又被勒索要贖金?深信服EDR“對癥下藥”
2018年12月1日,12月份的第一個周末,大多數人躺在暖和、舒服的被窩里刷著手機,討論著第31個“世界艾滋病日”、2018僅剩的26個工作日以及受非洲豬瘟影響的豬肉價格。
誰也未曾想到,某個95后制造的勒索病毒已經悄悄潛伏在用戶的電腦里,等待著爆發和傳播的時機。
像往常一樣打開電腦,熟悉的畫面并未出現;而是一個“你的電腦文件已被加密,點此解密”快捷方式,隨后彈出解密教程和收款二維碼,使用微信掃碼支付贖金才能解密。
“勒索病毒”,一個令人不寒而栗的名字,它的出現意味著大量的電腦將遭受攻擊。12月4日,已有超過10萬用戶的電腦被勒索病毒加密。
一段刻意回避的記憶開始蘇醒,人們仿佛再一次回到了2017年5月12日,那段被一個紅色框框的恐懼所支配的日子。
那一天后,醫院電子檢查儀器集體罷工,躺在手術床上的病人被迫放棄手術;大型企業應用系統和數據庫文件被加密,制造業企業生產線被迫停擺,大量高效實驗室數據和畢業設計被鎖定......
超過150個國家和地區,30萬用戶,80億美元,這些已經被歷史銘記的數字使得WannaCry聲名大振。
而那個經典的紅色框框已經成為企業和用戶的夢魘。
勒索病毒從未遠離
使用“微信掃碼”支付贖金的勒索病毒很快成為人們茶余飯后的談資,粗糙的技術和低水平的加密方式是人們的槽點。
但是,有一個問題被忽略了:哪怕是這個低配的勒索病毒,在96小時內,感染電腦的數量超過10萬臺,盜取淘寶、天貓、阿里旺旺、支付寶、163郵箱、百度云盤、京東、QQ賬號約5萬多條。
我們至少可以得出這樣一個結論,面對勒索病毒,大多數用戶依舊不走心且無防范意識。
深信服發布的安全報告也證實了這一結論。據深信服監測數據顯示,2018年Q4季度,勒索病毒家族依舊活躍,其中,WannCry家族活躍度遠高于其他勒索病毒家族,所占比例高達83%,感染數量排名第一。
可見,人們似乎并未從上一次的史詩災難中吸取多少教訓,更別提將這個教訓運用在企業信息安全建設之中。不少用戶在經歷恐慌、無助、繳納贖金、解鎖文件之后,也就沒有然后了。時至今日,依舊有大量的企業保持著WannaCry入侵之前的狀態,大量終端并沒有打上“永恒之藍”漏洞補丁。
2018年8月,蘋果供應商、全球晶圓代工巨頭臺積電遭到Wannacry勒索病毒攻擊,三大產線全部停擺,給企業帶來嚴重損失。連臺積電般龍頭級制造業企業都在勒索病毒攻擊中損失慘重,其他大中型制造企業的境遇可想而知。
隨著Ransomware-as-a-server(勒索軟件服務化)的出現,致使勒索病毒攻擊趨于平民化;哪怕0技術、0經驗者亦可發起勒索病毒攻擊,只需支付少量租金即可。
因為,勒索病毒開發者可以提供整套勒索軟件的解決方案——從勒索軟件的開發、傳播到贖金收取都提供完整的服務。
這將為企業用戶帶來一個噩夢般的趨勢:大量快速隨機傳播的無差別勒索程序將會在互聯網上游蕩、試探;弱網絡安全防護體系的企業將會面臨大概率的勒索病毒攻擊。
此外,近期流行的“黑客入侵+勒索”狙殺式“高危攻擊”也令不少企業損失慘重。不同于以往“入侵偷取資料”的黑客攻擊,以及“廣撒網”式的勒索病毒傳播,這類攻擊往往“看準了再下手”,手段極其惡劣。
具體攻擊流程是,黑客使用工具暴力破解密碼,通過漏洞、遠程桌面鏈接等途徑侵入企業、單位電腦網絡,然后直接植入勒索病毒鎖死資料文件,進而勒索贖金。
WannaCry、Cerber等勒索病毒涌現出大量的變種,用以繞過固有的防御體系;而勒索軟件服務化、“黑客入侵+勒索”等新式攻擊方法也讓企業安全防御體系猶如虛設;甚至企業被勒索病毒攻擊的間隔時間也將大大縮減。
勒索病毒防不住?
