一.事(shì)件概況
l 某行業專網爆發勒索病毒變種
2018年8月22日,政府某垂管單位專網爆發勒索病毒變種。黑客通過對(duì)外(wài)發布web業務系統入侵到(dào)專網内部網絡,以RDP協議(yì)(windows系統遠程桌面協議(yì))口令爆破的方式獲取遠程賬号密碼,之後黑客人工(gōng)方式登錄windows服務器上(shàng)傳病毒。本次事(shì)件涉及數十個業務系統服務器被加密勒索,全國大(dà)部分省份相關單位都受到(dào)影響。
l 新型變種Globelmposter2.0隐蔽性較強
本次爆發的Globelmposter勒索病毒變種其加密文(wén)件爲RESERVE擴展名,采用(yòng)RSA2048算(suàn)法加密文(wén)件,目前該病毒樣本加密的文(wén)件暫無解密工(gōng)具。 由于是采用(yòng)人工(gōng)正常登陸投毒的方式,導緻大(dà)量傳統安全産品無法檢測到(dào)這(zhè)種新型病毒。
二.由勒索病毒反思網絡安全建設
勒索病毒并非APT攻擊,僅僅是病毒攻擊行爲,并不是不可防禦的。并且,微軟已在今年4月份發布了(le)SMB 漏洞的補丁,用(yòng)戶有足夠的時(shí)間做好(hǎo)預防工(gōng)作(zuò),爲什(shén)麽還有大(dà)量用(yòng)戶受影響?并且其中還包括一些(xiē)行業的與互聯網隔離的專網。究其原因主要是以下(xià)幾點:
1)大(dà)量用(yòng)戶缺乏全過程保護的安全體系
這(zhè)起事(shì)件并非APT攻擊或0DAY攻擊,4月就已經有了(le)解決辦法。但(dàn)是大(dà)部分用(yòng)戶的安全建設僅僅是在事(shì)中堆疊防禦設備,缺乏事(shì)前風(fēng)險預知(zhī)的能(néng)力,使其沒有提前部署好(hǎo)安全防護手段;在威脅爆發後,又沒有持續檢測和(hé)響應的能(néng)力,使得這(zhè)些(xiē)客戶在事(shì)件爆發前沒有預防手段、爆發中沒有防禦措施、爆發後沒有及時(shí)檢測和(hé)解決問題的辦法。
2)忽視(shì)了(le)内部局域網、專網和(hé)數據中心的安全防護
經過這(zhè)段時(shí)間的響應,我們發現(xiàn)很(hěn)多客戶的威脅是與互聯網相對(duì)隔離的内部網絡中泛濫。比如專網、内網、數據中心,這(zhè)些(xiē)區(qū)域過去被用(yòng)戶認爲是相對(duì)安全的區(qū)域,很(hěn)多客戶在這(zhè)些(xiē)區(qū)域僅僅部署了(le)傳統防火牆進行防護。但(dàn)勒索病毒感染内部網絡的途徑很(hěn)多,比如U盤等存儲介質、比如社會(huì)工(gōng)程學,再或者是與DMZ間接相連的網絡都可能(néng)成爲來(lái)源。
3)過于複雜(zá)的安全體系,沒有發揮應有作(zuò)用(yòng)
這(zhè)起事(shì)件影響的用(yòng)戶中也(yě)不乏安全投入比較高(gāo)、設備購買比較齊全的用(yòng)戶。但(dàn)是過于複雜(zá)的體系,使得安全設備并沒有用(yòng)好(hǎo),沒有及時(shí)更新,沒有及時(shí)獲取到(dào)安全事(shì)件等。用(yòng)戶通過複雜(zá)的體系,需要運維很(hěn)多設備,并且看(kàn)到(dào)的是碎片化的日志。複雜(zá)的體系和(hé)過多無效信息,使得很(hěn)多用(yòng)戶喪失了(le)對(duì)安全的信任,并沒有很(hěn)好(hǎo)的把安全設備用(yòng)起來(lái),這(zhè)也(yě)是造成用(yòng)戶被感染的原因。
三.事(shì)前防護+事(shì)中監測+事(shì)後處置的整體安全解決方案
