基于攻击面治理防勒索解决方案

基于攻击面治理勒索防护解决方案目录

CONTENTS01、勒索病毒态势与治理难点02、勒索病毒防护治理思路03、基于攻击面治理勒索防护解决方案04、勒索防护解决方案实践2021年勒索攻击态势，工业产品和服务行业占比最高数据来源：安恒威胁情报中心《2021全球勒索软件趋势》2021年勒索攻击事件受害行业分布图2021年勒索软件常用攻击媒介的占比勒索病毒的两种攻击方式，自动化与人工操作替换图片自动化攻击人为操作攻击特点：数量较少针对高价值目标攻击手段多变较难防御，黑客会尝试多种攻击方式，可能持续几天到几个月，直到成功特点：数量较多无差别攻击攻击手段固定（爆破、MS17010）较容易防御（打补丁、合理配置、安全产品）自动化攻击以勒索病毒自主性攻击为主，黑客参与较少；一般而言安全类产品能防御大部分攻击。人为操作攻击依赖黑客技术储备，恶意程度作为辅助手段；通常安全类产品针对此类攻击能发现攻击线索，但有效的安全防御需要安全专家的参与。勒索病毒传播路径多，六大主要传播路径附着在文件内，通过U盘、光盘、移动硬盘等移动存储介质将被感染文件传播到目标终端，一旦点击，将自动运行勒索病毒。移动介质传播04.入侵远程桌面传播攻击者通常利用弱口令、密码字典、暴力破解、社工攻击等方式获取目标服务器登录可令，进而通过远程桌面协议控制服务器权限植入勒索病毒。01.软件供应链传播利用软件供应商与组织的信任关系，攻击入侵软件供应商相关服务器设备，利用对软件供应商信任关系，绕过用户网络安全防护机制，传播勒索病毒。05.钓鱼邮件传播攻击者在将勒索病毒内嵌至钓鱼邮件附件中，或将勒索病毒恶意链接写入钓鱼邮件正文中链接，一旦目标用户打开或点击链接，病毒自动执行加载、安装等指令。03.网站挂马传播攻击者诱导用户访问带有恶意代码的网站并触发恶意代码，劫持用户当前访问页面至勒索病毒下载链接并执行，进而向用户设备植入勒索病毒。06.安全漏洞传播攻击者利用系统开发过程中存在的安全漏洞，侵入目标用户网络，获取管理员权限，传播勒索病毒。如WannaCry病毒利用445端口协议漏洞。02.勒索病毒产业化，RaaS模式兴起勒索病毒作者传播渠道商解密代理商勒索病毒受害者制作攻击传播缴纳较低赎金缴纳较高赎金；加密货币为主建立合作关系建立合作关系建立合作关系勒索产业链的发展会使得黑客团伙活动更加频繁更加组织化和目标化。RaaS商业模式的兴起使得从业者无需任何专业技术知识就可以毫不费力地发起网络敲诈活动，这也是导致新的勒索软件市场泛滥的原因。组织针对勒索病毒治理难点组织已针对勒索病毒构建高质量安全防护体系，但仍然未获得足够的安全感组织在数字化转型过程中，借助数字化工具，实现科技与业务深度融合；过程中伴随数字资产数量增多，随之而来面临资产安全性、资产供应链安全等问题。资产多组织数字化转型深入，网络的边界也随之不断延申，面临边界不清晰，黑客选择从基础薄弱分支机构或供应商渗透到组成核心系统。边界多资产版本未及时更新、系统未安装补丁、软件提供商不提供支持等因素原因，导致资产Nday漏洞大量存在、弱口令泛滥等。脆弱性多由于运维人员缺乏安全基本意识，导致部分资产对外暴露高危服务/端口等。暴露面多目录

CONTENTS01、勒索病毒现状与治理难点02、勒索病毒防护治理思路03、基于攻击面治理防勒索解决方案04、勒索防护解决方案实践国内外标准指南对恶意代码防范要求等保2.0《GBT22239-2019等级保护基本要求》安全区域边界8.1.3.4恶意代码和垃圾邮件防护：应在关键网络节点处对恶意代码进行检测和清除安全计算环境8.1.4.5恶意代码防护：应采用免受恶意代码攻击的技术措施及时识别入侵和病毒行为，并将其有效阻断安全管理中心8.1.5.4集中管控：应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理“内到外”连接检测和控制“外到内”内容检测和控制策略、补丁安全加固措施恶意代码检测国际标准《ISO/IEC27002-2013信息安全控制实践指南》“12.2.