勒索病毒防不住?“动态安全防御”+“关键数据备份”两手抓

近日,国内某知名财务软件0day漏洞或被大规模勒索利用。短短一天时间,确认来自于同个勒索病毒的攻击案例已超2000余例,且数量正呈不断上升趋势。受灾企业被要求向攻击者支付0.2BTC(约合人民币2.8万元),虽然赎金与“传统”的勒索病毒赎金相比金额较低,但是足以影响到受灾企业的正常运营状态。

如此大规模的勒索病毒攻击,瞬间在安全业界激起千层浪,引发了广泛的社会关注。自2017年“WannaCry”勒索事件爆发以来,全球各国都已极大提高了大众对勒索病毒的重视程度,但勒索病毒依旧防不胜防,典型勒索事件频发。

为什么防御勒索病毒这么难?勒索攻击能不能被提前发现?如果企业不幸遭遇了勒索攻击,该如何应对?基于这些问题,瑞数信息对勒索攻击的发展态势、攻击手段、应对策略进行了深度剖析。

勒索攻击愈演愈烈 呈现五大新趋势

近年来,勒索病毒攻击席卷全球,有互联网的地方就存在勒索攻击。随着数字化进程的加快,勒索攻击已经成为当下网络安全的主要威胁,有组织性的黑客攻击目标不再仅是核心数据窃取,医疗、政府、工业制造、金融、能源、通信等行业的关键信息基础设施成为黑客攻击新目标,影响范围仍在不断扩大。与此同时,全球网络攻防对抗的强度、频率、规模和影响力不断升级。

勒索病毒攻击经过数年的演变升级,如今的勒索攻击手段日趋成熟,攻击目标越发明确,模式多种多样,攻击愈发隐蔽,更加难以防范,危害也日益增大。随着勒索攻击专业化、团队化运作,勒索攻击逐渐发展出五大新趋势。

  • 趋势一:供应链成为勒索攻击重要的切入点

一个基础性漏洞很可能将整个供应链的程序暴露在风险中,当供应链攻击和勒索软件攻击被一起使用时,会造成更大的危害,勒索对象正在从供应商延伸到其客户群体。

  • 趋势二:多重勒索模式引发数据泄露风险

攻击者不止是对数据进行加密后勒索受害企业,还会窃取数据再次勒索企业,通过双重勒索、多重勒索的模式,使勒索的利益最大化。

  • 趋势三:新一代勒索攻击采用low and slow(高隐蔽且高持久化)的攻击手法

攻击者在窃取数据过程中缓慢加密数据,攻击隐藏性加强,攻击行为不易发现,使得发现威胁和恢复数据的难度大幅提升。

  • 趋势四:勒索软件与“挖矿”木马相结合

攻击者会在攻击过程中将二者同时实施,受害企业的设备不仅会遭受勒索攻击,还会被攻击者用来挖矿,除了电力能耗增大、设备老化加速、经济损失严重之外,攻击者还会留下后门恶意窃取机密信息,直接引发或变相滋生各种网络犯罪。

  • 趋势五:勒索病毒扩散渠道转向web应用漏洞

随着攻击技术迭代升级,攻击者开始从系统漏洞转向应用漏洞挖掘,针对特定应用定制高级攻击工具,定向实施应用漏洞攻击,成为新型勒索攻击手段。

传统技术瓶颈凸显 反勒索亟需新思路

为了对抗勒索攻击,市面上出现了很多反勒索安全防护产品或数据备份产品。即便如此,当新型的勒索攻击手段出现时,依然无法保护企业的数据安全。那么,现有的安全防护技术到底存在哪些不足?

瑞数信息表示,现有反勒索安全技术面对新型勒索攻击最大的两个防护弱点分别是应用漏洞与响应速度。这可以从应用安全和数据恢复两个角度来看,前者是作为应用攻击检测和响应的防御手段,后者是作为数据备份、业务恢复的手段,但这两种技术不能停留在传统技术思路上,否则无法对抗不断升级的勒索攻击。

  • 传统WAF

以传统WAF为代表的应用攻击防护产品,是基于固定的规则和特征库,无法防护利用自动化攻击技术隐蔽恶意攻击特征并不断变形的勒索软件,更无法防御利用0day漏洞的勒索攻击。

  • 传统灾备系统

传统备份系统是定期做全量数据备份,但并不能完全识别备份数据是否健康、是否可恢复、是否完整,一旦原始数据被感染,备份数据同样会被感染,导致数据无法使用。传统容灾系统同样没有办法应对勒索软件的攻击,一旦主系统被病毒感染破坏,备用系统数据同步复制,所有的容灾系统都会被病毒感染。同时,新型勒索攻击采用low and slow的攻击策略,被加密的数据跨越多个备份时点,运维人员难以确认可以用于恢复干净数据的时点,大幅增加了恢复工作的挑战与难度。

若企业仅在被勒索攻击后通过灾备系统恢复了数据,但未对数据内容的完整性进行验证,被勒索软件加密的“脏数据”将会影响系统的正常运行,造成二次伤害,再度打击企业的商誉。此外,传统备份系统恢复数据时间较长,从而无法保证业务的连续性。

对抗勒索病毒 关键数据备份是“最后的防线”

当现有的安全防护手段不够有效时,企业面对勒索攻击是否就只能“任人拿捏”?

