从攻击面收敛到事中响应，勒索攻击到底该怎么防？

#防勒索攻击 1 个 #OneEDR 14 个

勒索攻击应该是今年网络安全行业讨论最多的话题，全球频频有新闻报导企业/组织被勒索团伙攻击，在不久前闭幕的G20峰会上，中美俄甚至携手15国共同举行了以防范勒索攻击为主题的网络安全演习。勒索攻击，已成为全球企业/组织共同面临的问题。

勒索攻击泛滥的一大原因在于，RaaS（Ransomware as a Service，勒索即服务）模式大幅降低了攻击团伙的技能门槛，上下游协同又进一步促进了勒索软件的技术发展。微步在线分析师团队长期跟踪国内外超200个勒索家族动态，综合分析各类勒索攻击工具，总结出勒索软件技术发展三大特点：

勒索攻击APT化：勒索攻击团伙更具耐心，为获取有价值资产，其入侵与渗透过程甚至可长达数周乃至数月，这与APT攻击特点趋同；
对抗性高：从勒索攻击全过程来看，分阶段使用了加密、免杀、逃逸等技术，对抗能力不断提高，对企业防护能力水平与日俱增；
静态防御见效难：针对勒索攻击各阶段攻击手法，单一安全产品很难完整覆盖，静态依靠规则检测的防御手段越来越难防范勒索攻击。

有矛必有盾，有攻必有防。面对勒索攻击技术的不断发展，微步在线充分利用上千次成功的应急救援经验，并与大数据分析、机器学习等技术相结合，针对包括勒索攻击在内的新型威胁，总结出行之有效的方式方法。防止被勒索攻击，首先要做好攻击面管理。

攻击面收敛

拒敌于“入侵”之外

网络攻击无孔不入，攻防双方真正的较量从入侵环节开始。

据微步情报局数据显示，勒索攻击通常采用RDP爆破、网络钓鱼、僵尸网络与Web渗透（典型如漏洞利用）等方式入侵，其中RDP爆破与网络钓鱼是主流入侵手段，但勒索攻击软件也正快速集成并丰富Web渗透等入侵技术。

要防范被入侵，首先要练好“内功”，做好攻击面收敛与管理，尽可能减少暴露资产。这一方面要求企业进行更精细的资产管理，杜绝存在弱密码的操作系统账号、开放端口、不当配置等；另一方面也要求企业要实时检测各类操作系统、中间件及上层应用漏洞信息，及时更新补丁，避免被黑客利用。

随着企业数字化进程的深入，数字资产规模增大，有限的人力很难面面俱到，必须要借助自动化工具，微步针对主机安全推出的OneEDR就具备强大的资产清点能力，可自动收集识别包括底层硬件到中间件、上层应用等800余类资产，并可持续监控分析主机资产的弱密码、漏洞、开放端口、配置风险、账号风险等风险项。结合微步全面的漏洞库，关联整合风险能力，OneEDR能帮助用户更全面、清晰地了解当前企业数字资产的安全风险。

OneEDR控制台风险发现页面，可持续监测弱密码、漏洞与端口开放等风险点

练好“内功”不能闭门造车，还要从攻击者视角去审视企业存在的攻击面与入侵路径，比如可以通过使用微步红队评估服务，让企业安全状态保持在一个较高水准。

全面的攻击面管理与收敛可以尽量避免入侵，但并不能完全杜绝，毕竟业务正常运行，为用户提供服务，互联网之上的数字资产必不可少。入侵并不可怕，只要在事中能及时阻断攻击，同样能保护企业数字资产安全。

事中检测响应

斩勒索团伙“爪牙”

恶意软件，是勒索团伙攻击所使用的工具，不管勒索团伙攻击技术多么高明，都必须依仗恶意软件来完成攻击。不同勒索团伙所使用的恶意软件功能大致相同，比如内网探测工具、凭据窃取工具、弱口令爆破工具、横移工具、勒索主体软件等。理论上如果能在恶意软件写入主机硬盘时就响应，就能阻断勒索攻击的后续过程。