恶意软件防护”：防范恶意软件宜基于恶意代码检测、修复软件、安全意识、适当的系统访问和变更管理控制措施：实时防止或检测已知的及可疑的恶意网站的使用建立防范风险的正式策略，该风险与来自或经由外部网络或在其他介质上获得的文件和软件相关降低可能被恶意软件利用的技术脆弱性安装和定期更新恶意软件检测和修复软件来扫描从网络上或通过任何形式存储介质接收的文件在使用之前，宜进行恶意软件扫描隔离可能导致灾难性影响的环境中国信通院—《勒索攻击安全防护要点》一、事前夯实风险防范基础全面摸清资产家底收敛互联网暴露面开展风险隐患排查严格访问控制备份重要数据强化安全监测提升安全意识制定应急预案二、事中做好攻击应急响应隔离感染设备排查感染范围研判攻击事件及时开展处置三、事后开展网络安全加固利用备份数据恢复数据排查修补网络安全风险更新网络安全管理措施补齐网络安全技术能力四、做好保障服务支撑强化勒索攻击全网监测预警加强勒索攻击威胁信息共享安恒信息—基于攻击面治理的勒索防护思路从外部攻击的视角思考组织安全薄弱环节在哪，哪些环节容易被黑客利用，然后进一步确定如何修复安全薄弱环节、如何规避部分不能修复的漏洞攻击等措施。01防守方视角自身始终置于防守方的维度思考安全建设方式，查漏补缺，安全能力建设始终慢外部黑客一步，让安全建设成效不明显。02攻击方视角从攻击者视角分析组织网络中存在的安全薄弱环节，哪些环节是容易被黑客所利用，然后针对性修复、加固。安恒信息—基于攻击面治理勒索防护流程识别攻击面资产重要性识别资产安全性评估勒索防护专项检查资产互联网暴露面识别攻击面加固弱口令专项暴力破解防御漏洞攻击防御防护策略强化终端安全基线响应处置7*24H事件响应联动FW/EDR处置防护策略优化攻击事件溯源事件总结报告强化监测告警降噪告警分类分级勒索病毒专项安全专家服务7*24H安全监测01020403目录

CONTENTS01、勒索病毒态势与治理难点02、勒索病毒防护治理思路03、基于攻击面治理勒索防护解决方案04、勒索防护解决方案实践基于攻击面治理勒索防护框架—1平台3治理勒索防护终端安全治理终端漏洞防护终端暴力破解防护终端高危端口防护终端勒索病毒防护边界安全治理边界暴露面治理网络流量监测治理边界策略加固梳理安全能力治理安全意识培训安全技能提升安全能力支撑边界安全能力终端安全能力流量监测能力运维管理能力数据备份能力漏洞扫描能力安全大数据智能分析平台安全能力应用识别攻击面资产重要性识别攻击面加固强化监测响应处置资产安全性评估勒索防护专项检查互联网暴露面识别弱口令专项暴力破解防御漏洞攻击防御防护策略强化安全大数据监测勒索病毒专项监测安全专家服务7*24安全监测联动FW/EDR事件处置流程防护策略优化7*24事件响应安全运营服务安全专家服务安全意识组织数据资产文件数据（软件源代码、Word、PPT、PDF、图片等）、数据库数据（数据库文件，包括CSV、DAT、DBF、MDB、ODB++等），备份数据（数据库备份文件）勒索防护持续防护体系化安全能力基于攻击面治理勒索防护框架专项，持续，协同流量数据EDR数据防火墙数据方案架构部署示意图办公区数据中心区云计算技术防火墙EDREDR流量探针EDR管理平台运维堡垒机流量监测勒索识别统一运维口令增强终端资产勒索引擎漏洞防护暴力破解防护安全大数据智能分析平台联动指令联动指令MSS服务技术工具资产盘点资产与责任人关系资产漏洞状态资产端口服务资产服务状态正常访问恶意IP访问安恒MSS运营中心事件同步攻击面治理勒索Checklist检查7*24H主动服务STEP1识别攻击面从攻击者视角排查风险暴露面资产多维度梳理，重要性识别资产统一盘点MSS服务工具资产扫描引擎的主动探测组织存在的数字资产，资产全量发现，与管理员已有的资产台账管理清单相匹配，最终汇聚成为组织的全量的、真实运营的资产库。资产分类分级针对组织资产分类分级管理，安全工具、安全专家与管理员一道梳理出针对组织重要性程度高的资产，重点资产重点保护。资产与责任人关系建立组织资产与资产责任人的梳理，建立资产与人的对应关系，资产跟着人走，发现风险或安全事件后，能够找得到人，找得对人。