻击方式。根据勒索行为的目标,勒索攻击可以分为一般勒索攻击和针对性勒索攻击。一般来说,勒索病毒攻击通常会以“撒网”的方式将攻击成分传播到网络中,引诱不明身份的受害者进行攻击。针对性勒索攻击者通常会事先收集目标的地域、业务特征、软件等信息,制定针对性的攻击策略或攻击工具。表:常见的勒索软件攻击流程在这次思科事件中,攻击者设计了获取登录凭证的步骤和方法,因此可以认为是有预谋的针对性勒索软件攻击。2、勒索病毒攻击防护体系建设随着勒索病毒攻击能力向更高层次发展,防御勒索病毒攻击不再是简单的部署终端安全产品。勒索病毒攻击的流程和能力已经与APT有所融合,可以参考APT防护来构建勒索病毒攻击防护体系。对于勒索攻击防护体系的构建,可以基于PPDR模型形成连续的预测、防护、检测和响应。根据攻击状态可分为勒索病毒防护策略建立、勒索攻击事前防护、勒索攻击识别与阻断、勒索攻击应急响应。1、在勒索病毒防护中建立勒索病毒防护策略,遵循PPDR模型,通过持续的预测、防护、检测、响应,实现对企业系统的超前、持续、有效的防护。持续的运营和服务将依托专家和厂商不断更新的安全能力为企业赋能。运营和服务应贯穿勒索病毒防护的各个阶段,实时掌控企业安全状况。2.勒索病毒攻击前置防御勒索病毒攻击前置防御从左到右依次为容灾备份、安全防护产品和网络保险。在安全建设中,能力是从左到右依次叠加的。容灾备份容灾备份可以分别从系统层面和数据层面保护企业的可用性和完整性。需要注意的是,容灾备份作为一个业务系统,也存在被攻击的风险,因此有必要对容灾备份系统进行安全保护。容灾备份只是针对传统的加密勒索。针对现阶段越来越多的窃密双重勒索,容灾备份系统已经不能满足防护需求。安全防护产品对勒索病毒登陆前的防护主要是边界防护,防止勒索病毒进入系统。在构建安全防护时,需要从系统和技术两个维度进行构建。从制度上看,需要建立网络接入、文件下载、文件复制传输等相关制度,规范员工的网络行为。在建立这样的制度的基础上,还需要建立对员工的网络安全意识培训制度和要求,确保员工始终具备最前沿的网络安全理念,避免收到钓鱼邮件和访问钓鱼网站。以思科事件为例,用户凭证两次被劫持,均与思科员工安全意识薄弱有关。在第一次凭证窃取过程中,思科员工自动存储了重要的账户用户名和密码,导致相应的凭证信息在谷歌用户账户被盗后同步给攻击者。在第二次凭证盗窃期间,思科员工受到社会工程攻击,导致数据泄露。在技??术层面,以部署边界防护产品为主,辅之以门禁产品、安全分析产品或应用安全产品。防御建设要采用叠加进化的思路,由被动防御向主动防御,由单一功能产品向综合产品推进。网络保险对于是否应该购买网络安全保险,业界也处于探索阶段。一方面,网络安全保险可以在风险发生时减少自身损失。另一方面,企业购买网络安全保险也让攻击组织更容易获得经济利益。许多提供勒索软件攻击防护解决方案的主流厂商已经开始与保险公司合作。企业购买勒索防护产品后,可进一步咨询厂商相关服务。3、勒索病毒识别与阻断勒索病毒进入企业后,需要通过技术手段阻止其传播或造成实际危害。网络防扩散网络防扩散的目标是防止勒索病毒的横向移动,避免勒索病毒爆发后大规模传播带来的多节点风险。主流的网络防扩散技术包括使用VLAN划分网段,以便在出现风险时快速阻断。另一种技术是网络探测技术。通过部署网络探针,可以尽快识别网络中的扩散风险。