勒索病毒防得住嗎?對于大多數企業來說,依靠現有的安全體系可能真的防不住,不少企業面對勒索病毒攻擊毫無招架之力。
究其原因,在終端上。以WannaCry勒索病毒為例。
WannaCry勒索病毒利用微軟SMB遠程代碼執行漏洞CVE-2017-0144(永恒之藍)進行傳播,入侵用戶電腦后對文檔進行加密,并彈出勒索框向用戶勒索贖金。不僅如此,WannaCry勒索病毒還將繼續攻擊網絡中的其他設備,并以指數級的速度擴散。
隨著互聯網和云計算等技術廣泛應用與企業中,企業終端管理的復雜程度也隨之上升;而多云時代的來臨進一步加劇了企業終端的混亂度。毫無疑問,這給企業安全防御帶來了巨大的挑戰,畢竟,企業終端存在漏洞難以避免。
具體而言,分為以下三點。
1,傳統特征殺毒失效
傳統病毒查殺技術大多依靠特征匹配,只要病毒存在相應的特征即可被系統消滅。因此,想要擁有更完善的病毒查殺能力,那么企業必須擁有更大、更全的病毒特征庫;病毒特征庫越大,運行所占資源也越來越多,最終會導致檢測效率降低、運行所占資源多、最終導致用戶啟用。
由于新式病毒并未在特種庫中,所以傳統病毒查殺技術對于新式變種病毒往往束手無策。也就是說,病毒特征查殺一方面消耗太多企業資源,另一方面難以抵御未知威脅,已不能滿足企業安全需求。
2,缺乏快速響應機制
十幾年前,一個大客戶出現安全問題也許會有十幾個安全人員前往應急處理。如今,隨著企業信息化程度提高、企業信息化規模不斷擴大,企業信息安全問題應急響應缺乏相應的人力資源支持,往往是一堆問題等待著安全人員的應急響應。
伴隨著技術越來越成熟,勒索病毒逐漸趨于工具化、自動化、產業化,大批量的勒索病毒開始出現,給企業安全帶來嚴重負擔,對安全人員提出新的挑戰。因此,一款能夠自動抵御勒索病毒攻擊的產品成為企業用戶新需求。
3,未實現一體化防護,管理運維量大
隨著互聯網+深入各個行業,企業信息化程度越來越高,所擁有的終端種類、數量也在不斷增加,這無疑加重了企業管理運維的量。此外,大多企業尚未實現一體化防護,所需防護終端類型多樣和單一的防護匹配關系形成鮮明對比,無法滿足PC、筆記本、Linux、Windows SVR等終端的普適性和兼容性要求。
反觀勒索病毒,只需尋找到存在漏洞的終端設備即可攻擊,并以此為跳板攻擊網絡中的其他設備。防御態勢和勒索攻擊呈現不對稱趨勢,想要實現完全防御勒索病毒攻擊對企業而言難度巨大。
這也是為什么在WannaCry病毒肆虐19個月后的今天,依舊有不少企業被WannaCry感染,這不能簡單歸結于主觀因素,同樣也有客觀原因。
深信服終端安全產品部主管、首席安全技術專家鄒榮新給我們分享過一個小故事。
2017年5月,WannaCry勒索病毒攻擊事件爆發后,深信服第一時間組織研發團隊為用戶提供一些對抗WannaCry勒索病毒的實用工具,如WannaCry免疫工具等;并在72小時內,迅速迭代了十幾個版本。這些工具一推出便受到企業用戶追捧,數十萬企業用戶在深信服官網下載這些工具。
這一行為至少可以得出兩個結論:1、企業用戶深受勒索病毒荼害;2、企業用戶對于防御勒索病毒有著強烈的需求。
面向未來,有效保護 — 深信服下一代終端安全EDR
以勒索病毒為代表的安全態勢給企業安全帶來了新的需求;深信服安全秉承“面向未來 有效保護”的核心理念,提出下一代終端安全EDR(端點檢測與響應),讓企業IT更簡單、更安全、更有價值。
深信服下一代終端安全EDR主張以資產為中心,為企業提供精準、持續的檢測能力,協同響應幫助客戶快速處置問題;以智能檢測、靈動響應、全面保護三大核心功能為下一代終端安全框架;為企業提供預警、防護、檢測、響應等服務;保障信息資產的保密性、完整性、可用性達到預期要求。
