如何破解勒索攻击难题百分之80的企业管理者认为对网络安全的最大威胁难题
AI智能总结
日口%的企业管理者认为对网络安全的最大威胁难题 勒索病毒攻击常见手法 腾讯安全玄武实验室:李冠成 目录Menu 勒索病毒现状与危害勒索软件的攻击手法和趋势应对末来勒索病毒攻击的防御策略 讲师介绍 李冠成 现为腾讯安全玄武实验室高级研究员,具有较为全栈的安全研究能力和多年的漏洞和攻防研究经验。曾发现过多个关键基础设施和具有攻防实战价值的漏洞,曾在ACMCCS、IEEE5&P、DEFCON等国际顶级安全会议发表相关研究成果。 勒索病毒的危害 加密勒索:导致业务停摆,平均恢复周期三周。 数据窃取:窃取数据作为勒索筹码,传统基于备份的防御手法无法防御此类攻击 数据拍卖:导致业务数据泄漏。 支付赎金也不一定能解决问题 勒索攻击者会在支付赎金后拍卖数据,以达到利益最大化 勒索病毒的经济模型 勒索软件金趋势 “CloP和其他以大型企业为目标的攻击者大幅拉升了全球平均薪酬水平,尽管中位薪酬水平小幅上升[中位赎金金额:190424美元[较2023年第一季度增长20%]。CloP集团很可能从MOVEit活动中赚取7500万至1亿美元 勒索病毒的行业分布 勒索病毒的行业分布 少有行业独善其身! 勒索攻击者一般通过以下2点选择行业 1.整个行业的网络安全防御水位2.有没有钱支付大量的金 勒索病毒的攻击手法 从数据上看:1.暴力破解、弱口令、网页挂马等“低级手法”仍然是攻击的主流手法2.钓鱼、投毒、漏洞攻击等高级手法也占有一部分比例 勒索病毒的攻击手法 勒索病毒攻击的攻击手法取决于其攻击目的: 1.广撒网,需要低成本高覆盖,所以通常利用暴力破解、挂马等相对低成本低方法展开2.攻击重要目标,需要精准打击,所以通常通过钓鱼、漏洞进行。整个过程与高级威胁很相似3.当有高价值漏洞公开时,漏洞也会被用来以广撒网的形式攻击 专业化团队化攻击手法趋势: 勒索攻击手段日趋成熟、攻击目标越发明确,模式多种多样,攻击愈发隐蔽,更加难以防范危害也日益增大。 向APT靠拢攻击手法趋势: 数据来源:COVEWARE1.钓鱼开始逐渐取代暴力破解2. 软件漏洞的比例开始上升 主要是因为安全水位的提高。 “近年来来勒索软件攻击定向精准攻击趋势明显" 反勒索病毒的挑战 有哪些业务容易被勒索、被勒索后的感染面多大,如何恢复被勒索的业务系统? 及时发现及时响应很重要 勤索病毒的攻击手法逐渐高端化,月PT化,且造成损失较大 系统存活率随着勒索软件的存活时间随指数级下降,因此对勒索病毒响应速度有较高要求 因此,需要科学防范,提前预防[攻击面管理],及时发现【部署多维度的检测系统]】,及时处理【部署响应系统 防御策略:攻击面管理+纵深防御+自动处置 识别资产,管理攻击面,减少对外暴露多维度风险感知,阻止勒索病毒落地终端。多维度的事件监控,阻正止勒索病毒的热行。文件变化感知,及时发现异常情况,阻止恶意行为。及时处置,自动备份,自动恢复,减少损失“中小企业”在线学堂 收敛攻击面 阻止落地 阻止运行 阻止加密 及时处置 防御策略:攻击面管理+纵深防御+自动处置 玄武实验室高级威胁防护引擎 产品定义及特性 玄武高级威胁防护引擎(ATPE):终端和服务器通用的轻量级引擎,充分应用玄武实验室安全研究成果及实战攻防经验,专注于检测可绕过普通安全软件的隐蔽黑客攻击和渗透手段。 专为检测高级威胁设计 产品功能特性 针对高级威肋包括(但不限于) 免杀钓鱼木马 白加黑利用 浏览器漏洞利用 权限提升 横向移动 勒索软件防护 通用防护策略:基于行为,不基于特征 感谢观看!Thank you 云原生安全防勒索病毒攻击场景最佳实践 周佳宇腾讯云原生安全产品中心高级工程师 云上常见的勒索病毒攻击场景特点 云上勒索病毒攻击特点 资产 用户 云上资产数量多且种类繁杂,导致入侵点也较多,容易攻击。 