但这并不容易，每种类型工具都有着诸多变体软件，甚至还可能使用了移除特征码、加密、免杀、逃逸等技术，这让单一检测工具很难完全抵御勒索攻击。实践证明，威胁情报可以帮助企业更高效地应对勒索攻击等新型威胁，例如微步威胁情报已被广泛用于国内包括银行、证券、金融、交通、能源等行业，在检测并响应新型威胁方面广受用户赞誉。

OneEDR中不仅集成了威胁情报引擎，还集成了终端木马检测引擎、Webshell检测引擎、自研文件检测引擎及第三方AV检测引擎等12款自研引擎，从多个维度检测并综合结果分析，力求获得最精准检测结果，同时OneEDR内部还可根据不同威胁事件下发包括阻断网络、隔离进程/主机、查杀等多种策略，帮助企业完成安全闭环。

OneEDR控制台中的自动响应策略，可自动或按策略拦截恶意通信，并隔离、查杀恶意文件

基于规则的静态检测可以阻断绝大部分的攻击，但对于一些针对性更强、技术更加高明、手段更加隐蔽的黑客攻击，则需要更加高明的检测手段。针对这一类高危攻击，OneEDR也有“杀手锏”，其中最具代表的就是事件聚合引擎。

事件聚合

专治各种隐蔽攻击

一些技艺高明的黑客攻击能绕过基于规则的静态检测技术，但黑客攻击的行为特征却不会改变，一定会产生异常行为，比如提升权限、关闭安全软件、删除文件等，通过行为特征检测（IOA）理论上是可以有效检出高明、隐蔽的黑客攻击的。

但大多数都行为特征检测都是单点检测，也就是告警孤立、缺乏上下文联系，需要人工二次研判，面对成百上千台，乃至上万台主机的异常行为告警，很容易被告警淹没，从而“抓不住”真正有价值的告警。但如果以事件为维度统一查看、处理威胁，便可以有效的解决告警基数大、误报多、不可读的问题——这就是OneEDR中的事件聚合引擎。

OneEDR事件聚合引擎是由微步安全分析专家与机器学习专家的共同成果，利用微步百万级的恶意样本库，结合机器学习、威胁图等技术打造的检测引擎。OneEDR利用全量日志采集能力和图算法技术，将单点威胁和相关信息拼接成完整事件，可以真正做到以点及面，相互关联，做到“一点告警，全链路溯源”，进而强化全面检测的能力，不放过任何一个可疑事件。

尤其是针对类似Phobos勒索家族主体文件fast这种高度自动化的勒索软件，靠人工研判通常很难及时有效响应，必须借助自动化技术在事中精准检测并及时响应。

由图算法实现全链路溯源的完整告警事件

多管齐下

将勒索攻击拒之门外

主机已经日趋成为企业最重要的核心资产，其安全不容有失。作为主机安全的最后一道屏障，OneEDR本身已拥有极强的安全防护能力，但如果与基于流量检测的TDP威胁感知平台联动，综合主机行为与流量行为，能够更全面、更精准地应对APT、勒索及挖矿等高危攻击。

与此同时，随着数字化转型进程的深入，企业要构建完拥有全面威胁应对能力的整体网络安全防护体系，还需要系统性建设思维，比如企业办公网已经日渐成为黑客最频繁利用的风险点，终端安全建设的重要性日渐突出，利用微步OneDNS+杀毒能力可有效防范利用办公网终端发起的网络攻击。

除此之外，微步还拥有国内最大的情报共享社区、恶意文件分析平台S、威胁诱捕与狩猎平台HFish，以及威胁情报管理平台TIP等产品解决方案，通过部署在企业不同位置，利用不同的安全能力，助力数字化企业的新型网络安全防御体系建设。

安全传送门

Free Trial

如您在寻求高效防勒索之法

欢迎扫码联系我们

↓↓↓