新型勒索病毒的整体安全检测防护解决方案
一.事件概况
●行业内网爆发勒索病毒变种
今年2月份起,医院、政府等行业爆发大规模信息勒索病毒感染事件,包括GandCrab V5.2、Globelmposter V3.0等,受影响的系统和数据库文件被加密勒索。
黑客主要是通过钓鱼邮件、漏洞利用、恶意程序捆绑等方式进入内部网络,之后通过SMB漏洞攻击、RDP(windows系统远程桌面协议)口令爆破等形式大规模感染整个网络,导致终端、业务系统、数据库等被加密勒索,全国大部分省份相关单位都受到影响。
●新型变种Globelmposter V3.0
Globelmposter勒索病毒的安全威胁热度一直居高不下。
本次爆发的Globelmposter V3.0勒索病毒变种攻击手法非常丰富,可以通过社会工程、RDP爆破、恶意软件捆绑等方式进行传播其加密文件为*4444扩展名,采用RSA2048算法加密文件,目前该病毒样本加密的文件暂无解密工具,在被加密的目录下生成HOW_TO_BACK_FILES的txt文件,显示受害者的个人ID 序列号及黑客的联系方式等。
●新型变种GandCrab V5.2
GandCrab 勒索病毒变种可绕过杀毒软件的检测,通过永恒之蓝MS17-010漏洞、共享文件服务、远程桌面服务(RDP)弱口令等方式在内网进行传播,随机生成后缀名对系统重要数据和文件进行加密,目前暂无加密工具
二.由勒索病毒反思网络安全建设
勒索病毒并非APT攻击,仅仅是病毒攻击行为,并不是不可防御的。
并且,微软在17年就已经发布了SMB 相关漏洞的补丁,用户有足够的时间做好预防工作,为什么还有大量用户受影响?并且其中还包括一些行业的与互联网隔离的专网,除了在口令安全、高风险端口禁止对外开放等方面的安全意识需要提升之外,主要的原因还有以下几点:
1)大量用户缺乏全过程保护的安全体系
这起事件并非APT攻击或0DAY攻击,大部分用户的安全建设仅仅是在事中堆叠防御设备,缺乏事前风险预知的能力,使其没有提前部署好安全防护手段;在威胁爆发后,又没有持续检测和响应的能力,使得这些客户在事件爆发前没有预防手段、爆发中没有防御措施、爆发后没有及时检测和解决问题的办法。
2)忽视了内部局域网、专网和数据中心的安全防护
经过这段时间的响应,我们发现很多客户的威胁是与互联网相对隔离的内部网络中泛滥。
比如专网、内网、数据中心,这些区域过去被用户认为是相对安全的区域,很多客户在这些区域仅仅部署了传统防火墙进行防护。
但勒索病毒感染内部网络的途径很多,比如U盘等存储介质、比如社会工程学,再或者是与DMZ间接相连的网络都可能成为来源。
3)过于复杂的安全体系,没有发挥应有作用
这起事件影响的用户中也不乏安全投入比较高、设备购买比较齐全的用户。
但是过于复杂的体系,使得安全设备并没有用好,没有及时更新,没有及时获取到安全事件等。
用户通过复杂的体系,需要运维很多设备,并且看到的是碎片化的日志。
复杂的体系和过多无效信息,使得很多用户丧失了对安全的信任,并没有很好的把安全设备用起来,这也是造成用户被感染的原因。
三.事前防护+事中监测+事后处置的整体安全解决方案
基于勒索病毒的这一类安全事件,我们重新审视网络安全建设,提供深信服的解决之道。
因此该解决方案基于事前、事中、事后全过程设计,通过下一代防火墙AF、终端检测响应软件EDR、全网安全大数据检测平台和人工安全服务等实现:事前风险预知、事中有效防御、以及事后持续检测和快速响应,为用户提供全程的安全保护能力,让安全更简单更有效。
针对勒索病毒的防护,应当依据病毒感染的完整生命周期进行防护,必须涵盖事前的防护、病毒入侵后的持续监测、发现病毒快速处置三个环节。
| 事前防御
1)边界防护:防止病毒从边界入侵,关闭风险传输端口,更新防护规则,阻断传播
2)终端防护:防止病毒从终端入侵,提升终端端口开放、弱口令、漏洞等安全基线
| 持续监测
病毒入侵后会横向扫描、广泛扩散繁殖。
持续监测能第一时间发现入侵事件,及时止损
| 隔离+处置
发现中毒事件,首先需要应急隔离失陷主机,控制疫情,避免反复感染;之后再定点查杀,清除病毒文件。
| 事前防御:边界+终端立体防护
勒索病毒的本质属于蠕虫病毒,利用Windows 漏洞或远程桌面弱口令作为入口点进行传播,因此事前通过关闭不必要的端口、修复已知漏洞,可一定程度上切断勒索病毒传播途径;而对于无法打补丁的重要业务系统和大规模终端场景,或出于业务需要无法关闭相关端口的情况下,通过深信服下一代防火墙AF和终端检测响应系统EDR 的组合方案,能够迅速构建起边界+终端的立体防护能力。