深信服下一代終端安全EDR作為安全管理平臺能支持統一的終端資產管理、終端安全體檢、終端合規檢查,支持微隔離的訪問控制策略統一管理,支持對安全事件的一鍵隔離處置,以及熱點事件 IOC 的全網威脅定位,歷史行為數據的溯源分析,遠程協助取證調查分析。端點軟件支持防病毒功能、入侵防御功能、防火墻隔離功能、數據信息采集上報、安全事件的一鍵處置等。
除此之外,它還將大幅度減少企業安全人員、運維人員的工作量。目前,大部分企業安全人員都處于人員結構簡單、安全人員身兼數職現象,工作內容繁重且耗時長。
深信服下一代終端安全EDR產品支持與下一代防火墻、安全感知平臺、上網行為管理等產品形成聯動協同響應,為企業構建新一代的安全防護體系;這一點在抵御未知威脅方面體現的淋漓盡致。
EDR產品和安全云腦聯動響應,可關聯在線數十萬臺安全設備的云反饋威脅情報數據,為未知威脅實時檢測提供強力支持;對不同業務、不同終端實行隔離訪問控制,防止勒索病毒等未知威脅肆意傳播;與下一代防火墻、安全感知平臺、上網行為管理進行關聯、檢測、取證、響應、溯源等防護措施,為企業提供全方面防護。
多維度的智能檢測
傳統的病毒檢測技術使用特征匹配,使得病毒特征庫越來越大,運行所占資源也越來越多,但卻難以滿足企業安全需求。
智能檢測作為深信服下一代終端安全EDR 的核心功能,包含 AI 技術的 SAVE 引擎、行為引擎、云查引擎、全網信譽庫等方面,形成AI智能、信譽庫、基因特征、行為分析等多梯度、全方面檢測分析,響應速度更快速,資源占用更低消耗。
1、AI檢測引擎SAVE
SAVE 安全智能檢測引擎的強大在于它背后強大的算力、算法和數據。算力對于深信服而言不存在瓶頸問題:無論自身強大的云計算能力,還是與英偉達深度合作,都賦予SAVE引擎無與倫比的算力。而深信服深耕安全行業多年,積累大量真實有效的企業級威脅的數據信息,在數據和算法方面更有天然優勢。
至于深信服SAVE 安全智能檢測引擎能力究竟如何,我這里有一組數字:97.8%、99%、0.1%——未知病毒檢出率高達97.8%,對已知病毒檢出率高于99%,遠遠高于同行業平均水平;而0.1%不到的誤報率大大簡化安全人員的工作量和決策度。
自我學習、自我進化是SAVE 安全智能檢測引擎特定能力之一,這意味著SAVE會隨著深度學習的進行而不斷成長。隨著大量新式威脅不斷涌現,自我學習、自我進化的能力將賦予SAVE更高的檢出率和更低的誤報率,更加貼合用戶安全需求,實現終端安全的防護、檢測和響應。
2、無特征檢測技術
傳統意義上講,網絡攻擊涉及惡意軟件,攻擊者利用惡意軟件訪問受害者的電腦,其后安裝具有破壞性的可執行文件實施攻擊。一般而言,深信服下一代終端安全EDR只需要使用三、五條關鍵的行為特征,就能解決這類檢測問題,從而實現了對未知威脅的檢測,對威脅攻擊的防護。
多維度靈動響應
眾多周知,企業安全防御體系是否完善主要有兩個最為直接的衡量指標,即能否將威脅擋在門外以及能否對安全事件快速響應。深信服下一代終端安全EDR靈動響應的兩大特色便是“多維度”和“快速”,也就是“靈”和“動”。
“靈”代表著響應是多維度的,在安全事件響應時有著多項安全處置措施。如一鍵終端隔離、自動隔離(當某個終端出現問題時,系統將自動隔離,以防感染其他終端);一鍵文件處置、一鍵文件修復(全方面保護文件安全);全網威脅處置(保護企業安全);主機微隔離、流量可視化(提供基于主機應用之間的訪問控制,可視化的安全訪問策略配置);第三方威脅情報社區協助處置、遠程批量腳本執行;以及全局白名單、全局IP黑名單。
“動”代表著響應速度快。通過安全云腦、終端設備、防御體系三者之間相互傳遞與接收熱點事件、威脅情報,自動處置威脅情報,極大的縮短威脅駐留時間。
企業全面保護
深信服下一代終端安全EDR還將為企業提供全面保護,減少無效工作、體現運維工作價值,其內置全面檢測防護手段,實現企業全類型資產策略一體化。
1、入侵攻擊的主動檢測
大多數勒索病毒或挖礦病毒攻擊往往是通過暴力破解進行的,近段時間日益盛行的“黑客入侵+勒索”狙殺式“高危攻擊”便是這類攻擊的實踐應用。深信服下一代終端安全EDR能夠主動監測暴力破解行為,并對發現攻擊行為的IP進行封堵響應。