资产基础信息梳理识别组织内资产的基础信息，资产名称、资产URL、资产端口、资产开发语言、资产是否过WAF等信息，让资产管理更加简单、透彻。安恒信息安全托管运营服务MSS技术工具、云端安全专家与组织管理员配合盘点组织内资产分布状态，资产分类分级，针对重要资产重点保护。资产互联网暴露面识别，摸底潜在安全风险互联网暴露面识别安恒信息云端安全服务专家基于组织管理员提供的根域名、IP等信息的基础上，对在互联网上暴露的IP资产、指纹资产等信息进行搜集，整理成册。服务专家借助专业的红队平台，在服务过程中自主选择暴露面搜集内容和深度，如选择全量或常见CMS、邮箱、Github信息等。组织管理通过此报告详细了解资产暴露在互联网侧的详细信息，为资产暴露面收敛、暴露面治理提供准确数据支持。输出资产互联网暴露面数据报告安全性评估，多维度了解资产被攻击风险安全评估，资产脆弱性红队视角，资产攻击面梳理STEP01STEP02基于MSS技术服务工具等识别资产自身的脆弱性信息，如漏洞、高危端口、弱口令等，为下一步针对脆弱性信息修复、加固提供明确的对象。安全服务专家基于资产互联网暴露面识别基础上，采用红队指纹技术、高风险漏洞探测技术，挖掘出资产最容易被攻击的应用指纹、高风险可利用漏洞。此报告详细了解资产哪些暴露面容易被黑客所利用，针对性做收敛、规避。输出资产攻击面梳理报告勒索防护专项检查，针对性排查勒索风险专项检查维度高危端口3389、135、137、138、139、22、23等端口账户弱口令RDP口令、SSH口令、数据库账户口令、运维账户口令等高危漏洞操作系统漏洞、应用程序漏洞、Weblogic漏洞、安全设备漏洞等安全威胁暴力破解、端口穿透工具、钓鱼邮件、边界薄弱点等已存在安全风险数据备份检查重要数据备份策略、验证备份策略有效性等安全策略配置EDR配置、防火墙配置、入侵防御配置等设备策略配置STEP2攻击面加固体系化安全能力，常态化安全防御口令爆破-最简单有效的攻击方式根据安恒信息应急响应的勒索病毒事件中，其中有50%以上勒索事件通过RDP口令爆破成功，进入到组织从而引发勒索事件。弱口令普遍存在网络较多的弱口令存在，以及在部分环节中，为便于记住账户口令，采用具备某种规律的口令；通过密码字典可轻松爆破成功。口令爆破难防黑客较普遍采用分布式爆破、慢速分布式爆破方式，特别是慢速分布式爆破方式，其使用分布式IP池，每个IP仅进行1到3次攻击尝试，较难触发防火墙告警阈值，此时需要持续运营、长期分析才能有效发现。针对性安全加固，构建资产主动防御能力暴力破解防御借助终端EDR，针对网络中存在的暴力破解IP及时封禁；同时安全大数据智能分析平台基于多源数据检测暴力破解行为，联动EDR、边界防火墙封禁IP、端口等。弱口令专项借助终端EDR、安全大数据智能分析平台等技术工具，检查系统中存在的弱口令账号；运维堡垒机管控运维入口，设置口令复杂度。漏洞管理MSS服务技术工具扫描组织资产漏洞情况，漏洞分类分级管理，针对性修复；边界防火墙、终端EDR提供漏洞实时防御能力。端口开放借助MSS服务工具扫描组织资产端口开放情况，规避勒索病毒传播的高危端口；边界防火墙、终端EDR等封禁高端端口。终端EDR专项勒索防护，精准识别勒索行为防护引擎文件过滤驱动监控针对所有文件的操作，当一定时间内，某进程有大量的文件重命名及写入事件触发内置阈值时，未命中内置白名单则告警并结束操作进程。勒索诱饵防护引擎在磁盘根目录放置诱饵文件，确保调用WindowsAPI遍历文件首先遍历到诱饵文件，当对诱饵文件进行操作时，立即告警并结束操作进程。文件保险柜用户可自定义关键的数据目录（可配置例外进程），被保护的关键目录变为只读，保障数据安全。终端安全基线（终端EDR）统一终端安全基线，让终端处于合规水平线入侵防范身份鉴别访问控制安全审计资源控制数据保密集中管控认证授权账号口令通信传输恶意代码防范数据完整性数据备份与网络保险结合，安全双保障借助资产盘点过程中梳理出组织重要的数据文件，根据重要程度分类分级进行数据存储与备份，提供实时、定时数据备份功能，提升数据可用性与安全性。