高级搜索

构建多层防御应对勒索软件威胁

  • 来源:中国计算机报
  • 关键字:多层防御,勒索软件,黑客,互联网+
  • 发布时间:2016-09-26 13:59

  面对勒索软件威胁,普通用户对它的攻击方式和破坏力不了解,因此无法进行系统有效且全面的防护。很多人中招后茫然无措,最后只能老老实实地交付赎金或者任由自身数据或财产损失。这种勒索软件威胁现象从上世纪80年代末就已经出现,只是波及范围较小,没有引起大众足够的关注和警觉。

  此前,勒索软件侵害的对象主要是一些有充裕资金的企业,但近期形势发生了一些变化,中小企业、个人也都成为受灾群体。随着智能移动端设备的广泛使用,勒索软件感染的途径更加多样化,并且已经从传统的PC端逐渐蔓延到手机端。在同一个商业网络中,通过被勒索软件感染的手机也有可能对网络中其他设备造成不良影响,网络中其他设备也可能遭受勒索软件感染。

  大型企业或机构中可能有一些专职IT管理人员会处理被勒索软件感染的设备,但任何一位IT管理人员都不愿企业或机构的数百台设备遭受勒索软件感染。勒索软件感染会致使关键系统处于离线状态,以至于企业或机构的全部运营活动都处于危险境地。很多安全解决方案提供商对此做出分析,运用新技术,推出了一些安全防御解决方案,并且提出了一些可行的安全防御建议,供大众参考。

  持续跟踪分析

  在近期的一些勒索事件中,尽管大多数的勒索软件犯罪组织并没有特定的攻击目标,但是,赛门铁克的安全团队发现,一部分犯罪组织已经将攻击目标转向特定企业,试图通过破坏企业的整体运营以获得巨额赎金。在今年年初,一家大型企业所遭受的精心策划的勒索软件攻击事件正是犯罪组织针对特定企业发起攻击的典型案例。在此类针对企业的攻击中,攻击者像网络间谍一样拥有高级专业知识,能够利用包含软件漏洞和合法软件的攻击工具包侵入企业网络。勒索软件攻击者与网络间谍之间并无区别,他们都是利用服务器上尚未修补的漏洞,在企业网络中获得立足点。通过使用多种公开的黑客工具,网络攻击者能够看到企业的网络结构,并使用未知的勒索软件变种尽可能多地感染企业内的计算机。

  此前,卡巴斯基也对勒索攻击事件进行过持续的跟踪分析。卡巴斯基发现,这种勒索软件感染事件并非仅出现在局部地区,而是全球性的。因此,卡巴斯基提出了打击勒索软件的倡议,表示“打击这种全球威胁需要国际间合作”。

  不断爆发的勒索软件攻击对企业造成了相当严重的影响,所幸企业的关键系统和大部分被勒索软件加密的数据可以通过备份恢复过来。未来,我们可能会看到更多针对资金雄厚的企业发起的勒索软件攻击,以索要巨额赎金。

  令人担忧的趋势

  赛门铁克最新发布的《勒索软件与企业2016》调查报告中指出,勒索软件已经成为当今企业和消费者面临的最大网络安全威胁之一。在2015年,赛门铁克共发现100种新型勒索软件,创下历史新高。在被发现的新型勒索软件中,大多数为更危险的“加密勒索软件”,这类恶意软件可以通过强效加密锁定目标的文件。

  无独有偶,卡巴斯基也发现,最近几年,勒索软件正在成为一个非常严重的问题。欧盟执法机关将其视为一种头号威胁,约三分之二的欧盟成员国正在对这种形式的恶意软件攻击进行调查。

  同2014年4月至2015年3月这段时间相比,在2015年4月至2016年3月遭遇所有类型勒索软件攻击的用户总数增长了17.7%,全球受攻击用户从196.7784万个增长到231.5931万个;遭遇加密勒索软件攻击的用户数量增长了5.5倍,从2014年—2015年的13.1111万个增加到2015年—2016年的71.8536万个;至少遭遇一次勒索软件攻击的用户占所有遭遇恶意软件攻击的用户总数的比例增长了0.7个百分点,从2014年—2015年的3.63%增长到2015年—2016年的4.34%;遭遇加密勒索软件的用户占所有遭遇勒索软件攻击的用户数量比例显著上升,上升了25个百分点,从2014年—2015年的6.6%上升到2015年—2016年间的31.6%;遭遇锁定软件(锁定用户屏幕的勒索软件)的用户数量下降了13.03%,从2014年—2015年的183.6673万个减少到2015年—2016年间的159.7395万个;德国、意大利和美国的用户遭遇加密勒索软件的比例最高。

