華為多層聯動勒索攻擊防護技術MRP能否有效對抗勒索?
2022年,我國某大型家電制造商、某著名電動車制造商遭勒索攻擊,要求的贖金高達數百萬美元到一千萬美元。之前全球某頭部IC代工廠、某頭部電子設備代工企業等都曾遭到過勒索攻擊。國內醫院因為收入好、對業務持續性要求高、對勒索攻擊買單意愿強,也成為勒索攻擊的重點目標。
勒索攻擊如今已是政企客戶最頭疼的網絡威脅之一,遭到攻擊的客戶不僅面臨因信息系統數據被加密而導致業務中斷的風險,在《數據安全法》《個人信息保護法》已生效的今天,還面臨著因數據被泄露(雙重或多重勒索攻擊的特點之一是攻擊者會將拒付贖金的受害者的數據公開)而被監管機構處罰的風險。
勒索攻擊,是典型的易攻難守。攻擊者可以憑借系統漏洞、應用層漏洞、密碼暴露破解、社會工程學攻擊、供應鏈攻擊等幾乎任何攻擊手段進行入侵,而防御者被迫要對整個攻擊面做防御,百密一疏就會被攻破。但企業用于做網絡安全的資源是有限的,對抗勒索攻擊必須要講策略:在網絡安全總體防御的基礎上,針對勒索攻擊的特點做針對性防御。
勒索攻擊的攻擊者以獲利為目的,會考慮投入產出比:
- 攻擊 的 成本:最好找軟柿子捏;
- 受害者的付費意愿:最好找業務中斷損失大,數據泄露后果嚴重,不支付贖金系統恢復困難的受害者;
- 受害者的付費能力;
而對抗勒索攻擊的思路就是縱深防御,建立戰略縱深,通過多層防御機制,增加攻擊者的難度,讓自己成為“不那么軟的柿子”,同時建立數據的備份/恢復機制,即使被勒索也能相對快速恢復業務,這樣不僅可以對抗勒索攻擊,同時也會讓攻擊者因為ROI原因而失去對這樣目標的攻擊興趣。華為在2023世界移動通信大會上發布的MRP(Multilayer Ransomware Protection)防勒索技術就是這種防御思想。
縱深防御體系的第一層依舊是網絡邊界,如同古代戰爭中的城墻防御。不管是漏洞攻擊、密碼暴力破解攻擊,還是釣魚攻擊,攻擊者首先要接觸被攻擊目標,如果在網絡邊界處檢測及阻斷攻擊是最理想的,拒敵于城墻之外肯定是第一選擇,防火墻+沙箱檢測就是華為MRP技術的第一道防線。
這道防線的主要任務是檢測和阻斷漏洞利用、阻斷已知攻擊源的網絡訪問、檢測和攔截已知惡意代碼、盡可能檢測出未知的惡意代碼,并為安全態勢感知等安全運營系統提供安全態勢信息。
防火墻依靠特征檢測發現及阻斷攻擊,拼的是IPS特征的數量和質量、威脅情報的數量及質量,以及病毒木馬樣本數量和新鮮度,對于已知威脅,華為以2.5萬IPS特征,50萬威脅情報,3億病毒木馬樣本領先同行。對于未知病毒和木馬,則依靠沙箱的檢測能力,華為采用的FireHunter沙箱,可以對超過2000個Windows API進行監控,發現樣本的異常行為,并聯動防火墻進行過阻斷。針對密碼暴力破解攻擊,結合暴力破解的行為特征,使用AI檢測引擎,通過機器學習分類算法,可檢測出99%以上的密碼暴力破解攻擊行為。
防火墻是華為所擅長的安全產品之一,其HiSecEngine AI防火墻產品在眾多專業評測中多年都保持很好的成績,在數說安全2021年發布的《中國網絡安全頂級供應商評估報告:防火墻》中以4A4B的評價,名列防火墻產品的頭部。
如果不幸被攻擊者突破了網絡邊界,攻擊者下一步的動作就要通過橫向移動,控制更多的資產,尋找攻擊目標。如同古代戰爭中城墻失守,入侵者一定開始尋找城中的重要目標,而防守者這時候的主要任務就是要在入侵者找到最終攻擊目標前識別出入侵者、孤立入侵者、消滅入侵者。這是華為MRP解決方案的第二道防線所要做的事情:由安全態勢感知系統、SecoManager與網絡出口防火墻、存儲邊界防火墻聯動,實現對惡意代碼對C&C的檢測和阻斷完成,并且要快速響應。
