新闻中心 >> 新闻中心详情

2019中国网络安全年会|美创“第59号”安全实验室携“防勒索方案”首次亮相

发布时间:2019-07-19作者:阅读次数: 分享到:

勒索病毒自全面爆发以来,始终活跃在公众的视野,不断滋生的病毒变种所带来的破坏性威胁,更是成为民众和政企的噩梦。


那么,近几年,勒索病毒为何如此猖狂?当前勒索病毒究竟又迭代出哪些新的特征?在无数次病毒样本分析和攻与防的较量中,安全从业者又研究出哪些应对之策?


2019年7月,以“智能感知态势 携手构建安全”为主题的2019中国网络安全年会在广州召开。360集团主办的网络安全应急响应分论坛上,美创科技“第59号”安全实验室,首次对外亮相。


会上,安全实验室负责人王月兵就《基于勒索病毒特点,构建新一代防御体系》发表主题演讲,深度剖析了勒索病毒的前世今生、大行其道之由,并分享美创科技对勒索病毒的防御对策。


一、勒索病毒剖析


2017年,美创“第59号”安全实验室成立,不仅见证了“蠕虫”式勒索病毒软件攻击事件的持续发酵,也在此后不断对无数勒索病毒的行为特点进行持续追踪和研究。


关于勒索病毒的演进历程,王月兵介绍道,如果没有2017年 WannaCry 的忽然爆发,或许,很多用户对勒索病毒还是会一无所知。但事实上,勒索软件作为一种极其简单粗暴的恶意代码,具有很长的历史。

(勒索软件演变历程)


近些年,比特币等数字货币的盛行、高强度加密算法不断成熟、勒索即服务市场的出现,才使勒索病毒攻击开始趋于常态化,横行全世界。随着互联网技术的发展,勒索病毒日益呈现出以下特征:


1、传播场景更加多样

过去勒索病毒传播主要以钓鱼邮件为主,现在勒索病毒更多利用了高危漏洞、鱼叉式攻击,或水坑攻击等非常专业的黑客攻击方式传播。


2、攻击目标更加精确

相对于广撒网方式,目前,定向攻击植入勒索病毒的事件逐渐增多。攻击者越来越倾向于涉及大量隐私数据、且在安全能力和意识上存在明显短板的行业。


3、更新迭代更加快速

从实验室近期捕获的勒索病毒样本来看,各大勒索病毒家族每隔一段时间就会出现一个新版本,有的修改加密算法,增加了加密速度,有的为了对抗查杀,做了免杀、反调试、反沙箱,并且后缀也会随之改变。


二、基于勒索病毒特点,构建新一代防御体系


勒索病毒正在成为数字业务的主要威胁之一。其攻击手段不断升级,将导致每一家企业都可能成为攻击目标。


在以往的黑客攻击案例中,攻击目标主要集中于加密文档、图片等个人数据,但“贪得无厌”的黑客,逐渐将攻击目标转移到了企业,除了常见的企业终端(ATM机、自助加油机等)、业务文档等攻击目标,针对数据库的勒索病毒也开始“大行其道”,成为近来勒索病毒目标的延伸。


从病毒行为上看,无论是已知病毒还是未知病毒都离不开最终对文件的破坏这一行为。对此,美创抓住这个特征,推出专门针对勒索病毒的“主动式防御”解决方案——诺亚防勒索+数据库防水坝+容灾备份。


1、诺亚防勒索系统:打破传统杀毒软件基于黑名单(病毒库来防护和查杀)机制,结合独特的底层白名单技术,确保只有被允许的合法操作才能被执行,一切未被允许的操作都被禁止,避免勒索病毒对文件的加密和修改。


2、数据库防水坝:数据库内的勒索病毒,主要通过SQL语句的执行加密数据库内数据,因此,可通过数据库权限分离、登录双因素认证、敏感SQL执行拦截进行防御。


3、容灾备份:通过全业务容灾、数据级容灾、数据复制、实时备份、云灾备等技术手段,最大程度保障业务系统、数据库、操作系统、虚拟机等场景下数据安全和业务连续性。


三、从实例出发,解读诺亚防勒索安全之道


最后,王月兵以某港口多次遭到勒索攻击,但均未成功的真实案例出发,解读诺亚防勒索如何帮助用户摆脱勒索病毒的困扰。


案例:某港口多次被勒索病毒攻击,均未成功。


背景:

(1)该港口十分重视自身的防勒索安全建设,并在重要数据的服务器和PC都部署了美创“诺亚”防勒索系统。


(2)3月23号,自动化攻击上传payload.exe,诺亚防勒索第一时间拦截并隔离。


(3)4月26号18:00,黑客远程登录客户服务器,手工上传并执行payload.exe,诺亚防勒索第一时间拦截并隔离,黑客上传并执行PChunter.exe,尝试杀掉诺亚防勒索进程,诺亚防勒索第一时间拦截并隔离。


王月兵表示,目前,对于已知病毒的防范,大多企业都会采用安装系统补丁、升级杀毒软件病毒库、利用防火墙端口控制将445端口隔离等手段进行防护。不可否认,这些措施是有效果的。


但对于未知病毒的防范却一直以来都是难点,基本上所有中招的单位也大多是未知勒索病毒。


这是由于很多安全设备检测方式主要基于静态特征(即黑名单)检测,只有当能够侦测并捕获到勒索软件疫情并将其加入黑名单后,才能有效地拦截病毒。然而,勒索软件新变种不断产生,以及利用漏洞来避免被识别,甚至拥有自我保护机制,这使得传统基于特征码的防护方式效用大减。


而诺亚防勒索系统基于零信任体系构建,并不关心病毒特征,也为无论该病毒是否潜藏在系统中,未经过授权的应用都无法对受保护的文件和数据进行加密或破坏,从根本上对勒索病毒说不。



据悉,此次2019中国网络安全年会聚集了来自全国党政机关、重要信息系统、企业、行业协会、高校和科研院所等单位代表两千余人,多位院士、资深专家剖析全球网络安全形势、各大知名网络安全机构和企业负责人详解各关键性网络安全问题。



关于2019中国网络安全年会

2019(第十六届)中国网络安全年会于7月17日-18日在广州举行。本届会议旨在深入贯彻落实国家关于网络强国的重要思想,加强全国网络安全应急体系建设,促进政府部门、重要信息系统单位与网络安全产业界间的交流,聚集国内外网络安全工作新趋势、新问题、新思路,同时普及宣传网络安全及网络安全应急工作知识,提升社会网络安全意识。


服务热线:400-711-8011
Copyright ©2005-2018 杭州美创科技有限公司. All Rights Reserved. 浙ICP备12021012号-1