云上租户数量庞大,安全水平参差不齐。 攻击方式 攻击目标 云上勒素绝大多数为广撒网式攻击,并不针对特定用户,但存在少量对高价值客户的勒索入侵行为。 多以弱口令暴力破解为主,同时也存在利用漏洞进行攻击的情况。 “中小企业”在线学堂 云上勒索病毒攻击场景防护痛点及策略 云上勒索病毒攻击场景防护痛点及策略 防护痛点问题 1.攻击来源广,持续不断 不同来源黑客针对云上资产进行攻击全天候不间断的攻击。 2.用户不了解自身业务及资产情况 不清楚自身组件、账号、端口、文件等各类资产使用情况。》资产较多的情况下,依靠人力很难全面掌握。》存在非必要的资产暴露公网的情况。 3.无法100%防御所有勒索攻击 基于规则的检测,无论是勒素病毒文件还是异常行为,始终存在漏报和误报的可能。 4.勒索加密文件很难解密 通常情况下,被勒索加密的文件无法被解密还原。 数字安全免疫力模型 云上三道安全防线 Web应用防火墙 云防火墙 主机安全 第二道防线,帮助腾讯云内及云外用户应对Web攻击、入侵、漏洞利用、挂马、篡改后门、爬虫等网站及Web业务安全防护问题。 第三道防线,为用户提供资产管理、木马文件查杀、黑客入侵防御、混洞风险预警及安全基线等安全防护服务,帮助企业构建服务器安全防护体系。 第一道防线,为用户提供互联网边界的防护解决云上访问控制的统一管理与日志审计的安全与管理需求。 “中小企业”在线学堂 云原生安全防勒索实践 事前:资产识别,风险收敛第一步 资产识别类型 -进程口器--系统安装包- Web引用-Web服务- Web框架-Web站点-Jar包账号-数据库·启动服务-计划任务- 环境变量内核模块 “中小企业”在线学堂 事前:漏洞风险收敛 漏洞发现 漏洞检测 内部漏洞情报系统获取信息外部公开渠道获取信息安全运营人员评估漏洞响应价值发布漏洞预警信息进行提示 编写漏洞检测规则输出云主机资产影响面发送漏洞告警 漏洞总结 漏洞修复 确立资产影响面,并提供漏洞详情和修复指引提供部分漏洞的自动修复能力,形成响应闭环 总结漏洞引入原因梳理自有资产漏洞情况,全面修复 漏洞应急响应流程 “中小企业”在线学堂 深将管理 一站式漏洞管理:全面扫描、精准防御、自动修复 支持Windows系统漏洞、Linux组件漏洞、Web-CMS漏洞、应用类漏洞等类型的漏洞检测。 部分漏洞可实现自动防御和修复,快速收敛漏洞风险。 查杀设置 >勒索病毒检测能力 基于腾讯数十年积累的海量恶意文件和TAV等检测引擎的能力,可以及时发现勒索病毒及其新变种,快速响应。 查杀设置功能仅支持专业版和旗舰版,建议您升级版本启用更多安全防护功能 》勒索病毒自动隔离 一旦检测到勒索病毒文件,可自动隔离病毒阻止其运行后加密机器上的文件。 》异常行为阻断 可对机器上执行的一些高危命令进行拦截,降低被勒索成功的概率。 事中:设置勒索防御策略 设置诱饵监控目录,可根据实际业务情况增加投放目录 设置快照自动备份,可按日期、时间,磁盘等进行定期数据备份,防止被勒索加密后无法恢复数据 事后:总结 感谢观看!Thank you 基于“零信任”理念的腾讯办公安全防勒索病毒攻击最佳实践 腾讯安全:刘现磊 目录Menu 办公终端上的勒索攻击场景特点腾讯办公安全防勒索优秀实践腾讯办公安全实践分享 勒索攻击事件的种类:针对设备加密 针对设备加密勃索的病毒主要有三类:开机密码B加密,利用合法软件对分区加密,对移动平台勒素 利用合法软件加密硬盘分区 开机密码/MBR加密勒索 针对移动平台进行勒索 开机密码勒索:删除原来的账户,创建一个新的账户,并勒索 攻击者诱导安装勒素软件后,会弹出置顶手机屏幕的界面,并且不提供关闭按钮 黑客通过RDP暴破等方式远程登录目标服务器后,人工运行BestCryptVolumeEncryption对磁盘分区进行加密,进而勒索 MBR加密:对MBR进行加密,使得需要密码才可以启动系统 血湿邮联作!QQ:525512435 勒索攻击事件的种类:针对数据加密 针对文档数据加密的勒索病毒 随着数字货币的兴起,以WannaCry为代表的,使用匿名数字货币为赎金,使用非对称加密算法【R5A】针对数据【文档】加密的成为主流的新型勒索病毒。 