使用欺騙有效地打擊勒索軟件
2019年02月28日
根據(jù)卡巴斯基進(jìn)行的一項(xiàng)研究顯示�,勒索軟件感染在過(guò)去12個(gè)月中下降了30%。這種下降與現(xiàn)在流行的加密貨幣價(jià)格密切相關(guān)���。
然而��,這并不意味著企業(yè)安全工程師和首席信息安全官可以高枕無(wú)憂��。勒索軟件仍然是最受歡迎的攻擊活動(dòng)之一����,也是最具破壞性的攻擊活動(dòng)之一。根據(jù)有關(guān)報(bào)告�,勒索軟件攻擊對(duì)中小型企業(yè)很具有破壞性。調(diào)查了2,400多個(gè)中小企業(yè)和超過(guò)50萬(wàn)家托管的服務(wù)客戶���。統(tǒng)計(jì)數(shù)據(jù)顯示��,在2016年第二季度至2018年第二季度期間����,79%的中小企業(yè)受到了勒索軟件的影響�。這些中小型企業(yè)通常沒(méi)有足夠的安全預(yù)算和員工來(lái)實(shí)施復(fù)雜的預(yù)防和檢測(cè)解決方案,以對(duì)抗勒索軟件攻擊���。
傳統(tǒng)上�����,大多數(shù)組織依賴基于簽名的檢查或基于沙箱的啟發(fā)式解決方案來(lái)檢測(cè)和防御勒索軟件。盡管這些仍然是最佳實(shí)踐企業(yè)安全架構(gòu)中的重要組成部分���,但它們也存在一些重大缺陷���,使得它們無(wú)法有效地檢測(cè)一些最新和最復(fù)雜的勒索軟件����。
對(duì)于初學(xué)者來(lái)說(shuō)����,每天都會(huì)出現(xiàn)太多新的勒索軟件變種?����;谏诚涞慕鉀Q方案通常部署在邊緣��,并監(jiān)控來(lái)自互聯(lián)網(wǎng)的流量���。但是�,使用網(wǎng)絡(luò)釣魚(yú)和沙箱逃避技術(shù)等社會(huì)工程技術(shù)可以完全繞過(guò)周邊���。此外�,處理零日勒索軟件攻擊無(wú)效���,更不用說(shuō)互聯(lián)網(wǎng)流量被加密多次���,這使得人們更難以看到里面實(shí)際的有效載荷����。
在檢測(cè)勒索軟件方面�����,欺騙確實(shí)可以改變游戲規(guī)則���。勒索軟件檢測(cè)的工作方式通常是將一些隱藏的文件作為面包屑的一部分部署到企業(yè)環(huán)境中的端點(diǎn)和服務(wù)器上�。當(dāng)勒索軟件感染主機(jī)時(shí)�����,它將執(zhí)行一系列操作����,例如加密受感染主機(jī)上的文件,刪除影子備份��,創(chuàng)建持久性注冊(cè)表項(xiàng)���,按字母順序或以相反順序加密映射驅(qū)動(dòng)器��。
不同的安全解決方案使用不同的檢測(cè)方法��。惡意活動(dòng)會(huì)立即觸發(fā)管理控制臺(tái)上的事件�,表明勒索軟件已經(jīng)引爆����。可以利用集成的第三方工具執(zhí)行自動(dòng)事件響應(yīng)����,例如隔離受感染的主機(jī)以防止勒索軟件在整個(gè)環(huán)境中傳播。
顯然�����,勒索軟件運(yùn)行速度很快�,因此快速檢測(cè)活動(dòng)并以足夠的信心以自主方式行動(dòng)是最佳選擇。一些受害者需要數(shù)月才能從這些類型的毀滅性襲擊中恢復(fù)過(guò)來(lái)���。
與其他傳統(tǒng)的檢測(cè)解決方案相比����,基于欺騙的檢測(cè)具有一些獨(dú)特的優(yōu)勢(shì):
無(wú)論勒索軟件攻擊源自何處或引爆位置,都可以在整個(gè)環(huán)境中提供全面保護(hù)�����。檢測(cè)與操作系統(tǒng)類型�����,文件格式����,傳送方法,加密算法等無(wú)關(guān)��。
檢測(cè)惡意行為適用于零日攻擊和新變種工作��,高交互蜜罐具備高可定制化能力�����,可以部署用戶真實(shí)操作系統(tǒng)����、業(yè)務(wù)軟件環(huán)境,再通過(guò)HIDS技術(shù)即可有效感知0day等未知威脅的入侵,這也是欺騙技術(shù)核心價(jià)值之一��。
高保真和低誤報(bào)警�,非常快速準(zhǔn)確的檢測(cè)�。蜜罐技術(shù)基本都是對(duì)實(shí)時(shí)攻擊行為結(jié)果進(jìn)行感知��,加密流量進(jìn)入蜜罐后會(huì)被還原�����,不依賴特征庫(kù)���,無(wú)論特征如何變化�����、病毒如何變形���,蜜罐只對(duì)其行為進(jìn)行監(jiān)控,并且監(jiān)控覆蓋范圍廣���,所以誤報(bào)概率極小�。再加之蜜罐并不屬于真實(shí)主機(jī),即使發(fā)生誤報(bào)其影響面幾乎為零�。
欺騙還可以檢測(cè)內(nèi)部網(wǎng)絡(luò)上的許多其他惡意活動(dòng),例如橫向移動(dòng)��,未知威脅檢測(cè)發(fā)現(xiàn)能力��,數(shù)據(jù)泄露等�。我們的有影內(nèi)網(wǎng)威脅感知系統(tǒng)是一個(gè)領(lǐng)先的欺騙平臺(tái),提供上述所有這些功能����,并且欺騙技術(shù)可檢測(cè)被傳統(tǒng)安全措施所忽略的信息,并加速自動(dòng)攻擊分析和事故處理事件響應(yīng)�����。企業(yè)可以通過(guò)欺騙將主動(dòng)權(quán)掌控在自己手中���,當(dāng)攻擊發(fā)生時(shí)��,企業(yè)可以不只是將攻擊攔截���,還可將攻擊者引誘至設(shè)計(jì)好的陷阱中對(duì)其進(jìn)行分析與監(jiān)控來(lái)了解攻擊目的、工具��、方式甚至進(jìn)行攻擊朔源讓攻擊者無(wú)處可逃,陷阱不會(huì)被攻擊者發(fā)現(xiàn)��,因?yàn)樗吹降亩际钦鎸?shí)資產(chǎn)但是無(wú)價(jià)值�����,這就是欺騙系統(tǒng)達(dá)到的效果�����。也是在市場(chǎng)上對(duì)抗勒索軟件最有效的方法���。
江蘇國(guó)駿信息科技有限公司在信息網(wǎng)絡(luò)安全、運(yùn)維平臺(tái)建設(shè)���、動(dòng)漫設(shè)計(jì)�、軟件研發(fā)�、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀。公司遵循信息安全整體性的IATF模型���,從“人員素養(yǎng)”�����、“制度流程”�、“技術(shù)產(chǎn)品”三個(gè)視角提供全面、可信的方案�����,業(yè)務(wù)涵蓋咨詢����、評(píng)估、規(guī)劃���、管控����、建設(shè)��、培訓(xùn)等�。
江蘇國(guó)駿信息科技有限公司——全面可信的信息安全服務(wù)商。