在这次思科事件中,思科内部的关键系统,比如与产品开发、代码签名相关的系统都没有受到攻击,这说明思科在网络分工上做得不错。勒索病毒识别勒索病毒识别技术和产品主要分为两种:在此次思科事件中,由于思科及时发现了攻击者,并清除了攻击载荷和攻击后门,使得攻击者后续的攻击均以失败告终。让这次被盗的数据控制在2.8GB。而没有更大的影响。勒索病毒阻断4.勒索病毒攻击应急响应为保证勒索病毒执行后能够快速响应,需要日常建立应急响应流程,并进行应急演练,确保应急响应能够按照发生勒索软件攻击时的有效步骤和方法。对于勒索病毒执行后的防御,我们建议企业除了建立和完善自身的勒索病毒攻击防护体系外,必要时还可以购买专业的网络安全服务,确保在发生勒索病毒风险后能够快速找到专业人员协助决策发生。.三、国内有代表性的勒索病毒防护厂商及解决方案下面列举几家具有代表性的国内勒索病毒防护厂商及解决方案,供参考。安恒信息安恒勒索防护解决方案以EDR为核心,涵盖检测、预防、防御、响应、溯源、加固六大阶段。基于大数据分析、机器学习等核心技术,提前对资产和风险事件进行建模分析,通过勒索专项考核能力,对资产进行基线检查和安全体检,监控资产风险,预测风险事件。在此过程中,构建针对端网融合的勒索专项防护能力,结合自动响应和处理能力,高效发现和防御勒索威胁,同时通过威胁联动提供最新的勒索攻击动态情报系统。事后基于追溯能力,进行有效的调查取证和对策,对薄弱项进行二次加固。深信服勒索病毒防护解决方案,从终端、网络、服务三个维度,提供基于勒索病毒预防、监测、处置的全流程防护。围绕边界投毒+病毒感染+加密勒索+横向传播的完整勒索攻击链条,全面帮助用户弥补勒索病毒防范、监测、处置能力的不足,构建有效防范、持续不断的勒索病毒防护体系监控、高效处置。奇安信QiAnxin勒索病毒综合检测防护解决方案主要联网产品包括:奇安信网神新一代安全感知系统天眼、奇安信网神邮件威胁检测系统、奇安信网神安全DNS检测防御系统、奇安信网盛云锁服务器安全管理系统、奇安信天晴终端安全管理系统、奇安信网神新一代智能防火墙,奇安信提供勒索病毒应急响应安全服务。构建“边网端”全方位纵深防御体系,全方位、多场景应对APT、钓鱼邮件、恶意域名、隐蔽通道等多渠道勒索病毒攻击。美创科技美创诺亚反勒索系统是一款基于零信任、数据资产保护为核心的勒索病毒防护软件。该产品以“知白守黑、无阻塞、无安全”为核心理念,融合内核级保护机制、主机保护、基线保护、威胁情报、诱捕机制、智能模型等创新技术,实时监控各种流程对数据的影响。文件读写操作,快速识别并阻断非法进程的入侵,旨在通过严密的防御机制主动抵御各种病毒攻击。安天科技安天反勒索防护解决方案以智能终端防御系统为核心,形成终端侧防护能力,通过与探海威胁检测系统、追影威胁分析系统、捕风蜜罐系统、态势感知系统、拖痕应急响应工具箱等联动,形成整体安全能力。一旦发现勒索病毒行为,多种安全工具可以检测用户主机被勒索病毒攻击的可能性,并提供详细的检测报告和加固方案。同时配备安全服务,派遣技术专家通过现场调查或远程方式确定勒索病毒类型和攻击方式,并提供主机加固、威胁清除等服务。百卓信息百卓信息反勒索解决方案提供了以数据和数据流为线索的数据自我保护解决方案。通过“后量子密钥管理”和“强制访问控制”的智能融合,实现数据自我保护,使服务器和终端上的数据文件能够抵御勒索软件、网络钓鱼、恶意软件、内部人员等已知和未知的威胁,实现自我保护-免疫。
