全球60国为反勒索立法?且看威努特如何应对
勒索攻击对关键基础设施、基本服务、公共安全、消费者保护、隐私以及经济构成重大风险,勒索攻击所带来的巨大经济利益,使得勒索组织异常“勤奋”,美国政府因勒索攻击宣布进入国家紧急状态,英国、澳大利亚、日本、加拿大等国也将勒索攻击视为当前最大的网络威胁。
2021年勒索攻击之“最”
基于暗网的恶意软件研发和交易难以追踪,基于区块链技术的虚拟货币支付无法追溯,基于数字加密技术的数据破坏无法破解,各国政府及执法机构在技术层面上无法有效打击网络犯罪,不得不借助最后的武器——“法律”。
近日Gartner发布的《2022-2023年八大网络安全趋势预测》显示,至2025年,30%的国家将批准立法,对勒索软件支付、罚款和谈判做出规定。
勒索攻击的重灾区,美澳两国已开展要求汇报勒索攻击事件、限制大额勒索赎金支付、对勒索攻击处罚“加码”、赋予执法人员“反向攻击”的权利等反勒索法规建设,然而多个反勒索法案已然出台的情况下,2022年1季度勒索攻击严峻形势并未显著缓解。
2020年-2022年勒索攻击月度趋势图—BlackFogRansomwareReport-Apr-2022
更严厉的惩处措施,可增加对勒索犯罪活动的威慑力,然而勒索攻击技术上难以追溯,加之跨国调查困难重重,针对勒索攻击的司法活动难以展开,寄希望于法律威慑力来解决勒索攻击问题并不现实。
2022年4月份遭勒索攻击国家占比—BlackFogRansomwareReport-Apr-2022
俗话说 “打铁还需自身硬”,加强自身安全防护能力建设,才是应对日益复杂网络安全形势的不变法则;勒索攻击破坏用户数据完整性的特点,与传统病毒木马显著不同,传统终端安全产品关注威胁特征而忽视用户数据,任何漏报都会造成不可挽回的数据损失。
勒索攻击行为特点
传统终端安全产品不足以防范勒索攻击,于是出现了以防火墙、防病毒网关、终端EDR、数据备份系统组合应对勒索攻击的方案,多产品组合的方案投入较大、落地周期过久,尤其是当前勒索攻击已然碎片化,对于医疗、零售、制造、教育、餐饮、地产等行业,多产品组合的方案并不友好,客户普遍需要短平快、易落地、有针对性地去解决勒索攻击的问题。
2022年4月份遭勒索攻击行业排名—BlackFogRansomwareReport-Apr-2022
在近期召开的Gartner安全与风险管理峰会的开幕主题演讲中,Gartner高级研究总监Richard Addiscott表示:“我们不能因循守旧,用过去的方法解决一切问题并不可行;多数安全和风险领导者已意识到,一旦发生危机,就会引发严重的业务中断;虽然我们无法控制危机,但我们可以不断调整自己的思维方式、理念、计划和架构。”
勒索攻击所表现出的服务中止、磁盘遍历、文件加密、备份删除等新型攻击特征,需要创新的技术思路来应对,在分析了数百个勒索病毒样本后,威努特总结梳理了3条创新技术路线,可有效防范勒索病毒。
基于文件遍历行为监测的动态诱捕技术
防勒索创新技术应用—动态诱捕技术
技术思路:
1) 勒索病毒会无差别的对系统文件进行加密,正常的应用与诱饵文件无从属关系,正常的应用一般不会操作诱饵文件;
2) 诱饵文件散布于系统多个目录,正常用户不会批量操作诱饵文件;
3) 针对诱饵文件的批量操作,如加密写入、修改属性极为可疑。
防护效果:
1)勒索病毒遍历、加密磁盘文件,必然“踩”到动态诱饵(陷阱);
2)监测到对诱饵文件的加密篡改后,可直接中断勒索病毒进程;
3)通过将勒索病毒加入到阻断列表,避免其再次运行破坏用户数据。
基于信誉度动态评估的权限匹配技术
防勒索创新技术应用—权限动态匹配技术
技术思路:
1)勒索病毒会进行文件遍历、拷贝、加密写入、删除等操作;
2)日常工作中,文件的“增删改” 较为普遍,从文件的操作行为无法判断行为主体是否为恶意;
3)基于应用普遍性、生成时间、存活时长、数字签名、病毒引擎、威胁情报实时动态评估应用的可信度;
4)基于访问行为及内置规则建立可信应用与数据文件的访问关系,非可信应用或评级较低的应用无法访问数据文件。
防护效果:
1)系统中的Word、Firefox等应用可以访问.doc、.html等文件,正常进行“增删改”操作;
2)勒索病毒渗透到系统后,会在第一时间进行文件破坏行为,由于勒索病毒不在预置规则中,基于普遍性、存活时间、数字签名又不能获得较高的可信度,则其访问数据文件时会被拦截阻断,进而保证数据文件不被破坏。
基于信息熵度量的数据定向回滚技术
防勒索创新技术应用—数据定向回滚技术
技术思路:
1)勒索病毒核心目标是破坏用户数据,对用户数据做备份是防勒索最后兜底的技术方法;
2)传统备份系统复杂且资源占用大,通过按需触发备份、定向回滚技术可极大降低系统资源开销;
3)勒索病毒加密文件后,必然导致信息熵、方差值的显著变化,通过信息熵、方差值可避免被污染的数据入库(备份库),基于备份的数据文件可实现内存级的数据文件定向回滚。
防护效果:
1)基于熵和方差值的检测技术,可以确保勒索加密后的文件不会被备份,恢复回来的数据也会是可用的数据;
2)勒索病毒对原始数据文件加密破坏,防勒索系统基于备份数据可以快速恢复数据文件,完成业务的快速上线;
动态诱捕技术实现勒索病毒精准识别和拦截;权限动态匹配技术保护数据文件不被篡改;数据定向回滚技术确保数据文件被恶意加密后能够可靠恢复,3项创新技术紧密贴合勒索攻击无差别加密文件、破坏用户数据的特点进行设计,兼顾了终端威胁防范和用户数据保护两个层面的安全需求。
威努特主机防勒索系统
威努特在运用上述3项创新技术的基础上,结合勒索攻击高危行为检测、关键业务保护技术,形成了专防专治勒索病毒的主机防勒索系统,可有效帮助医疗、零售、制造、教育、餐饮、地产等行业客户,构建主动防御、纵深防御的技术防护能力,实现事前预防、事中检测/阻断、事后恢复的勒索病毒综合防范。
