安天勒索防护解决方案入选安全牛《企业勒索软件防护应用指南》

时间 :  2022年03月25日  来源:  安天


3月24日,安全牛联合六家在勒索防护领域深耕多年的安全厂商共同发布了《企业勒索软件防护应用指南》(以下简称《指南》)。安天勒索防护解决方案和能源行业典型案例入选本次报告,并在发布会上分享了勒索病毒威胁分析、勒索病毒防护方案、实战案例与经验等三个方面的内容,为用户应对勒索威胁提供更多参考。

近年来,勒索软件攻击数量整体呈上升趋势,特别是定向勒索数量明显上升,医疗行业、制造业、能源行业等涉及基础民生的领域成为被攻击的主要目标。为了帮助用户构建一套针对勒索攻击的完整防护体系,安全牛组织编制《企业勒索软件防护应用指南》,通过勒索软件技术剖析、勒索防护挑战及理念、勒索防护体系建设、勒索防护案例、发展及展望、代表性厂商介绍等章节全面分析了勒索软件的发展现状、未来趋势和应对策略。

作为二十余年持续与网络威胁实战对抗的“网络安全国家队”,安天对勒索攻击进行着持续跟踪与分析:2006年捕获了国内最早出现的Redplus敲诈者木马。2015年8月,安天发布了长篇报告《揭开勒索软件的真面目》。2017年5月,在“魔窟”(WannaCry)重大勒索事件响应过程中,安天率先发布全网首篇长篇分析报告,快速提供了专杀免疫工具,提供了周一开机指南,向政企机构分发了数千张应急响应处置光盘,后又研发了基于内存密钥获取的解密工具等,获得多个主管部门好评。安天针对GANDCRAB、GlobeImposter、Sodinokibi、Phobos、WannaRen等重大流行勒索软件,也同样进行了应急响应与详细分析研判,累计发布勒索攻击相关分析、预警、处置建议等报告四十余篇。从威胁分析和防御赋能视角,安天连载八篇勒索软件科普专题,分享勒索软件的攻击技术、行为特点、演进趋势等八组关键信息。持续的威胁分析研判工作也让安天全线产品在对抗勒索威胁中获得了主动。

此前,安天还曾参与由中国信通院牵头的《勒索病毒安全防护手册》编制工作,为手册的形成输送了大量的分析报告、处置案例和防护建议等原始素材。本次被《指南》收录,进一步验证了安天在勒索防护方面的技术实力。

通过多年的防勒索知识积累,安天形成了针对勒索病毒防护的专属解决方案。安天勒索防护解决方案是依托智甲终端防御系统,在终端侧形成防护能力,并通过与探海威胁检测系统、追影威胁分析系统、捕风蜜罐系统、态势感知系统、拓痕应急处置工具箱等联动,形成整体的安全能力。一旦发现勒索行为,多重安全工具可以检测用户主机遭受勒索病毒攻击风险可能性,并提供详细检测报告与加固方案。同时配有安全服务,派遣技术专家通过现场排查或者远程方式确定勒索病毒类型、攻击方式等,并提供主机加固、威胁清除等服务。

安天勒索防护解决方案特点

1.基于终端的勒索防护能力

● 在智甲终端防御系统基础能力之上,通过精确扫描、研判、查杀,形成有效的防护效果。依托反病毒引擎的海量样本库和行为库,对已知和未知的勒索软件进行有效查杀。

2.主动探测防护

● 通过部署蜜罐系统,形成主动探测能力,在丰富威胁情报的同时,提升了对未知勒索软件的探知能力。

3.多场景应用

● 有效应对内网场景、远程接入场景、外部访问场景,勒索软件进驻系统或横向移动的行为。

4.应急响应服务相结合

● 由专业的安全服务团队提供安全服务,并配备自有专业应急响应工具,可以为客户在第一时间形成勒索响应方案,全面保护用户核心数据及重要资产安全。

方案优势

➢ 多层次多维度检测,勒索攻击行为有效发现

具有多层次多维度检测能力,对采集的要素,从包、流、会话、文件、事件、深度分析等多个维度进行检测,可有效发现扫描、探测、暴力破解等侦察活动,有效揭示钓鱼邮件投放、远程木马植入等勒索攻击常用的载荷投递行为,同时支持SQL注入等漏洞利用行为的检出。

➢ 有效应用向量级威胁情报,进行丰富有效的威胁检测

基于有效的全要素采集分析能力,探海可应用向量级威胁情报,进行丰富有效的威胁检测。向量级威胁情报基于安天的全域威胁感知能力和高级威胁对抗经验。而基于下一代威胁检测引擎的向量提取能力,可进行载荷的指令级、API级、功能级的向量提取,有效应用威胁情报,实现对诸如APT、僵尸网络、受控主机、勒索病毒感染、被利用挖矿和DDoS等威胁的有效觉察。