01数据灾备一体机为重要数据购买专项网络安全保险，通过投保方式将部分财务损失转嫁到保险上，可进一步降低数据勒索造成的损失。02网络安全保险数据双保障请输入文本STEP3强化监测基于各环节数据持续监测网络勒索病毒状态勒索病毒专项场景分析，简洁透彻采集组织核心交换节点网络流量数据，基于网络流量识别组织网络中存在的勒索攻击行为流量数据基于网络实时流量与终端EDR、边界防火墙等安全日志数据，通过平台内置协议解析、规则库、智能算法等对采集到的数据多维度威胁检测分析，识别勒索病毒行为；并通过勒索病毒场景化分析功能，将组织中存在勒索病毒告警事件聚合展示，便于组织直观了解勒索病毒态势。安全大数据智能分析平台终端EDR、边界防火墙等设备产生安全日志作为分析数据来源的重要补充，终端EDR、边界防火墙7*24H安全持续监测，安全专家参与对抗海量告警事件人员技术储备不足云端服务中心内置大量分析引擎、模型，从海量告警事件，服务专家借助平台能力分析研判出真实的安全事件。云端三级服务专家，为组织资产提供7*24H持续威胁监测，分析检测各项安全隐患，及时同步安全管理员。安全专家参与勒索对抗，针对网络中监测到的勒索事件，安全专家参与到其中，与外部黑客做攻防对抗，确保组织资产安全。告警降噪安全专家MSS服务夜间安全监测薄弱安全托管运营服务MSS为中心事件处置无从下手云端安全托管运营服务中心STEP4响应处置协同响应勒索病毒事件云地协同，联动响应云端安全托管运营服务中心大数据安全智能分析平台边界FW/WAF、终端EDR分析研判三级专家处置建议下发策略联动响应封禁IP封禁端口病毒查杀PlaybookUseCase威胁识别告警展示策略调优事件告知操作授权根据处置建议，展开事件处置根据处置建议，策略调优安全管理员更新设备策略配置，提升策略针对性防护策略分析策略规则配置终端EDR策略调优安全大数据智能分析平台策略调优边界防火墙策略调优安全策略进行统一优化工作，确保安全设备上的勒索防护安全策略、设备规则库版本、版本等处于阶段性最优水平勒索事件应急响应本地安全服务团队快速上门响应，联合云端团队，针对被感染终端病毒查杀。恶意程序查杀针对事件起源，总结所存在的安全薄弱环节，查漏补缺。举一反三，优化防护策略针对勒索事件，安全专家结合各环节日志分析事件发生原因、攻击链，以及是否存在残留病毒。事件溯源与评估应急响应报告针对此次事件，安全服务专家复盘总结，输出事件响应报告，留档备案。典型事件处置流程—勒索病毒实例采集终端和流量日志，通过云端平台自动化分析，产生勒索攻击一级告警，生成工单通知运营工程师威胁检测对病毒进行样本提取，提交给病毒分析专家进行分析，掌握病毒特征事件排查应急响应专家对文件采取备份还原、尝试数据解密等操作事件通知安全运营经理提交勒索病毒应急响应报告并进行汇报安全分析师快速通过企业微信通知用户，申请处置授权主机隔离安全工程师根据工单，进行病毒行为活动和病毒特征判断告警真实性威胁分析样本分析文件修复应急响应专家介入，对感染主机进行隔离，并使现场保持完整事件汇报应急响应专家隔离感染主机、定位加密程序、挂起勒索进程、保存可疑程序检测与通知阶段分析与处置阶段修复与汇报阶段方案价值总结价值总结围绕勒索病毒传播特点，构建多维度、深层次、覆盖维度广的专项勒索防御体系，既包括专项技术防御，也包括勒索专项检查，有效避免资产被病毒恶意入侵。勒索专项7*24H持续安全运营服务，弥补用户在技术、经验、人员7*24H值班等短板，精准识别勒索病毒在网络中潜伏痕迹。持续服务安全专家与设备的协同，保持安全策略有效性，理清资产脆弱性。安全设备间的协同，联动处置响应，提升处置效率与效果。人机协同基于攻击面治理勒索防护两种落地方案方案版本交付组件服务内容预算规模高级版EDR+XDR+MSS+WAF+堡垒机+备份一体机暴露面监测+反勒索安全检查+MSS服务+应急响应服务+网络保险预算充足类客户基础版EDR+XDR+MSS暴露面监测+反勒索安全检查+MSS服务+应急响应服务预算有限类客户目录

CONTENTS01、勒索病毒态势与治理难点02、勒索病毒防护治理思路03、基于攻击面治理勒索防护解决方案04、勒