读金磨名交易,无法追踪 勒索事件攻击:本质上利用企业防御的薄弱点 人工入侵投放勒素病毒+横移,日常勒素攻击事件中主流方式,通常为了顺利投放勒索病毒,攻击者还会破坏安全设备,清除入侵痕迹等。 勒索病毒被投放执行后,利用系统漏洞等机制进行端虫式传播,扩散速度快,典型案例:wannacry利用永恒之蓝漏洞传播,但非常依赖漏洞类武器 目录Menu 办公终端上的勒索攻击场景特点腾讯办公安全防勒索优秀实践腾讯办公安全实践分享 iA勒索防御:融入零信任身份机制,构建五维立体化防勒索攻击体系 防控制设备:RDP二次身份认证,,有效阻挡爆破入侵 防破坏杀软:i0A多层自保护机制,防止安全防护被破坏营 Ring3级破坏全阻断 运行自保护,防止被退出 退出验证密码,防止被卸载 防加密行为:三层防御,拦截加密行为 ,对病毒文件落地和执行,分别从文件监控,行为检测、部署诱饵文档捕获加密行为部署三层防御 三层防御 主动诱捕捕获和拦截加密行为 智能部署诱饵文件确保诱饵文件被最先攻击 防加密行为:智能部署诱饵,主动诱捕勒索行为 ·对病毒文件落地和执行,分别从文件监控、行为检测、部署诱饵文档捕获加密行为部署三层防御,实际测试防御效果业内领先。 诱饵捕获--竞品测试情况 主动诱捕 智能部署诱饵文件 对主流的TOP流行勒索病毒家族测试显示,iOA通过部署智能诱饵,拦截加密行为。 在文件系统底层部署诱饵文件,映射到系统各个关键目录并且对用户不可见 确保诱饵文件被最先攻击 当勒索病毒执行时,通过文件过滤驱动,确保诱饵文件第一个被勒索病毒扫描并加密 拦截针对诱饵文档的非法操作 当诱饵文档被修改后,识别内容格式是否发生变化,确认是为勒索准备的“加密“行为 防损失数据:文档守护,2种文件备份方式确保万无一失 防损失数据:文档守护,支持误删找回,被加密还原、文档解密 防扩散内网:i0A多种横移类型防护,业内领先 经过多次实战检验、免费病毒库查询 iOASaa5部署架构 目录Menu 办公终端上的勒索攻击场景特点腾讯办公安全防勒索优秀实践腾讯办公安全实践分享 腾讯安全大事记 腾讯终端安全发展历程 2010-2014年 2020年 2006年 2019年 手机管家移动应用安全加固移动环境橙测 腾讯联合零信任产业标准工作组发布《零信任实战白皮书》原终端安全产品升级为零信任解决方案入选Forrest推荐厂商 业务规模快速发展,业务特点导致被需产和专业的需客团队高度关注,分区分域安全管理、办公电脑安全规范等陆续出台。 腾讯零信任安全或ITU-T国际标准立项:推动全球零信任标准化应用 QQ医生正式推出 2022年 2010年 2003年 2016年 腾讯零信任解决方案应用规模超百万终端:积极向外输出标准和能力,通过被集成方式进行生态建设 PC互联网末竭,移动互联网开启竞争非常激烈,安全提升到公司级战略高度。 公司准备上市相关的终端安全、合规管控等工作开始 腾讯在企业内部开始零信任网络安全的实践和落地,并逐渐扩展到整个集团。 正式升级为个人电脑管家,装机量过亿 推出面向企业的终端安全产品 “中小企业”在线学堂 个人终端安全-产品达到国际领先水平 腾讯安全个人版产品--腾讯电脑管家推出市场长达12年,综合安全防护能力已达到国际一流水平,时刻保护6亿用户的电脑安全!安全能力全球七大权威机构评测大满贯,100次+最高评级 腾讯办公安全建设背景及面临的挑战 腾讯办公终端安全建设实践 内部实践+安全能力 零信任接入模块 企业办公安全-腾讯引领下一代办公安
