全球60國為反勒索立法?且看威努特如何應對
勒索攻擊對關鍵基礎設施、基本服務、公共安全、消費者保護、隱私以及經濟構成重大風險,勒索攻擊所帶來的巨大經濟利益,使得勒索組織異常“勤奮”,美國政府因勒索攻擊宣布進入國家緊急狀態,英國、澳大利亞、日本、加拿大等國也將勒索攻擊視為當前最大的網絡威脅。
2021年勒索攻擊之“最”
基于暗網的惡意軟件研發和交易難以追蹤,基于區塊鏈技術的虛擬貨幣支付無法追溯,基于數字加密技術的數據破壞無法破解,各國政府及執法機構在技術層面上無法有效打擊網絡犯罪,不得不借助最后的武器——“法律”。
近日Gartner發布的《2022-2023年八大網絡安全趨勢預測》顯示,至2025年,30%的國家將批準立法,對勒索軟件支付、罰款和談判做出規定。
勒索攻擊的重災區,美澳兩國已開展要求匯報勒索攻擊事件、限制大額勒索贖金支付、對勒索攻擊處罰“加碼”、賦予執法人員“反向攻擊”的權利等反勒索法規建設,然而多個反勒索法案已然出臺的情況下,2022年1季度勒索攻擊嚴峻形勢并未顯著緩解。
2020年-2022年勒索攻擊月度趨勢圖—BlackFogRansomwareReport-Apr-2022
更嚴厲的懲處措施,可增加對勒索犯罪活動的威懾力,然而勒索攻擊技術上難以追溯,加之跨國調查困難重重,針對勒索攻擊的司法活動難以展開,寄希望于法律威懾力來解決勒索攻擊問題并不現實。
2022年4月份遭勒索攻擊國家占比—BlackFogRansomwareReport-Apr-2022
俗話說 “打鐵還需自身硬”,加強自身安全防護能力建設,才是應對日益復雜網絡安全形勢的不變法則;勒索攻擊破壞用戶數據完整性的特點,與傳統病毒木馬顯著不同,傳統終端安全產品關注威脅特征而忽視用戶數據,任何漏報都會造成不可挽回的數據損失。
勒索攻擊行為特點
傳統終端安全產品不足以防范勒索攻擊,于是出現了以防火墻、防病毒網關、終端EDR、數據備份系統組合應對勒索攻擊的方案,多產品組合的方案投入較大、落地周期過久,尤其是當前勒索攻擊已然碎片化,對于醫療、零售、制造、教育、餐飲、地產等行業,多產品組合的方案并不友好,客戶普遍需要短平快、易落地、有針對性地去解決勒索攻擊的問題。
2022年4月份遭勒索攻擊行業排名—BlackFogRansomwareReport-Apr-2022
在近期召開的Gartner安全與風險管理峰會的開幕主題演講中,Gartner高級研究總監Richard Addiscott表示:“我們不能因循守舊,用過去的方法解決一切問題并不可行;多數安全和風險領導者已意識到,一旦發生危機,就會引發嚴重的業務中斷;雖然我們無法控制危機,但我們可以不斷調整自己的思維方式、理念、計劃和架構。”
勒索攻擊所表現出的服務中止、磁盤遍歷、文件加密、備份刪除等新型攻擊特征,需要創新的技術思路來應對,在分析了數百個勒索病毒樣本后,威努特總結梳理了3條創新技術路線,可有效防范勒索病毒。
基于文件遍歷行為監測的動態誘捕技術
防勒索創新技術應用—動態誘捕技術
技術思路:
1) 勒索病毒會無差別的對系統文件進行加密,正常的應用與誘餌文件無從屬關系,正常的應用一般不會操作誘餌文件;
2) 誘餌文件散布于系統多個目錄,正常用戶不會批量操作誘餌文件;
3) 針對誘餌文件的批量操作,如加密寫入、修改屬性極為可疑。
防護效果:
1)勒索病毒遍歷、加密磁盤文件,必然“踩”到動態誘餌(陷阱);
2)監測到對誘餌文件的加密篡改后,可直接中斷勒索病毒進程;
3)通過將勒索病毒加入到阻斷列表,避免其再次運行破壞用戶數據。
基于信譽度動態評估的權限匹配技術
防勒索創新技術應用—權限動態匹配技術
技術思路:
1)勒索病毒會進行文件遍歷、拷貝、加密寫入、刪除等操作;
2)日常工作中,文件的“增刪改” 較為普遍,從文件的操作行為無法判斷行為主體是否為惡意;
3)基于應用普遍性、生成時間、存活時長、數字簽名、病毒引擎、威脅情報實時動態評估應用的可信度;
4)基于訪問行為及內置規則建立可信應用與數據文件的訪問關系,非可信應用或評級較低的應用無法訪問數據文件。
防護效果:
1)系統中的Word、Firefox等應用可以訪問.doc、.html等文件,正常進行“增刪改”操作;
2)勒索病毒滲透到系統后,會在第一時間進行文件破壞行為,由于勒索病毒不在預置規則中,基于普遍性、存活時間、數字簽名又不能獲得較高的可信度,則其訪問數據文件時會被攔截阻斷,進而保證數據文件不被破壞。
基于信息熵度量的數據定向回滾技術
防勒索創新技術應用—數據定向回滾技術
技術思路:
1)勒索病毒核心目標是破壞用戶數據,對用戶數據做備份是防勒索最后兜底的技術方法;
2)傳統備份系統復雜且資源占用大,通過按需觸發備份、定向回滾技術可極大降低系統資源開銷;
3)勒索病毒加密文件后,必然導致信息熵、方差值的顯著變化,通過信息熵、方差值可避免被污染的數據入庫(備份庫),基于備份的數據文件可實現內存級的數據文件定向回滾。
防護效果:
1)基于熵和方差值的檢測技術,可以確保勒索加密后的文件不會被備份,恢復回來的數據也會是可用的數據;
2)勒索病毒對原始數據文件加密破壞,防勒索系統基于備份數據可以快速恢復數據文件,完成業務的快速上線;
動態誘捕技術實現勒索病毒精準識別和攔截;權限動態匹配技術保護數據文件不被篡改;數據定向回滾技術確保數據文件被惡意加密后能夠可靠恢復,3項創新技術緊密貼合勒索攻擊無差別加密文件、破壞用戶數據的特點進行設計,兼顧了終端威脅防范和用戶數據保護兩個層面的安全需求。
威努特主機防勒索系統
威努特在運用上述3項創新技術的基礎上,結合勒索攻擊高危行為檢測、關鍵業務保護技術,形成了專防專治勒索病毒的主機防勒索系統,可有效幫助醫療、零售、制造、教育、餐飲、地產等行業客戶,構建主動防御、縱深防御的技術防護能力,實現事前預防、事中檢測/阻斷、事后恢復的勒索病毒綜合防范。
