反勒索 新抓手 | 安天智甲主机勒索防护能力与案例

时间:2024年05月09日

“反勒索新抓手 依托执行体治理升级勒索防护能力”专题

1.勒索攻击的模式与波音遭遇攻击事件复盘 2.强化主机系统侧执行体治理,防护勒索攻击

安天“反勒索新抓手 依托执行体治理升级勒索防护能力”主题分享会上,安天的工程师在分享中提到,勒索病毒在端点侧的防护难点主要包括三个方面:首先,基于文件静态特征检测的方式,无法及时检出新型病毒;其次,现阶段勒索病毒的加密技术在快速迭代与提升,由简单粗暴到精细化作业,传统防御机制常常失效;最后,用户环境中缺乏完善的端点安全防护机制,单纯依靠病毒防御,而不从根本上缩小受攻击面,依然会给主机带来极大的安全风险。因此,任何依靠单一的防护措施已很难取得理想的防御效果。

为此,智甲家族产品通过多年的防勒索知识积累,针对勒索攻击构建了“五层防御,两重闭环”的专属防护解决方案,最终实现为不同类型终端提供多层次、全周期的动态防护效果。

智甲防勒索解决方案

图 智甲终端防护系统防护勒索病毒原理示意图

五层防御即系统加固、(主机)边界防御、扫描过滤、主动防御、文档安全五个防御层次,主要机理如下:

1. 系统加固:智甲通过资产清点采集主机执行体信息,帮助用户对自身资产形成有效认知。通过基线核查快速发现异常配置,针对风险项进行加固处理。脆弱性方面,实现对系统配置脆弱点的检查修补和系统自身安全策略调整等,从而减少包括开放端口、弱口令、不必要的服务等勒索攻击的暴露面,削弱漏洞利用的成功率;

2. 主机边界防御:在边界侧,智甲通过分布式主机防火墙和介质管控功能,拦截扫描、入侵数据包,阻断攻击载荷传输,拦截U盘、光盘等插入自动运行,使勒索攻击难以获得主机入口;

3. 扫描过滤:智甲集成了安天自研的AVL SDK威胁检测引擎。相较传统杀毒引擎,该引擎针对勒索行为构建专属动态防护机制,能力覆盖1300余个家族,58万余个变种,近2000万的样本数。可在短时间内,评估病毒的感染范围,追查最初来源和传播路径,一键清除,让攻击无法有效达成;

4. 主动防御:智甲基于内核驱动持续监控进程等内存对象操作行为动作,研判是否存在持久化、提权、信息窃取等攻击动作,判断是否存在批量读写、删除、移动文件或扇区等操作,并通过文件授信(签名验证)机制,过滤正常应用操作动作以降低误报;

5. 文档安全:针对重要文件,智甲支持在系统的高敏感区域执行定时备份机制,并通过内核技术进行隐藏,避免客户在日常使用时误操作。同时部署多组诱饵文件并实时监测,诱导勒索病毒优先破坏,达成欺骗式防御效果。

凭借上述机理,辅以执行体治理能力组件,实现安天家族产品的交叉联动,逐步持续提升执行体治理成熟度,全面保障用户免受勒索攻击威胁,形成面向从勒索到高级威胁(APT)的纵深安全防线。

用户价值

1. 主机环境塑造

有效梳理用户资产状况,建立更完善的台账,明确归属责任主体。基于最小化原则,定期基线排除和风险评估,关闭不必要端口。细致划分各个区域,限制恶意访问,对主机暴露面和脆弱性进行管控,缩小主机受攻击面。

2. 勒索威胁响应

通过安天自研的AVL SDK威胁检测引擎,对各类勒索行为进行自动化检测和拦截。且支持远程一键全网追溯,隔离感染设备。通过感染范围分析生成恶意行为攻击路径,方便用户快速排查并处置。

3. 数据安全保护

对高价值路径文件进行实时备份。即便勒索行为落地,也可以立即进行还原,保证业务系统稳定。在关键及随机路径生成诱饵文件,一旦发现勒索加密行为,立刻告知管理人员,及时应对突发事件,保护重要文件不被勒索。

除了传统的主机侧,云上也同样面临复杂多样的勒索攻击威胁,下一篇文章将具体介绍《安天睿甲云上勒索防护解决方案》。