根据卡巴斯基实验室的一项研究,勒索软件感染在过去12个月内下降了30%。这种下降与现在流行的加密货币的价格密切相关。然而,这并不意味着企业安全工程师和CISO可以高枕无忧。勒索软件仍然是最流行的妥协之一,也是最具破坏性的妥协之一。据报道,勒索软件危害可能对中小型企业造成毁灭性打击。调查了2,400多家中小企业和超过500,000家托管服务客户。数据显示,2016年第二季度至2018年第二季度,79%的中小企业受到勒索软件的影响。这些中小型企业通常没有安全预算和人员来实施复杂的预防和检测解决方案来对抗勒索软件的危害。传统上,大多数组织都依赖基于签名的检查或基于沙盒的启发式解决方案来检测和防御勒索软件。虽然这些仍然是实用企业安全架构的重要组成部分,但它们也存在一些重大缺陷,导致它们无法有效检测某些最新和最复杂形式的勒索软件。对于初学者来说,每天都会出现太多新的勒索软件变种。基于沙盒的解决方案通常部署在边缘并监控来自互联网的流量。但是,可以使用网络钓鱼和沙箱规避技术等社会工程技术完全绕过边界。此外,它在处理零日勒索软件危害方面效果不佳,更不用说互联网流量经过多次加密,让人们更难看到内部的实际有效负载。在检测勒索软件时,欺骗确实可以改变游戏规则。勒索软件检测的工作方式通常是将一些隐藏文件作为面包屑的一部分部署到企业环境中的端点和服务器。当勒索软件感染主机时,它会执行一系列操作,例如加密受感染主机上的文件、删除影子备份、创建持久注册表项以及按字母顺序或倒序加密映射的驱动器。不同的安全解决方案使用不同的检测方法。恶意活动会立即在管理控制台上触发一个事件,指示勒索软件已被引爆。可以利用集成的第三方工具来执行自动事件响应,例如隔离受感染的主机以防止勒索软件在整个环境中传播。显然,勒索软件速度很快,因此快速检测活动并以足够自信的自主方式采取行动是当务之急。一些受害者需要几个月的时间才能从这些类型的毁灭性攻击中恢复过来。与其他传统检测解决方案相比,基于欺骗的检测提供了一些独特的优势:无论勒索软件妥协起源于何处或在何处引爆,都可以在整个环境中提供全面保护。检测独立于操作系统类型、文件格式、传输方法、加密算法等。恶意行为的检测适用于零日危害和新变种。高交互蜜罐具有很高的定制能力,可以部署用户真实的操作系统和业务软件环境,然后利用HIDS技术有效感知0day等未知威胁的感染。这也是欺骗技术的核心价值之一。高保真和低误报,非常快速和准确的检测。蜜罐技术基本上是感知实时有害行为的结果。加密流量进入蜜罐后,不依赖特征库进行恢复。无论签名如何变化,病毒如何变形,蜜罐都只监测其行为,监测覆盖范围广,误报概率极小。另外,蜜罐不属于真正的宿主,即使出现误报,影响面也几乎为零。欺骗还可以检测内部网络上的许多其他恶意活动,例如横向移动、未知威胁检测发现功能、数据泄露等。我们的Intranet威胁意识系统是一个领先的欺骗平台,提供所有这些功能,采用欺骗技术检测传统安全措施忽略的信息,并加速自动化危险分析和事件响应。企业可以通过欺骗将主动权掌握在自己手中。当危害发生时,企业不仅可以拦截危害,还可以将危害者诱入设计好的陷阱进行分析监控,了解危害的目的、工具、方法,甚至实施危害,让危害者无处可逃逃脱,陷阱不会被加害者发现,因为它看到的是真正的资产,但没有价值。这就是欺骗系统达到的效果。也是目前市面上对抗勒索软件最有效的方法。