针对最新爆发的勒索病毒变种,AF能够快速同步威胁情报,对用户网络进行自检分析是否存在对应漏洞等风险,并将威胁情报和分析结果通过邮件、微信等多种方式第一时间紧急通知用户;用户在AF界面可一键生成匹配的防护规则,防护病毒入侵的漏洞等风险。
针对终端层面,EDR可结合威胁情报自动对终端进行基线核查,检查终端是否存在可被利用漏洞、弱密码、不安全端口开放等风险,在安全事件发生前帮助用户及时发现并修复潜在业务威胁风险。
同时对于最新变种GlobeImposter 病毒,EDR能够其防御通过3389端口远程暴力破解终端的传播方式,多次登录失败后直接拒绝处理。
| 持续监测:第一时间发现已感染主机
勒索病毒版本更新频繁、入侵方式多变,仅靠防护无法保障100%的安全;一旦勒索病毒入侵会先潜伏、再扫描、最后由点及面快速扩散,造成爆发式破坏。
因此需要对全网进行持续监测,第一时间发现第一台失陷的主机,并进行应急处置,将勒索病毒造成的损失降到最低。
深信服全网安全大数据检测平台解决方案,提供对全网安全的实时监控、动态感知的能力。
SIP 可全网采集流量,结合EDR上报终端日志信息和AF上报边界防御日志进行汇总关联分析,通过可视化界面为用户展示内网整体安全状况,第一时间发现内网横向扫描、病毒扩散、非法外联等勒索病毒行为,并及时告警,帮助用户在勒索病毒大面积感染前及时发现。
| 快速处置:先隔离,再杀毒
针对已中毒主机,盲目查杀往往会造成查杀完反复感染、一边查杀一边扩散的问题,严重降低处置效率,对用户造成更进一步的严重损失。
因此勒索病毒事件处置需要先快速摸清中毒主机数目和分布,接着隔离全部中毒主机,避免进一步扩散或遭受二次感染,最后通过专杀工具或系统恢复等手段逐一处理,清除病毒文件,彻底解决病毒事件。
深信服全网安全大数据检测平台作为本地安全大脑,实时监测到内网中毒事件后,能够基于行为分析快速定位出全网失陷主机,并通过联通EDR系统可实现一键隔离所有失陷主机,控制疫情进一步扩散,避免造成更严重的损失;同时可联动下一代防火墙AF生成相关阻断策略,防止病毒在内网各区域之间流窜传播,波及更多安全域。
之后可联动EDR 针对失陷主机进行定点查杀,若无法查杀可通过专杀工具或系统恢复彻底清除威胁,将对用户的损失降至最低。
四.整体解决方案建设优势
Ø 事前+事中+事后的全流程融合保护
Ø 边界+端点+人工的三级立体防护
Ø 简单、有效的可视化安全运营,安全可感知、易运营
Ø 基于AI 的精准检测能力,提升已入侵的未知威胁检出率
五.推荐预防加固方案
1、此次勒索病毒事件发生在相对隔离的区域泛滥。
建议还需要重点加固传统安全建设的薄弱区:在广域网分支、局域网和数据中心内部等区域,在传统ACL控制策略的基础上,通过增加系统层和应用层的安全防护技术,提升防御有效性。
2、建议采用网络分级分区防护措施,下一代防火墙会过滤边界中应用层威胁流量,防止病毒、木马等威胁在网络内部横向扩散,有效避免分支机构因薄弱的安全建设成为黑客入侵的短板,同时实现安全投资最大化。
封闭RDP协议端口加固防护线:在互联网出口和边界处封堵RDP协议端口(3389),同时加强对外发布的web业务的应用层防护。
对于无需开放RDP协议的主机,采用安全策略封堵RDP端口或协议,建议采用下一代应用层防火墙在互联网出口和专网边界部署完成此项功能。
3、构建终端防护和响应能力:在主机上部署终端管控软件,终端管控软件应能够防御最新型的勒索病毒攻击以及未知风险,并利用微隔离功能封堵RDP协议防止扩散,区别于传统杀毒软件,建议采用下一代EDR终端安全检测响应软件,从而提高检出率和多层级响应能力。
4、持续检测勒索病毒行为:通过部署探针系统,对于没有防火墙防护节点的办公网之间的通讯流量、专网与专网核心交换机上的全网流量进行抓取,并通过部署全网安全大数据检测平台,利用机器学习和人工智能技术进行综合分析,持续检测,从而识别和捕获内部尚未爆发的潜伏威胁。
同时感知平台还应该具备同时接入防火墙、终端管控的流量、策略和安全内容日志,全面分析新型勒索病毒的攻击面及其影响范围,并进行实时呈现,帮助组织提升应急处置速度。
5、人工安全服务:提供专业的威胁分析、威胁处置和加固建议服务,从而实现威胁发现到处置的闭环安全效果。
六.其他预防措施:
1、提升安全意识,更改登录账户密码,设置强密码,避免多个系统使用同一口令;
2、及时打补丁,修复系统漏洞;
3、对重要的数据文件定期进行非本地备份;
4、引入专业安服人员,对内网潜伏威胁进行检测和扫描,排除风险。
七.可获取的收益
1. 第一时间对各种新型勒索病毒攻击行为进行有效阻断和隔离。
2. 建立对安全威胁持续检测预警能力,高效精准的感知最新攻击事件。
3. 构建“边界+流量+端点”的立体联动防护能力,提升响应速度。