➢ 多事件关联分析,提高勒索攻击分析效率

支持从恶意代码传播关系、命令与控制关系、恶意文件关联、资产等维度,对勒索攻击进行智能关联分析,有效减少人工关联分析的工作量,提高威胁分析效率,及时发现漏洞利用、横向移动等勒索攻击扩大攻击范围的威胁行为。全要素日志同时进行留存分析,以提供威胁的向前追溯和向后守候能力。

能源行业案例被《指南》收录

安天勒索防护解决方案在能源行业具有丰富实践和应用经验,具体落地方案和相关优势被本次报告收录。

落地方案

在用户终端部署了智甲终端防御系统客户端,并通过管理中心平台对终端的数据进行整体的监管和和分析。

客户端是部署于终端内的Agent和安全组件,负责监测终端操作系统行为,对已知威胁精准定性,对未知威胁初判告警、捕获上报,对各类威胁进行告警、阻断拦截和清除等操作,并可以执行管理中心下发的多重处置任务。

管理中心主要面向安全管理人员,对上报资产进行统一安全管理,集中监测分析端点安全事件、制定和下发相关处置任务策略。管理中心通过终端采集到的信息形成端点资产地图、并可导入人员组织,建立端点资产部门和责任人归属关系。

▲ 能源行业勒索防护解决方案

案例优势

➢ 动态综合适配各场景安全防护特性

以动态适配设计思路,提供“防护业务+防护设备”双场景综合动态适配能力,以满足企业各种防护场景。智甲终端防御系统既可提供防护能力,同时也作为探针,向管理中心提供数据支撑。

➢ 多重防护策略,精准抵御定向型高级攻击

通过应用机制包括:扇区监控、内核服务和驱动监控、文件监控、注册表监控、浏览器和邮件客户端保护等拦截格式文档攻击和横向移动。面对高级的定向型勒索攻击,采用“未知可疑程序捕获+管理端静态分析+文件关联分析+威胁清除追溯”的防护策略,在勒索落地后有效快速进行分析及清除。

➢ 多维信息监测,有效防护勒索病毒

针对终端上文件,采用多维信息监测和关联分析的方法,精准检测勒索病毒。监测文件加密动作、加密文件数量、文件访问和改写频率、文件后缀名形态变化和勒索URL采集等,通过对监测的多维信息进行关联分析,判断用户是否被勒索病毒攻击,同时为每项监测信息设置报警策略。

➢ 威胁事件精准归类与攻击溯源分析

基于节点场景的数据采集分析算法,即基于已明确分类的基准行为作为分类标准,在告警和威胁事件分析时使用相似度匹配的算法,结合一定的既定规则,实现对告警和威胁事件的精准归类。

➢ 基于ATT&CK威胁框架的行为监控分析

引入ATT&CK威胁框架,由单载荷、单环节的层面提升到多个战术环节、多种攻击技术的层面,由被动防守的视角转变为以攻击者的视角去理解威胁,使防御体系的构建更具有主动性。具有足够纵深的主动防御能力,能够在多个环节逐步抵消威胁;全面的信息采集与分析能力,以便发现常规防御手段无法发现的威胁,有效防御绝大多数针对端点的攻击技术,弥补了传统杀毒软件强主防、弱采集和EDR类产品重采集、轻主防的问题。

➢ 立体化防护方案

形成了威胁检测引擎、高级威胁对抗、大规模威胁自动化分析等方面的技术领先优势,打造了面向服务器、云、虚拟化、容器和传统办公节点等提供全防御能力覆盖的智甲安全产品家族,满足客户对于包括终端杀毒/终端防护(EPP)、终端检测与响应(EDR)、云工作安全防护(CWPP)等系统安全层面需求;整合强化包括ATID威胁情报门户、追影沙箱和捕风蜜罐等产品在内的威胁情报板块产品,有效提升客户情报赋能和自主情报生产能力;基于流量产品探海有效应对客户对于网络威胁检测与响应(NDR)和网络流量分析(NTA)的安全需求,相关产品可以实现交叉联动,统一管理,形成面向从勒索软件到高级威胁(APT)的纵深安全防线。

了解安天在勒索防护方面更多技术研究可通过以下方式:

❖ 安天微信公众号专题页获取

❖ 安天官网专题页获取

https://www.antiy.cn/extortionTopic.html