  再来看一看遭受勒索软件感染后,用户交付赎金的数额变化情况。赛门铁克的《勒索软件与企业2016》报告中指出,从2015年年末至今,勒索软件的平均赎金增长超过2倍,从294美元增长至679美元。2016年,一种名为7ev3n-HONE$T的恶意软件(Trojan.Cryptolocker.AD)要求每台计算机支付13个比特币的赎金,换算约为5083美元(根据发现的时间),成为最高的勒索金额。

  勒索软件的影响范围

  根据赛门铁克的调查报告,美国成为感染勒索软件最严重的国家,占全球的28%。排名前十的国家还包括加拿大、澳大利亚、印度、日本、意大利、英国、德国、荷兰和马来西亚。现在,个人消费者仍然是勒索软件的主要攻击目标(57%)。但长期趋势表明,以企业为攻击目标的勒索软件攻击次数正在缓慢且稳步地增长。

  或许有人会提出这样的问题,为什么目前勒索软件的主要攻击目标会有57%是个人用户,而非企业用户,攻击这些目标群体真会获得很多利润吗?企业对于自身信息应该更为看重,更应该愿意支付赎金,攻击它们应该比攻击个人用户更有利可图。赛门铁克公司大中华区首席运营官罗少辉表示,不同的黑客发动攻击时,所选择的目标不尽相同。有些黑客仅针对个人用户进行攻击,因为个人用户的安全意识比较低、防护措施也比较薄弱,黑客通过简单的勒索软件就能够轻易地实施攻击。同时,由于黑客对个人用户的勒索金额较小,个人用户为了尽快获得密钥会更加倾向于支付赎金。所以,现在的勒索软件攻击的对象大部分针对个人用户。

  而针对企业的攻击,由于攻击规模相对较大,因此黑客需要采用一些专业攻击工具,花费较多的时间,因此黑客索要的赎金也是相当可观的。“我认为,正是由于勒索软件针对企业的攻击数量上升,企业才会更加关注安全防护,逐步增强安全防御措施。”罗少辉补充道。

  赛门铁克的《勒索软件与企业2016》调查报告还指出,当前受勒索软件影响较大的行业为服务业(38%)、制造业(17%)、金融、保险和房地产业(10%),以及公共管理(10%)。

  过去,黑客攻击的主要方式是通过电子邮件进行传播。但如今,黑客通常不再使用单一手法进行攻击,黑客也会在同一时间,利用电子邮件、社交媒体和短信等多种不同方式队攻击目标。此外,勒索软件会出现很多变种。因此,即便用户对电子邮件保持谨慎,也有可能通过其他途径感染勒索软件。正是由于黑客的攻击方式更加多样化,赛门铁克对勒索软件的攻击模式和途径进行统一分析与整理还存在一定困难,无法全面对其梳理,绘制一个全面的图表。

  以邮件和URL传播为主

  由于勒索软件可以通过多种途径来传播,因此基于单一层面的防护机制都无法有效防范勒索软件。亚信安全发布的勒索软件风险研究报告同样显示,在综合部署电子邮件、URL、文件等多层防护机制之后,在防护边界对于勒索软件的检测率可以达到99%。

  亚信安全技术总经理蔡昇钦指出:“勒索软件作者会不断改变程序代码来绕过过滤程序,并且尝试通过电子邮件、URL链接、文件等多种方式来入侵网络。同样,黑客也开始将恶意软件目标放到服务器基础设施上,与最近攻击医疗行业的‘SAMSAM’雷同,它们无需与C&C服务器联系也能加密档案。简言之,并没有万灵丹来防止这类网络威胁,企业用户需要尽可能地降低风险,并通过多层防护机制来进行检查和拦截。”

  从亚信安全7月发布的《勒索软件风险研究报告》中还可以发现,在过去的10个月中,勒索软件主要是通过电子邮件、URL、文件这三种方式进行传播。其中,通过电子邮件传播的勒索软件数量出现了较为显著的增长,占比从不足5%增长到46%,仅次于通过URL传播的比例(52%)。

  据亚信安全病毒监测实验室分析:电子邮件与URL是勒索软件传播者尤为喜欢的两种传播途径,主要是因为这两种方式简单有效,通过大规模群发的方式,不仅能够降低传播成本,还便于利用社交工程攻击的方式来吸引更多人点击。而且,这两种方式要比很多人想象的更有效果,因为黑客会利用漏洞攻击套件(Exploit Kit)攻击操作系统及应用程序的漏洞,若用户电脑没有更新补丁,只是浏览一般网页就可能会被勒索软件感染。

  对此,赛门铁克也提出了几条建议:

  1.新型勒索软件变体会定期更新,赛门铁克建议用户及时更新安全防护软件,确保防御能力。

  2.软件更新通常包含最新发现的可被勒索软件利用的安全漏洞补丁,用户应该及时更新操作系统和其它应用软件。

  3.电子邮件是感染勒索软件的主要途径之一。赛门铁克建议用户及时删除所收到的任何可疑邮件,特别是包含链接或附件的邮件。

  4.谨慎对待任何建议启用宏查看内容的Microsoft Office电子邮件附件。若无法确定电子邮件的来源是否可信,不要启用宏并立即删除该邮件。

  5.应对勒索软件攻击的最有效方式是对重要数据进行备份。攻击者通过对重要文件进行加密,使受害者无法访问。如果受害者拥有备份副本,可以在清除感染后立刻恢复文件。

  与此类似,卡巴斯基也提出了一些安全解决方案和建议:

  1.必须进行数据备份。越早地将备份当作是日常使用计算机时必须做的事,能够越早地对各种类型的勒索软件免疫。这与赛门铁克给出的第五条建议类似。

  2.使用一款可靠的安全解决方案。使用安全解决方案时,不要将高级安全功能关闭。通常,这些高级功能能够基于程序的行为检测最新的勒索软件。

  3.保持计算机上的软件更新。大多数常用的应用程序(Flash、Java、Chrome、Firefox、Internet Explorer、Microsoft Office)和操作系统(例如Windows)都具有自动更新功能。保持自动更新功能开启,不要忽略这些应用程序安装更新的请求。

  4.当心自己从互联网上下载的文件,以及通过电子邮件收到的文件。尤其是来自不受信任来源的文件。换句话说,如果你想要下载的是一个mp3文件,但是却得到了一个扩展名为.exe的文件,那这个文件绝对不是音频文件,而是一个恶意软件。要确保下载的内容没有问题,最好的办法是检查其扩展名是否正确,同时要确保其能够通过反病毒解决方案的扫描。

  5.如果某些原因导致你的文件被勒索软件加密,并且要求你支付赎金,请不要支付。你付给网络罪犯的每一分钱都会增强他们利用这种网络犯罪形式获利的信心,而这些钱会被用来制造新的勒索软件。

  同时,很多安全解决方案提供商,每天都在为对抗勒索软件这种威胁努力工作。有时候,安全解决方案提供商开发出一些针对某些特定勒索软件的解密工具,并且通过同执法机关合作,它们可以获取到特定恶意软件家族的加密密匙,可用帮助遭受勒索软件加密的用户来解密被加密的文件。最后一点,制造、传播,以及索要赎金解密文件等行为,在全球大多数国家都属于犯罪行为。如果遭遇攻击,请向警方报案,以便开始调查。

  健全防御机制

  当企业中的一台电脑(或智能设备)感染了勒索软件后,如果员工将其接入其他商业或者家庭网络中,是否意味着采用该网络的相关设备也会陷入勒索软件的威胁之中?对此,罗少辉表示:“部分勒索软件会经由感染的终端扩散传染至局域网和互联网上的其他设备,这主要由勒索软件的具体行为决定。尽管无法完全确定这种情况的发生,但采用该网络的其他电脑或者智能设备陷入勒索软件的威胁的可能性非常高。部分勒索软件自身会在感染用户电脑后进行扩散,从而使相连设备感染病毒,以此达到勒索更多赎金的目的。赛门铁克建议,当发现一台终端感染勒索软件后,立刻将该终端与网络隔离,减少大范围感染的几率。”

  在中国“互联网+”时代背景下,每个企业的发展都与互联网息息相关,每个企业都参与云计算或者享受着云服务。随着云应用的增长,云安全也变得尤为重要。近日,赛门铁克公司宣布与北京神州云科信息服务有限公司(以下简称云科)开启全面合作,共同打造企业云安全管理服务平台,应对中国市场不断激增的云和信息安全需求。

  如今的安全防护已经从终端防御过渡到云端防御,赛门铁克是否有更好的架构或技术,能够从云端或者源头防控勒索软件等安全威胁呢?笔者就此询问了赛门铁克公司大中华区总裁陈毅威,他表示:“由于客户的规模不同,因此采取安全防护的方法也有所不同。许多机关单位、金融机构,或者大型企业,平时十分重视对于终端安全的维护,也会配备安全设备和人员进行全方位安全防护。”陈毅威补充道:“许多中小型用户,在IT方面的金钱和人员投入相对较少,一旦遇到恶意程序入侵或发现漏洞,很难及时实现终端防护。因此,中小型企业便可以将终端安全防御放在云上,借助云供应商的服务实现终端防护。云科拥有专业的安全团队,能够在云端为中小型企业提供安全服务,并对相关安全策略进行调优,以此来为中小企业提供更好的安全保障。如今,黑客攻击的手段不断更新,对于中小企业来讲,如果仅依靠一到两位安全人员进行安全管理,防护的效果较弱,也更容易受到黑客的攻击。因此,云安全服务能够为中小企业提供较为完善的安全保障,去弥补中小企业IT投入不足的问题。”

