云安全
大数据安全态势感知
物联网安全
工业互联网安全
安全管理
数据安全
网络安全
应用安全
商用密码
端点安全
新型智慧城市
开发安全
云原生安全
网络空间靶场
运营管理服务
公司
勒索病毒来势汹汹,看安恒EDR四招破解
近日,国际货运巨头Expedit or s 遭遇疑似勒索软件攻击,Expedit or s公司官网在当天中午发布公告,称由于遭遇针对性网络攻击,被迫关停全球业务系统。虽然目前没有具体公布此次网络攻击的类型,但从相关描述和国外各家媒体提供的线索来看,这极有可能是一起大规模的恶意勒索事件。
该事件对Expedit or s公司影响巨大,货运、海关与配送等业务面临停摆;Expedit or s公司表示:这是一次“可能对公司业务、收入、运营能力和商业声誉造成严重负面影响”的重大事件。
勒索病毒作为目前最具有破坏力的恶意软件之一,2021年达到爆发高峰,据数据统计,全网勒索攻击总次数高达2234万+,平均赎金从2020年的 400,000 美元提高到 800,000 美元,影响面从企业业务到关键基础设施,从业务数据安全到国家安全与社会稳定,勒索病毒已经成为了网络安全领域的一块“顽疾”。同时,随着Apache Log4j2漏洞等全球网络安全事件频发,网络攻击的强度和破坏性都到达顶峰。
近年,大规模勒索病毒事件频发,随着勒索病毒的不断发展、“变种”,如今的勒索产业链已经非常完善,变得更加难以防御。接下来让我们详细剖析勒索病毒的入侵过程,分析怎样才能有效防御勒索病毒。
01
信息收集 寻找攻击点
攻击者为了寻找攻击点,首先会搜集目标资产的系统信息、组件、漏洞等信息,攻击者通过漏洞扫描、网络嗅探等方式,发现攻击目标网络和系统存在的安全隐患,找到或形成攻击的突破口。
如何在事前对攻击者的探测与入侵进行有效防护?
安恒EDR具备防端口扫描功能,实时检查入站连接并阻断对本机端口的恶意探测, 防止攻击者进行扫描和嗅探,导致敏感信息泄露。
安恒EDR能够帮助用户清晰梳理资产,发现资产的薄弱点,进行针对性加固,不给攻击者“可乘之机”。通过利用基线安全检查与勒索风险专项评估能力,对系统的弱口令、威胁文件、风险账号、错误配置等进行专业评估、针对系统的薄弱点进行快速修复,防止被攻击者利用。
02
入侵主机 持久化攻击
主动防御要前置,EDR三大核心能力,将勒索病毒拒之门外:
➽主动防御能力:针对恶意的程序及文件进行检测和发现,并进行自动化响应
➽暴力破解防护能力:能够对系统登录行为进行合理限制,防止账号被爆破,导致攻击者提权,从而绕过主机防护
➽违规外联防护能力:检测主机直接连通互联网或通过其他设备访问互联网,有效发现并阻断恶意外联的行为
防护加固正当时,安恒EDR两大防护功能,让主机安全固若磐石:
➽防单机扩展:针对本机的扩展行为进行监测,防止提权行为
➽防远控持久化:对失陷后主机远控持久化行为进行检测,并可阻断远控
03
横向渗透 扩大攻击面
攻击者会利用已失陷的资产对其他资产进行扫描渗透,以失陷的资产作为跳板对当前网段进行感染,扩大攻击面。一旦通过445端口、3389端口连接成功,则会尝试通过漏洞利用进行感染,以控制尽可能多的网络资产。如何有效切断攻击者攻击途径,阻止攻击者进行渗透呢?
安恒EDR通过防内网探测功能对内网的恶意攻击行为进行识别,阻断攻击者对内网的横向渗透。并基于业务隔离的策略划分特定的网络域, 防止威胁在内网扩散;搭载一键关闭高危端口,一键封锁威胁IP等应急策略,防止“威胁串网”维持整个网络环境稳定。
04
植入勒索病毒 迅速扩散
如何有效切断勒索病毒加密行为,保护核心业务文件?
交给安恒EDR专利级勒索病毒防护引擎:及时发现并阻断勒索病毒的启动,准确高效地实时保护用户关键业务数据及服务。
➽勒索行为防护引擎:通过分析海量的勒索软件样本及病毒家族特性,总结了样本具有的共性特征形成了引擎行为知识库,通过系统API级别分析,高效抵御未知勒索病毒。
➽勒索防护诱饵引擎:针对勒索病毒遍历文件实施加密的特点,在终端关键目录下放置诱饵文件,当有勒索病毒尝试加密诱饵文件时及时精准中止恶意进程,阻止勒索病毒的进一步加密和扩散。
➽文件保险柜:安恒EDR添加访问控制策略,对重要文件或目录进行访问权限控制,仅允许配置的例外进程操作,根本上杜绝勒索病毒,根本上保护业务数据安全。
在对勒索病毒入侵的这四步中如果系统没有形成针对性防御的话,攻击者在这四个步骤中就会形成完整的勒索攻击链:入侵->渗透->扩散->勒索,将一举瘫痪目标网络并实施勒索。安恒EDR能够帮助用户打造全流程闭环的勒索病毒防护体系,对勒索病毒入侵的各个阶段 实施全面防护,彻底解决用户的后顾之忧,全方位保障用户数据安全。