惡意代碼通常通過域名建立與C&C的連接,通過聚類、分類等算法對惡意程序的C&C域名進行檢測,并聯動防火墻對到這些域名的連接進行阻斷,從而使攻擊者無法實施工具安裝、橫向移動、數據回傳等后續進攻動作。華為聲稱其惡意域名識別算法能識別出超過99%的惡意域名。
通過自動化響應編排,可將單事件響應閉環時間由一天降低到分鐘級 ,快速的響應意味著攻擊者進行橫向移動的時間被大大壓縮,防御者會有更大的概率阻斷攻擊者的后續攻擊。
如果攻擊者突破了第二道防線,意味著攻擊者已經接觸到了勒索攻擊的目標,下一步就是對目標數據進行加密,或在加密的同時竊取數據(雙重勒索或多重勒索攻擊),這時候拼的就是數據是否有備份,備份是否能不被攻擊者加密,以及備份的恢復時間。
華為的MRP技術在第三道防線主要利用華為存儲類產品的優勢,依靠存儲加密和數據快照兩種技術對抗勒索攻擊。數據加密技術對抗信息竊取,讓攻擊者偷走了數據卻看不懂;數據快照技術,可從快照中快速恢復被勒索攻擊所加密的數據來恢復業務,避免業務中斷或縮短業務中斷時間。
為了進一步提高攻擊者的攻擊難度,存儲又劃分為生產域、備份域與隔離域,在備份域與隔離區域之間還采用Air Gap進行隔離,以避免備份數據也被攻擊者加密的情況發生。
在存儲層的防護策略上,華為MRP解決方案的亮點一是多域劃分,二是Air Gap隔離,三是恢復速度快。
綜合來看,華為的MRP技術由以下產品提供支撐:
- USG6000E/F,USG12000系列防火墻,實現網絡基本隔離及威脅實時防護能力;
- SecoManager與防火墻配套,滿足防火墻策略統一管理及日志收集、報表能力;
- FireHunter6000沙箱,實現對未知樣本的檢測能力,聯動防火墻進行阻斷,同時負責文件檢測結果等信息發送給HiSec Insight安全態勢感知平臺;
- HiSec Insight:安全態勢感知平臺,是MRP技術的“大腦”,負責全網威脅監控、智能關聯分析、高級威脅分析、聯動SecoManager NCE ,聯動防火墻、交換機阻斷威脅。
- OcenProtect專用備份存儲、OceanStor Dorado 18500/18800 V6 高端智能全閃存存儲系統、面向數據中心存儲的智能統一管理平臺:這是構成華為MRP技術的最后一道防線,也是有別于業內其它防勒索技術的亮點,因為有先進存儲技術的支撐,可以實現數據多級備份、備份之間的隔離以及快速恢復,成為MRP的“托底”技術,即使前兩道防線被突破,數據的備份與恢復技術依然可以保證用戶業務的快速恢復。
總結來說,華為的MRP網存聯動防勒索技術采用三層縱深防護體系,從勒索攻擊的防御邏輯上是一個不錯的設計,通過多層防線逐層衰減勒索攻擊:通過HiSecEngine系列防火墻識別并攔截掉大部分的密碼暴力破解、釣魚攻擊、木馬攻擊、漏洞攻擊,通過FireHunter沙箱檢測大多數的惡意攻擊代碼并聯動防火墻進行阻斷,通過安全態勢感知系統檢測和阻止攻擊者的橫向移動,與防火墻聯動切斷惡意程序與C&C控制端的聯系,讓惡意程序變成斷線的風箏。最后,用存儲產品、存儲管理產品的數據備份與恢復、數據快照能力來兜底,即使攻擊者成功加密了部分數據,也可以通過快速恢復數據縮短系統服務中斷時間。
在這個勒索攻擊是網絡安全主要威脅的時代,與傳統單純網絡防勒索、存儲防勒索技術相比,華為的多層聯動勒索攻擊防護技術 MRP通過多種網絡安全產品圍繞防勒索的目的協同聯動,是一種非常值得期待的防勒索技術。
