媒体声音 | “勒索软件”的把戏看似高明,实则上不了“方舟”——四川成都 亚信终端安全 分销服务商 科汇科技

 

黑暗的角落里,那群人在数着钞票。

Conti是臭名昭著的勒索团伙,但说其是“团伙”还真对不起这家公司。Stern是Conti的执行官,他手下还有三大干将。Salamandra主管人事,负责招聘新员工;Bentley主管技术团队,负责编写和维护恶意软件代码,以及随时发起攻击;Bio主管谈判,负责向受害企业索要赎金。

更令产业汗颜,Conti不仅率先完成了数字化转型,还玩明白了商业模式创新。秉承RaaS(勒索即服务)的理念,Conti一直在招募下游“渠道”。“合作伙伴”可以缴纳许可费,也可以按月订阅,或者缴费加盟。怀揣“不看广告,看疗效”的自信,Conti更可与“合作伙伴”按照勒索收益分成。
而且仅在过去两年,Conti团伙核心成员就已经发展到约350名,共赚取了约27亿美元(约合172亿人民币)。这是什么概念?中国的网络安全公司,员工人数近万人,但过去两年的营收大体只是其一半。

勒索攻击“APT化”

“现代勒索攻击团伙就是APT(高级可持续威胁攻击)组织。”亚信安全给出了定性判断。这不仅是“绑匪”学会了“盗窃”,而且“APT化”的勒索攻击组织,无疑将对目标企业造成降维打击。

其实,类似Conti的RaaS(勒索即服务)团伙,全球最少有90家。他们已不像前辈一样单兵作战吃独食,其内部组织分工细致,且已经实现了专业化、职业化、产业化,这一点就很像其大哥APT组织。

新生代的勒索攻击团伙,更是专门瞄准了那些“有钱人”,矛头直指金融、医疗、高端制造、公共事业等有兑现能力的大型企业。这一点也像2017年WannaCry爆发时,黑客采用的“广撒网,多敛鱼,择优而勒索之”策略。

不仅如此。

勒索攻击团伙甚至还学会了抛光养晦。此前的勒索病毒是“运行即发生”,入侵成功即开始发飙,但现在他们开始隐忍待时,“2月份开始渗透,8月份才实施攻击,黑客在潜伏的6个月中,获取了管理员权限,摸清了企业的数据家底。”亚信安全介绍了一个曾经处置过的勒索攻击事件,“而且黑客很会选择时机,在拿到新式“武器”后的10小时,就展开攻击。利用时间差绕开了所有查杀系统。”

更雪上加霜的是,勒索攻击团还专逮着一只羊薅羊毛,他们“发明”了双重勒索,甚至多重勒索模式,交过赎金也不放“数据”,单次攻击获得的勒索赎金,因此一下子从100美元,猛增至100万美元。

正是看见了此生财之道,以偷数据为生的APT组织,也放下了“老大哥”的架子,干起了绑票的勾当。毕竟,明目张胆地向企业索要赎金,比在暗网中进行数据交易,变现速度快得多。

看穿“勒索”的把戏

这就是“APT化”的勒索攻击,具有上述特征的勒索攻击团队,已经完全符合业内对APT组织的认定标准——攻击具有明确经济目的;通过潜伏发起多阶段的持续性攻击;针对企业或组织发起定向攻击;利用定制化恶意软件、远端控制工具等,发起多样化攻击。

正因如此,勒索攻击已经成为全球网络安全的威胁。最近10年,全球恶意软件数量快速增长23倍。甚至黑客每分钟就能制造648个变种病毒,每分钟攻击6家企业,每分钟造成企业损失180万美元一样。

但把戏终究是把戏,摸清了把戏的套路,也就不难戳穿。既然勒索攻击有一段潜伏期,就充分利用“时间差”做好体检;既然勒索攻击已经不是简单的“病毒”,就不能只是指望查杀软件解决问题,相互联动的立体化防御体系才是选择。

除此之外。既然勒索攻击的主要目的是先“偷数据”,再“锁数据”,就不能单纯依靠数据备份回血重生;既然已经知道黑客擅长使用“多重勒索”的组合拳,就要亡羊补牢、及时响应,避免他们一计不成又生二计。

这就是亚信安全应对现代勒索的治理思路,勒索攻击“APT化”,安全思想也应从边界防御,延伸到纵深防御;从被动防护,演变为主动体检;从单一产品堆砌,发展到体系化防御。

