一(yī).事件概況
l 某行業專網爆發勒索病毒變種
2018年(nián)8月22日,政府某垂管單位專網爆發勒索病毒變種。黑客通過對外發布web業務系統入侵到專網內(nèi)部網絡,以RDP協議(windows系統遠程桌面協議)口令爆破的(de)方式獲取遠程賬号密碼,之後黑客人工方式登錄windows服務器上傳病毒。本次事件涉及數十個業務系統服務器被加密勒索,全國大部分省份相關單位都受到影響。
l 新型變種Globelmposter2.0隐蔽性較強
本次爆發的(de)Globelmposter勒索病毒變種其加密文件為(wèi)RESERVE擴展名,采用RSA2048算法加密文件,目前該病毒樣本加密的(de)文件暫無解密工具。 由于是采用人工正常登陸投毒的(de)方式,導緻大量傳統安全産品無法檢測到這種新型病毒。
二.由勒索病毒反思網絡安全建設
勒索病毒并非APT攻擊,僅僅是病毒攻擊行為(wèi),并不是不可(kě)防禦的(de)。并且,微軟已在今年(nián)4月份發布了SMB 漏洞的(de)補丁,用戶有足夠的(de)時間做(zuò)好預防工作,為(wèi)什麽還有大量用戶受影響?并且其中還包括一(yī)些行業的(de)與互聯網隔離(lí)的(de)專網。究其原因主要是以下幾點:
1)大量用戶缺乏全過程保護的(de)安全體系
這起事件并非APT攻擊或0DAY攻擊,4月就已經有了解決辦法。但是大部分用戶的(de)安全建設僅僅是在事中堆疊防禦設備,缺乏事前風險預知的(de)能力,使其沒有提前部署好安全防護手段;在威脅爆發後,又沒有持續檢測和(hé)響應的(de)能力,使得這些客戶在事件爆發前沒有預防手段、爆發中沒有防禦措施、爆發後沒有及時檢測和(hé)解決問題的(de)辦法。
2)忽視(shì)了內(nèi)部局域網、專網和(hé)數據中心的(de)安全防護
經過這段時間的(de)響應,我們發現很多客戶的(de)威脅是與互聯網相對隔離(lí)的(de)內(nèi)部網絡中泛濫。比如(rú)專網、內(nèi)網、數據中心,這些區域過去(qù)被用戶認為(wèi)是相對安全的(de)區域,很多客戶在這些區域僅僅部署了傳統防火牆進行防護。但勒索病毒感染內(nèi)部網絡的(de)途徑很多,比如(rú)U盤等存儲介質、比如(rú)社會工程學(xué),再或者是與DMZ間接相連的(de)網絡都可(kě)能成為(wèi)來源。
3)過于複雜的(de)安全體系,沒有發揮應有作用
這起事件影響的(de)用戶中也不乏安全投入比較高(gāo)、設備購買比較齊全的(de)用戶。但是過于複雜的(de)體系,使得安全設備并沒有用好,沒有及時更新,沒有及時獲取到安全事件等。用戶通過複雜的(de)體系,需要運維很多設備,并且看到的(de)是碎片化的(de)日志。複雜的(de)體系和(hé)過多無效信息,使得很多用戶喪失了對安全的(de)信任,并沒有很好的(de)把安全設備用起來,這也是造成用戶被感染的(de)原因。
三.事前防護+事中監測+事後處置的(de)整體安全解決方案
基于勒索病毒的(de)這一(yī)類安全事件,我們重新審視(shì)網絡安全建設,提供深信服的(de)解決之道(dào)。因此該解決方案基于事前、事中、事後全過程設計,通過下一(yī)代防火牆AF、終端檢測響應軟件EDR、全網安全大數據檢測平
台和(hé)人工安全服務等實現:事前風險預知、事中有效防禦、以及事後持續檢測和(hé)快速響應,為(wèi)用戶提供全程的(de)安全保護能力,讓安全更簡單更有效。針對勒索病毒的(de)防護,應當依據病毒感染的(de)完整生命周期進行防護,必須涵蓋事前的(de)防護、病毒入侵後的(de)持續監測、發現病毒快速處置三個環節。
| 事前防禦
1)邊界防護:防止病毒從邊界入侵,關閉風險傳輸端口,更新防護規則,阻斷傳播
2)終端防護:防止病毒從終端入侵,提升終端端口開放、弱口令、漏洞等安全基線
| 持續監測
病毒入侵後會橫向掃描、廣泛擴散繁殖。持續監測能第一(yī)時間發現入侵事件,及時止損
| 隔離(lí)+處置
發現中毒事件,首先需要應急隔離(lí)失陷主機,控制疫情,避免反複感染;之後再定點查殺,清除病毒文件。
四.推薦預防加固方案
1、此次勒索病毒事件發生在相對隔離(lí)的(de)區域泛濫。建議還需要重點加固傳統安全建設的(de)薄弱區:在廣域網分支、局域網和(hé)數據中心內(nèi)部等區域,在傳統ACL控制策略的(de)基礎上,通過增加系統層和(hé)應用層的(de)安全防護技術,提升防禦有效性。
2、建議采用網絡分級分區防護措施,下一(yī)代防火牆會過濾邊界中應用層威脅流量,防止病毒、木馬等威脅在網絡內(nèi)部橫向擴散,有效避免分支機構因薄弱的(de)安全建設成為(wèi)黑客入侵的(de)短(duǎn)闆,同時實現安全投資最大化。封閉RDP協議端口加固防護線:在互聯網出口和(hé)邊界處封堵RDP協議端口(3389),同時加強對外發布的(de)web業務的(de)應用層防護。對于無需開放RDP協議的(de)主機,采用安全策略封堵RDP端口或協議,建議采用下一(yī)代應用層防火牆在互聯網出口和(hé)專網邊界部署完成此項功能。
3、構建終端防護和(hé)響應能力:在主機上部署終端管控軟件,終端管控軟件應能夠防禦最新型的(de)勒索病毒攻擊以及未知風險,并利用微隔離(lí)功能封堵RDP協議防止擴散,區别于傳統殺毒軟件,建議采用下一(yī)代EDR終端安全檢測響應軟件,從而提高(gāo)檢出率和(hé)多層級響應能力。
4、持續檢測勒索病毒行為(wèi):通過部署探針系統,對于沒有防火牆防護節點的(de)辦公網之間的(de)通訊流量、專網與專網核心交換機上的(de)全網流量進行抓取,并通過部署全網安全大數據檢測平台,利用機器學(xué)習和(hé)人工智能技術進行綜合分析,持續檢測,從而識别和(hé)捕獲內(nèi)部尚未爆發的(de)潛伏威脅。同時感知平台還應該具備同時接入防火牆、終端管控的(de)流量、策略和(hé)安全內(nèi)容日志,全面分析新型勒索病毒的(de)攻擊面及其影響範圍,并進行實時呈現,幫助組織提升應急處置速度。
5、人工安全服務:提供專業的(de)威脅分析、威脅處置和(hé)加固建議服務,從而實現威脅發現到處置的(de)閉環安全效果。