  在防御策略上,很多安全解决方案提供商都认为要构建多层防御机制。赛门铁克的安全产品及解决方案采取多层防护,能够最大限度地降低勒索软件的感染率。亚信安全提醒企业用户,要将勒索软件治理摆在更重要的位置,并在电子邮件与网页、终端、网络、服务器等多个层面搭建完整的多层防护机制,以保护企业信息资产的安全不受侵犯。

  赛门铁克所提供的综合策略能够在三个阶段抵御勒索软件的入侵:

  1.预防:电子邮件安全、入侵防御、下载洞察、浏览器保护、主动防御漏洞攻击(PEP)。

  2.控制:基于签名的高级反病毒引擎和具有机器学习的启发式技术,例如SONAR和Sapient。

  3.响应:专门的事件响应小组可以协助企业应对勒索软件攻击并进行恢复。

  亚信安全建议用户从以下几个维度入手,构建深层次的防御体系:

  1.文件:企业最好采取3—2—1规则,对重要文件进行备份,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。此外,亚信安全还推出了针对勒索软件加密文件的解密工具,可以有效应对CryptXXX、TeslaCrypt、SNSLocker、AutoLocky等流行的勒索软件及其变种的加密行为。

  2.电子邮件和网页:部署涵盖恶意软件扫描和文件风险评估、沙箱恶意软件分析技术、文件漏洞攻击码侦测、网页信誉评估技术在内的防护技术,侦测并封堵通过电子邮件和网页进行攻击的勒索软件。

  3.终端:少部分勒索软件可能会绕过网络/电子邮件防护,这也是为什么终端安全防护十分重要的原因,终端防毒系统可以监视可疑行为、配置应用程序白名单和使用弱点防护来防止未经修补的漏洞被勒索软件利用。亚信安全防毒墙网络版(Office Scan)的Aegis行为检测功能可以检测部分的勒索软件加密行为,并能够对未知勒索软件的防御起到积极作用。

  4.网络:勒索软件也可能通过其他网络协议进入企业网络进行散播,因此,企业最好部署能够对所有网络流量、端口和协议进行高级侦测的网络安全防护系统,来阻止其渗透和蔓延。

  5.服务器:通过虚拟补丁防护方案,来确保任何尚未修补漏洞的服务器,有效防范“零日攻击”。

  6.网关:在网关层面进行有效拦截,是企业最经济的防御体系。亚信安全深度威胁安全网关Deep Edge具有极其简洁的部署和管理方式,但却包含了最重要的勒索软件攻击抑制能力。其拥有专门针对加密勒索软件、C&C违规外联及可疑高级恶意程序的监控窗口,还改进了和亚信安全深度威胁发现设备(TDA)及亚信安全深度威胁分析设备(DDAN)的产品联动,能够通过侦测、分析和拦截功能的融合,建立针对加密勒索软件攻击路径的有效“抑制点”。

  支付赎金与部署安全防御措施的性价比探讨

  从攻防成本的角度来说,中小企业受到恶意攻击后,再采取的相应安全防护措施所造成的成本,远比赎金价格更高。在这种成本压力之下,很多中小企业都会选择支付赎金。对中小企业而言,采用整套安全解决方案的成本会不会太高?陈毅威认为:“攻击者选择攻击目标与实施攻击的难易程度及赎金回报率有关。因此,许多黑客会选择更高级的攻击手段去攻击大型企业,以得到更高的赎金。”

  对于中小企业而言,采用安全防护解决方案与单次支付攻击赎金相比,所需要的花费高。但无论企业规模大小,每个企业都无法保证只经历一次或一种攻击。因此,采取安全防护是一个长期且不能间断的必要措施。当企业遭受攻击后,所面临的后果不仅仅是数据被加密,还要面临企业运营活动中断、商业机密泄露、客户信息泄露等风险。它们所面临的不仅仅是支付巨额赎金的威胁,甚至可能将面临商业或客户机密泄露导致的法律制裁。

  在缺乏安全防护的情况下,对于中小企业而言,一次勒索软件攻击或许就是致命的。赛门铁克建议,无论企业规模如何,都应该主动从源头抵御恶意攻击,采取必要的安全手段和防御措施,降低自身受到网络攻击的风险。

  ■本报记者 赵明

关注读览天下微信, 100万篇深度好文, 等你来看……
立即购买本期杂志
查看本期更多内容