治病于未病

这就是亚信安全的“方舟计划”。

亚信安全“方舟”由勒索体检中心、全流程处置机制、现代勒索治理解决方案三项核心能力构成。其中,“勒索体检中心”和基于XDR技术的勒索病毒治理解决方案,更是“方舟”的亮点。

“勒索体检中心”的核心理念是治病于未病、治乱于未乱。这其中隐含着亚信安全的技术能力、服务能力,以及模式创新的勒索治理核心理念,而且其巧妙地利用了勒索攻击的弱点。

“APT化”的勒索攻击团伙,为崛起更大的商业利益,开始像APT组织一样玩起了潜伏。甚至在长达半年的时间内,他们都会耐着性子逐步掘取管理员权限,摸清企业的数据家底。但这招看似高明,实则留有破绽。

既然“入侵”和“攻击”之间存在时间差,企业也不妨就充分利用这段时间差,打好防守反击战。在此之前,通过对众多勒索攻击的研究,亚信安全将勒索病毒攻击分为6个阶段:初始入侵、持续驻留、内网渗透、命令控制、信息外泄、执行勒索。

这一过程的前四个阶段,企业虽被攻击,但未发生实际损失,而勒索攻击一旦进入后两个阶段,必将造成不可逆的财产、名誉损失。因为黑客通过现代密码学实现高强度数据文件加密,理论上通过现有技术几乎不可能破解。

既然如此,方向也就很明确——治病于未病。以“勒索体检中心”为载体,亚信安全运营团队通过部署端点及网络探针,对勒索攻击进行全面排查分析,利用的勒索威胁情报进行数据碰撞,确认企业环境中是否存在勒索行为。

期间,如发现钓鱼邮件、木马植入、管理权限被控等入侵的蛛丝马迹,即可立即清除黑客已占领的滩涂阵地,将入侵扫地出门。切实做到了早发现、早预警、早研判、早处置,将勒索攻击爆发风险降。

更重要的是,“勒索体检中心”还是一种安全思维转变,一种服务模式创新。

很显然,“勒索体检中心”提供的服务带有实战性质,这其实就符合当前中国网络安全产业的发展趋势——以安全合规为底线,以实战演练为常态,即“合规+实战”双轮驱动。道理很简单,安全不能只是条条框框。既然勒索攻击索要的是真金白银,网络安全企业就要在实战中体现价值。

另一方面,“勒索体检中心”也是服务模式创新。既然勒索攻击团队已经在提供RaaS服务,安全企业就不能完全以线下服务对抗上线攻击,就不能将有限的高级专家团队,撒胡椒面式地分布在千行百业。

攥紧拳头提供云化安全运营服务,就是亚信安全的选择。目前,亚信安全拥有一支3000人的专业安全服务团队,再辅以“勒索体检中心”,其已经可建立从运维到运营,从线下到线上的立体服务体系。

正因如此,亚信安全“勒索体检中心”正在结合分行业、分场景的需求,提供定制化的专项体检服务,例如:网络资产大盘点、网络流量勒索体检、威胁情报告警分析、高危失陷主机确认、EDR端点勒索体检服务、IOA与IOC热点事件与勒索情报碰撞后的高危主机评估、云主机安全勒索体检服务、终端安全勒索体检服务等。

“事前、事中、事后”闭环

当然,“勒索体检中心”只是重在解决“事前”隐患。为此,亚信安全根据勒索攻击6个阶段的不同特点,推出以XDR技术为核心的现代勒索病毒治理解决方案,这就形成了亚信安全的核心理念:“由于勒索攻击深度结合APT攻击技术手段,从威胁的检测、控制,再到威胁狩猎、调查、归因等整体联动防御,方能产生更好的效果。”

早在2018年,亚信安全即已首提XDR理念,当时瞄准的“敌人”就是APT。2019年,亚信安全正式发布XDR 1.0,一年之后又发布XDR 2.0。由此,亚信安全已建立覆盖“预测、防护、检测、响应”四大环节的威胁治理闭环。同时,运用“精密编排策略”,形成多产品线协同智能安全联动。

时至今日,勒索攻击已经“APT化”,XDR也找到新的用武之地。基于XDR技术的勒索病毒治理解决方案,看从服务能力、产品能力逐层向上提供支撑,通过终端、云端、网络、边界、身份、数据的检测与响应(目前引擎可洞察72个勒索攻击的检测点),以及威胁数据、行为数据、资产数据、身份数据、网络数据等的联动分析,形成了针对勒索病毒治理全链条,覆盖“事前、事中、事后”运营处置,为贯穿勒索病毒事件应急响应全流程的关键动作提供了支撑。

