Ixia：企業(yè)抵御勒索軟件攻擊需掌握三大原則

時(shí)間：2017-05-22 08:54:33

關(guān)鍵字： ixia 勒索軟件病毒通信安全

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀]行業(yè)領(lǐng)先的網(wǎng)絡(luò)測(cè)試、可視化和安全解決方案供應(yīng)商 Ixia(Nasdaq: XXIA)向各企業(yè)機(jī)構(gòu)提出抵御勒索軟件的三大核心原則。

行業(yè)領(lǐng)先的網(wǎng)絡(luò)測(cè)試、可視化和安全解決方案供應(yīng)商 Ixia(Nasdaq: XXIA)向各企業(yè)機(jī)構(gòu)提出抵御勒索軟件的三大核心原則。

勒索軟件已經(jīng)成為黑客在網(wǎng)絡(luò)犯罪中牟利的慣用伎倆。據(jù)最新《Verizon數(shù)據(jù)泄露調(diào)查報(bào)告》(DBIR)表明，由于通過加密文件進(jìn)行勒索贖金速度快、風(fēng)險(xiǎn)低并且可以輕松斂財(cái)，尤其使用比特幣進(jìn)行收款，可使收款人無法追蹤，勒索軟件是目前犯罪軟件最常見的類型。自2016年1月起，以企業(yè)為目標(biāo)的攻擊增長了300%，且攻擊頻率每40秒發(fā)生一次。此次波及全球范圍的勒索攻擊WannaCry，自5月12日以來已經(jīng)影響到150個(gè)國家，逾二十萬受害者。以上只說明一個(gè)事實(shí)：各組織機(jī)構(gòu)須立刻采取應(yīng)對(duì)措施，以防患于未然。

由于犯罪分子尋求提高感染率以及增加其非法收入，勒索軟件的傳播方法已發(fā)生變化。早期傳統(tǒng)的入侵方式，比如電子郵件中使用惡意文件作為附件，可以相對(duì)容易地被防病毒產(chǎn)品和安全沙箱檢測(cè)和屏蔽。然而，目前的入侵方式已經(jīng)經(jīng)過專門設(shè)計(jì)，旨在繞過這些傳統(tǒng)的安全防護(hù)產(chǎn)品。

Ixia應(yīng)用威脅情報(bào)部門的高級(jí)總監(jiān)Steve McGregory表示：“網(wǎng)絡(luò)犯罪分子可以輕易地變換和改寫勒索軟件代碼，并足以成功逃避殺毒軟件的特征庫匹配。這些勒索軟件的變種被稱為“零日突變”，即一旦被識(shí)別，勒索軟件的簽名便可以被更新并公布，因此防病毒軟件將需要幾天的時(shí)間來屏蔽新的變種。而在此期間，企業(yè)機(jī)構(gòu)仍易受到攻擊，網(wǎng)絡(luò)犯罪分子往往會(huì)繼續(xù)乘虛而入為其謀利。”

McGregory舉例：“當(dāng)WannaCry勒索軟件發(fā)動(dòng)攻擊時(shí)，一旦網(wǎng)絡(luò)中有一臺(tái)機(jī)器被感染，勒索軟件將通過搜索附近的微軟windows系統(tǒng)，判斷其是否存在SMB MS17-010漏洞，并進(jìn)行傳播。盡管該漏洞于今年3月剛被修復(fù)，但許多計(jì)算機(jī)仍然沒有打過補(bǔ)丁。據(jù)本次事件報(bào)道，英國國家健康服務(wù)中心90%的計(jì)算機(jī)系統(tǒng)仍在使用Windows XP系統(tǒng)。而微軟已經(jīng)停止對(duì)XP進(jìn)行支持的舉措將導(dǎo)致入侵更簡(jiǎn)單，且更具有破壞性。”

Ixia表示，如果企業(yè)機(jī)構(gòu)打算抵御勒索軟件的攻擊，需要掌握三大核心原則：

1. 追根溯源

勒索軟件感染鏈通常始于一個(gè)帶有惡意附件的釣魚郵件，其附件通常包含宏文件(macro)。即使對(duì)于安全沙箱來說這個(gè)宏似乎都毫無風(fēng)險(xiǎn)，但打開該文件時(shí)，宏就會(huì)被激活，并通過互聯(lián)網(wǎng)連接攻擊者的遠(yuǎn)程服務(wù)器，將勒索軟件有效載荷下載到本地。此外，該宏還可以在下載過程中進(jìn)行文件變換。因此，直到在它實(shí)際進(jìn)入主機(jī)之前，都實(shí)則看似無害。

2. 對(duì)癥下藥

如果只將關(guān)注點(diǎn)放在審查文件載荷的內(nèi)容，這樣的防御措施往往徒勞無功。由于基于電子郵件的宏往往無法被發(fā)現(xiàn)，因?yàn)樵跈z測(cè)過程中它們并不會(huì)表現(xiàn)出惡意行為，所以即便是最先進(jìn)的安全沙箱也束手無策。事實(shí)上，這些文件載荷在實(shí)際被下載到電腦中并開始加密文件之前，看起來都沒有惡意，所以各企業(yè)機(jī)構(gòu)應(yīng)探查感染來源，而非僅僅耽于表象。

3. 阻止感染

在勒索軟件感染的最后階段，文件載荷將從已知的惡意IP進(jìn)行發(fā)送。由于IP地址相對(duì)稀少，同一個(gè)“惡意”地址往往會(huì)被重復(fù)使用。即使全新的惡意軟件變種也可能復(fù)用一小段已經(jīng)暴露的惡意IP地址。

這意味著，如果某個(gè)企業(yè)的網(wǎng)絡(luò)內(nèi)有一臺(tái)電腦試圖從一個(gè)已知的惡意IP地址下載文件，它們通常處于勒索軟件攻擊的初始階段，所以也就沒必要檢測(cè)正在試圖進(jìn)行下載行為的宏文件，或者正在下載的內(nèi)容。

因此抵御攻擊的最直接，且經(jīng)濟(jì)的方法是：自動(dòng)阻斷所有企業(yè)內(nèi)網(wǎng)中，試圖連接已知惡意IP地址的行為，并且這個(gè)惡意IP地址庫需要通過收集威脅情報(bào)進(jìn)行持續(xù)更新。這會(huì)使大部分已有攻擊甚至新的攻擊無功而返。

“各企業(yè)不能再對(duì)勒索軟件的威脅視而不見。如果僅將這些數(shù)據(jù)保存在受攻擊影響的系統(tǒng)中，而沒有備份關(guān)鍵數(shù)據(jù)，那么無論是經(jīng)濟(jì)影響還是企業(yè)聲譽(yù)都將付出無法想象的代價(jià)?？蛻魯?shù)據(jù)、財(cái)務(wù)記錄和其他無法替代信息的丟失將可能導(dǎo)致業(yè)務(wù)停滯，并留下永久性的空白” McGregory總結(jié)。