基于勒索病毒的這(zhè)一類安全事(shì)件,我們重新審視(shì)網絡安全建設,提供深信服的解決之道(dào)。因此該解決方案基于事(shì)前、事(shì)中、事(shì)後全過程設計(jì),通過下(xià)一代防火牆AF、終端檢測響應軟件EDR、全網安全大(dà)數據檢測平
台和(hé)人工(gōng)安全服務等實現(xiàn):事(shì)前風(fēng)險預知(zhī)、事(shì)中有效防禦、以及事(shì)後持續檢測和(hé)快(kuài)速響應,爲用(yòng)戶提供全程的安全保護能(néng)力,讓安全更簡單更有效。針對(duì)勒索病毒的防護,應當依據病毒感染的完整生命周期進行防護,必須涵蓋事(shì)前的防護、病毒入侵後的持續監測、發現(xiàn)病毒快(kuài)速處置三個環節。
| 事(shì)前防禦
1)邊界防護:防止病毒從(cóng)邊界入侵,關閉風(fēng)險傳輸端口,更新防護規則,阻斷傳播
2)終端防護:防止病毒從(cóng)終端入侵,提升終端端口開(kāi)放(fàng)、弱口令、漏洞等安全基線
| 持續監測
病毒入侵後會(huì)橫向掃描、廣泛擴散繁殖。持續監測能(néng)第一時(shí)間發現(xiàn)入侵事(shì)件,及時(shí)止損
| 隔離+處置
發現(xiàn)中毒事(shì)件,首先需要應急隔離失陷主機,控制疫情,避免反複感染;之後再定點查殺,清除病毒文(wén)件。
四.推薦預防加固方案
1、此次勒索病毒事(shì)件發生在相對(duì)隔離的區(qū)域泛濫。建議(yì)還需要重點加固傳統安全建設的薄弱區(qū):在廣域網分支、局域網和(hé)數據中心内部等區(qū)域,在傳統ACL控制策略的基礎上(shàng),通過增加系統層和(hé)應用(yòng)層的安全防護技術,提升防禦有效性。
2、建議(yì)采用(yòng)網絡分級分區(qū)防護措施,下(xià)一代防火牆會(huì)過濾邊界中應用(yòng)層威脅流量,防止病毒、木(mù)馬等威脅在網絡内部橫向擴散,有效避免分支機構因薄弱的安全建設成爲黑客入侵的短闆,同時(shí)實現(xiàn)安全投資最大(dà)化。封閉RDP協議(yì)端口加固防護線:在互聯網出口和(hé)邊界處封堵RDP協議(yì)端口(3389),同時(shí)加強對(duì)外(wài)發布的web業務的應用(yòng)層防護。對(duì)于無需開(kāi)放(fàng)RDP協議(yì)的主機,采用(yòng)安全策略封堵RDP端口或協議(yì),建議(yì)采用(yòng)下(xià)一代應用(yòng)層防火牆在互聯網出口和(hé)專網邊界部署完成此項功能(néng)。
3、構建終端防護和(hé)響應能(néng)力:在主機上(shàng)部署終端管控軟件,終端管控軟件應能(néng)夠防禦最新型的勒索病毒攻擊以及未知(zhī)風(fēng)險,并利用(yòng)微隔離功能(néng)封堵RDP協議(yì)防止擴散,區(qū)别于傳統殺毒軟件,建議(yì)采用(yòng)下(xià)一代EDR終端安全檢測響應軟件,從(cóng)而提高(gāo)檢出率和(hé)多層級響應能(néng)力。
4、持續檢測勒索病毒行爲:通過部署探針系統,對(duì)于沒有防火牆防護節點的辦公網之間的通訊流量、專網與專網核心交換機上(shàng)的全網流量進行抓取,并通過部署全網安全大(dà)數據檢測平台,利用(yòng)機器學習和(hé)人工(gōng)智能(néng)技術進行綜合分析,持續檢測,從(cóng)而識别和(hé)捕獲内部尚未爆發的潛伏威脅。同時(shí)感知(zhī)平台還應該具備同時(shí)接入防火牆、終端管控的流量、策略和(hé)安全内容日志,全面分析新型勒索病毒的攻擊面及其影響範圍,并進行實時(shí)呈現(xiàn),幫助組織提升應急處置速度。
5、人工(gōng)安全服務:提供專業的威脅分析、威脅處置和(hé)加固建議(yì)服務,從(cóng)而實現(xiàn)威脅發現(xiàn)到(dào)處置的閉環安全效果。