正如亚信安全强调的,发展与安全,是数字化时代的一体两面。亚信安全“平台为先”的原则,不仅可以让碎片化的安全融入一体,变成系统性、可全局联动的原生免疫系统,更能将复杂的管理问题,化解成极简与智能的威胁治理运营平台。以此打造“产品+平台+服务”完整闭环的发展战略,也将真正为客户建立整体性防御体系,提升客户安全防御能力。

 

IT解决方案
服务区域:
四川亚信 终端安全 成都亚信 终端安全 西藏亚信 终端安全 重庆亚信 终端安全贵州亚信 终端安全 贵阳亚信 终端安全 云南亚信 终端安全 昆明亚信 终端安全
四川synology: 德阳亚信 终端安全 绵阳亚信 终端安全,攀枝花亚信 终端安全,西昌亚信 终端安全,雅安亚信 终端安全,内江亚信 终端安全,资阳亚信 终端安全,南充亚信 终端安全,眉山亚信 终端安全,乐山亚信 终端安全,自贡亚信 终端安全 泸州亚信 终端安全 广元亚信 终端安全 遂宁亚信 终端安全 宜宾亚信 终端安全 广安亚信 终端安全 达州亚信 终端安全 雅安亚信 终端安全 巴中亚信 终端安全 资阳亚信 终端安全 攀枝花亚信 终端安全 凉山彝族自治州亚信 终端安全 甘孜藏族自治州亚信 终端安全 阿坝藏族羌族自治州亚信 终端安全
贵州亚信 终端安全:贵阳亚信 终端安全 、六盘水亚信 终端安全、遵义亚信 终端安全、安顺亚信 终端安全、铜仁亚信 终端安全、毕节亚信 终端安全。 黔南亚信 终端安全 、黔西南亚信 终端安全、贵州黔东南亚信 终端安全
重庆亚信 终端安全 合川亚信 终端安全 南川亚信 终端安全
潼南亚信 终端安全 铜梁亚信 终端安全 长寿亚信 终端安全 璧山亚信 终端安全 荣昌亚信 终端安全 綦江亚信 终端安全 大足亚信 终端安全 武隆亚信 终端安全 垫江亚信 终端安全 奉节亚信 终端安全
丰都亚信 终端安全 城口亚信 终端安全 巫溪亚信 终端安全 云阳亚信 终端安全 酉阳亚信 终端安全 巫山亚信 终端安全 梁平亚信 终端安全 彭水亚信 终端安全 秀山亚信 终端安全 石柱亚信 终端安全 开县亚信 终端安全
昆明亚信 终端安全、曲靖亚信 终端安全、玉溪亚信 终端安全、 保山亚信 终端安全 、昭通亚信 终端安全 、丽江亚信 终端安全 、普洱亚信 终端安全、 临沧亚信 终端安全。
文山壮族苗族自治州(文山亚信 终端安全) 、红河哈尼族彝族自治州(红河亚信 终端安全) 、西双版纳傣族自治州、(西双版纳亚信 终端安全) 楚雄彝族自治州(楚雄亚信 终端安全)、 大理白族自治州(大理亚信 终端安全)、 德宏傣族景颇族自治州(德宏亚信 终端安全)、 怒江傈僳族自治州(怒江亚信 终端安全)、 迪庆藏族自治州(迪庆亚信 终端安全)

亚信安全终端安全(OSCE)是一体化的终端安全防护平台,将行为监控,机器学习防护,沙盒联动等防护未知威胁的引擎和功能融入现有的病毒防御技术组合,同时可集成漏洞防护、EDR、DLP、桌面管控、终端准入等安全模块,从而为客户提供完整的一体化终端安全防护。亚信安全终端安全(OSCE)可以提供Linux版、Windows版等不同的版本,能够为组织提供更全面的终端防护能力。
成都科汇科技有限公司 ( 亚信安全 四川总代理 )
地址:四川省成都市人民南路四段一号时代数码大厦18F
座机电话:400-028-1235
QQ咨询:1325383361
手机:180 8195 0517(微信同号)

联系我们

联系我们

400-028-1235 工作时间:周一至周五,9:00-18:00,节假日休息
关注微信
微信扫一扫关注我们

微信扫一扫关注我们

关注微博
返回顶部