关注内部安全:防范勒索病毒的第一步
作者:星期三, 四月 10, 20190

勒索病毒攻击近年十分常见,危害极大。

SamSam作为最为活跃的勒索病毒之一,也算是臭名昭著,自其诞生以来,以专注于攻击大型组织为己任,最开始活跃在北美地区。在2016年曾有过一次爆发,主要攻击对象为医疗机构。在2018年,又干了几票大买卖,把主意打到了地方政府的头上。

  • 2018年2月,科罗拉多州交通部因遭遇SamSam勒索软件攻击而宣布进入紧急状态,并要求国民警卫队的网络团队提供支持。
  • 2018年3月,亚特兰大被SamSam勒索病毒攻击,赎金为5.2万美元,修复费用花费达260万美元。

勒索病毒,来势汹汹,而对它的引爆可能就在一瞬间,可能是一个员工受到钓鱼攻击,点击了携带勒索病毒的恶意链接,导致了某台终端被锁定,之后病毒便由此开始迅速扩散到连接的其他设备。

当下,很多组织的安全解决方案还是强调在对外围的保护,试图在入口监测和阻止威胁,而缺乏对内部的监测,一旦攻击绕过了外围的保护进入内部,便如进入无人之境。这种情况下,若能提升对内部的“能见度”,做到实时的感知,及时发现可疑行为,立刻定位到受影响的端点,便可将损失降到最小化。

实现对内部的有效监测,安全运营中心仍是目前的最佳实践,目前国内不少组织已完成安全运营中心的建设,用户的反馈也褒贬不一。尤其在安全运营中心投入使用后,带来的巨大工作量使用户不堪重负。因此,实现真正的安全运营中心自动化,即融合智能日志泛式化,日志源有效性管理,对应规则触发的管理等技术的智能化安全运营平台,势在必行。

正如华青融天安全运营平台负责人易歆所说,“安全运营中心的定位应该是:简单、专业、专注,不能让用户在平台上投入过多的精力”

此外,勒索病毒还具备一大特征即不断有新的变种出现,让企业更加难以防范,仍以SamSam病毒来说,目前已知就存在SamSa, Samas, samsam等多个变种。

那么面对如此繁复的病毒变种,企业应该如何做到防范加固呢?

1. 企业应该采用专业的安全运营产品,做到对应病毒特殊化属性分析、识别、态势封锁、事件回溯等一系列定制化举措。例如,华青融天的安全运营中心产品EzAccur综合利用针对病毒的特征回溯分析,通过对其感染特征的识别,形成事件链,可快速完成影响性分析,使勒索病毒无所遁形。

2. 除了借助技术的力量防范勒索病毒外,企业的安全文化也是十分重要。目前,勒索病毒主要依靠邮件、程序木马、恶意网页、漏洞进行传播。通过提升内部员工对于病毒防范的意识,避免点击、使用不明来历的链接、程序,及时的更新安装系统补丁,亦可有效加强对勒索病毒攻击的防范。

作者:华青融天安全运营中心

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章