2、基于 Web 后門的綜合檢測技術
傳統的 WebShell 文件檢測是基于特征碼的檢測技術,嚴重依賴于特征庫,無法杜抵御未知威脅的攻擊。深信服創新性的采用機器學習的檢測方法,不僅可以正確檢測出已有樣本,對于未知威脅有著良好的檢測效果。
深信服下一代終端安全EDR——多場景防護
近年來,EDR產品在全球信息安全行業中的熱度居高不下,不少頂級安全大會中也有相關的議題;如今國外EDR產品已趨于成熟,企業實際應用場景也開始明朗;相應的,EDR產品在國內市場的應用也逐漸進入狀態。
以深信服下一代終端安全EDR產品為例,給企業用戶提供等保合規、一體化防護、未知威脅防護、快速響應處置、企業級運維五大應用場景,確保企業終端在不同場景切換時安全性不受影響,為企業提供全方面的安全防護。
1、等保合規
無論是在國內還是在國外,等保合規都是企業必須要滿足的最基本條件。隨著網絡安全法和GDPR的實施,合規對于企業而言是一條紅線。
深信服下一代終端安全EDR深入于企業終端、內網、存儲、業務之中,幫助企業貼合國家政策法規,滿足主機惡意代碼防范要求,基線檢查,確保終端安全合規;各區域安全保護措施共同組成企業安全防護體系。同時,EDR能為企業檢測查詢已知、未知威脅,對終端進行全面防護。
2、一體化場景
互聯網時代。企業終端的種類和數量有一個質的提升,主機、顯示器、PC以及各種移動終端都已經成為企業終端基本組成部分。不可統一防護、難以統一管理已是安全管理難點之一。
深信服下一代終端安全EDR提出全面適配、統一防護、一體化管理防御原則,對于企業各類終端不再區別對待,全年適配各種終端類型,統一基線、統一防護、進行一體化管理。
3、未知威脅防護場景
對于企業而言,已知威脅并不可怕:有著相應的解決方案,能夠做到威脅可控;而給企業造成嚴重損失的往往是未知威脅。
深信服下一代終端安全EDR通過有效預防、智能檢測、全面防護三個步驟,幫助企業抵御可能出現的未知威脅。在預防階段,通過賬號及密碼策略排查、全網威脅展示與定位等方法預防威脅;基于最小授權原則、給不同的業務和終端設置隔離訪問控制,盡可能減少威脅出現的概率。
在智能檢測階段,EDR搭載人工智能SAVE引擎,無需進行特征匹配,全平臺檢測未知威脅,并處置暴力破解、WebShell、僵尸網絡等威脅。
4、快速響應處置場景
深信服下一代終端安全EDR依托靈動響應機制,可實現威脅自動響應。當企業某一終端出現安全威脅時,威脅自動上傳至EDR管理中心、安全感知平臺和安全云腦;而后,EDR將自動下發處理威脅的指令,直至消滅威脅,解除警報。
5、企業級運維場景
隨著企業信息化程度不斷提高,企業運維管理難度也在增加:終端數量多、分布廣,類型多樣化,所需的專業的能力也越來越高。
針對這些痛點,深信服下一代終端安全EDR秉持著面向未來、有效保護的原則,全面防護總部、分支、服務器等終端。對維度持續檢測、響應,減輕企業維護成本;同時,企業統一維護資產,責任落實到人,最大限度減輕企業運維壓力。
后記
2002年,EDR相關概念及產品早已出現;然而,因為兼容性以及對業務的影響,這類產品最終消失在人們視野中。
16年后,深信服推出了深信服下一代終端安全EDR,以前所未有的方式閃亮登場,并給企業帶來太多的驚喜。
深圳、北京、長沙、硅谷四大研發中心,每年20%以上的收入投入,研發人員占比高達40%深信服創新研究院博士、博士后團隊以及無數安全團隊的付出......這些才是深信服下一代終端安全EDR能夠給企業帶來自動化端點防御的原因,也是深信服一直堅持的研發原則。
同時,深信服要求所有技術團隊都必須深入到客戶中去,到一線上去。當用戶出現安全事件時,鄒榮新要求用戶的響應時間是“當天”;這與深信服下一代終端安全EDR應急響應速度如出一轍。