事实上,反勒索安全防护需要全方位考虑,如:做好数据备份与灾难恢复方案;定期检查漏洞、及时更新安全补丁;定期更换登录口令;减少互联网暴露面;加强网络边界入侵防范与管理;提高安全意识,都是企业面对勒索攻击威胁需要采取的必要措施。

勒索与其他病毒和攻击有一个重要的差别点在于,一旦遭受勒索,数据和系统通常难以解锁,因此反勒索除了关注勒索病毒的预防、攻击检测外,更加依赖应急的高效和高安全、高质量的数据恢复,成为最关键的最后一道防线。

从技术的角度看,采用创新的应用安全防护技术和数据备份技术,能够为企业打造更坚固的数据反勒索防线。目前,瑞数“动态应用防护系统Botgate”+ “数据安全检测与应急响应系统DDR”的组合方案,正是反勒索创新技术的典型代表。

(一)动态应用防护系统Botgate

作为新一代WAF明星产品,瑞数Botgate广为业界所熟知,以“动态防护+AI”技术为核心,通过动态封装、动态验证、动态混淆、动态令牌等创新技术,能够实现从用户端到服务器端的全方位主动防护。在高效识别各类已知与未知攻击的同时,也弥补了传统WAF和杀毒软件无法对未知恶意软件特征进行识别的短板。

由于瑞数Botgate不依赖固定规则和特征进行防护,而是通过独有的“动态防护+AI”技术,在漏洞发布之前就能够有效识别0day攻击,提前可以对未知0day进行拦截,有效防御利用0day漏洞的勒索攻击。针对0day爆发后的Webshell工具攻击,瑞数Botgate也能够通过动态技术对Webshell的访问进行阻断,无论Webshell如何升级,都能够有效一招制敌,防止攻击者通过Webshell植入勒索攻击代码。

(二)数据安全检测与应急响应系统DDR

一旦企业应用或系统被勒索软件破防,快速恢复企业核心数据,保持业务的正常运转,是企业反勒索的关键。瑞数DDR系统定位于企业核心数据备份、快速恢复备份数据,正是数据反勒索“最后的防线”。

在新安全形势下,需要支持原始格式的数据安全底座,瑞数DDR系统作为新一代数据安全底座,能够有效实现数据反勒索的三大目标:健康体检、勒索监测、快速恢复。

  • 目标一:健康体检,事前数据风险管理

盘点数据资产与排查系统隐患是做好数据安全的第一步。瑞数DDR基于创新的“深度文件内容检测”技术,能够高效识别企业核心备份数据的数据类型,生成数据完整性、敏感数据分布及权限审计等报告,从而全面掌控企业核心备份数据资产的管控现状。此外,更通过漏洞检测与配置核查等机制,排查系统隐患,保护备份数据资产的安全。

  • 目标二:勒索监测,事中智能威胁感知

瑞数DDR系统基于独创的“离线智能深度检测引擎”,可以对攻击过程中损毁的文件进行安全检测,检测出被勒索软件加密的文件,找出干净可用的数据,帮助企业快速恢复IT系统。

传统备份系统并不会对备份数据的好坏进行检测,以至于备份数据中可能因勒索软件的攻击,存在大量被损毁的文件,恢复后的系统仍无法正常使用。瑞数信息可以在备份过程中发现损毁或异常的文件或数据,找到被勒索病毒感染的文件及感染时间点,协助安全管理人员快速移除勒索软件并对系统进行加固。

这种技术来源于瑞数信息独创的文件与数据库动态变化追踪技术,通过对比文件名、文件类型、文件大小、文件信息熵、文件相似度等指标的变化,从而识别出被勒索软件加密的可疑文件。利用信息熵+AI技术进行安全检测,正是瑞数信息的独门绝技,检测准确性可高达98%以上。

  • 目标三:快速恢复,事后快速响应恢复

基于传统备份系统,数据合并费时必须将备份格式转化生产数据格式,数据必须移动拷贝才能恢复,恢复时间往往需要数天甚至数周。基于瑞数独创的智能快速恢复引擎,无论多大数据量,瑞数DDR系统都能够自动生成可直接挂载的干净磁盘镜像,达到分钟级的数据恢复,将业务中断的时间降到最低。

此外,瑞数DDR还能够评估评估攻击造成的损害,如:哪些数据被攻击了?受影响的数据是如何分布的?哪些用户受到影响?何时发生的?造成的损害和影响有多大?最新的干净备份是哪个版本?从而能够快速用最新的干净备份恢复受损的数据,并自动移除勒索软件产生的勒索说明文件。

相比传统数据恢复方案,一旦生产数据被加密,备份数据也很大可能被加密,瑞数DDR最大的优势在于防批量数据破坏、安全隔离备份数据、分钟级快速恢复、生产环境低干扰、自动化可编排运维,能够很好地突破传统灾备系统面对勒索攻击威胁时的瓶颈。一旦被勒索病毒感染,瑞数DDR能够第一时间对备份增量数据进行分析,发现被加密的数据,从系统中找到未加密的数据进行恢复,最大的数据丢失风险仅为当日增量数据中被加密的部分,对企业业务连续性影响较小。

结语

在勒索攻击愈演愈烈的今天,传统安全、备份与灾备机制面对新兴的数据安全威胁已显得捉襟见肘,新一代数据反勒索机制的建设已刻不容缓。以瑞数“动态应用防护系统Botgate”+ “数据安全检测与应急响应系统DDR”为代表的数据反勒索方案,将基于创新的动态安全+AI技术,融合存储技术,为各行业用户筑起坚固的安全防线。