勒索軟件在全球范圍內(nèi)的發(fā)展態(tài)勢
中國區(qū)勒索軟件的增長情況(URL檢測)
而且�,勒索軟件威脅有很大的可能在未來幾個月繼續(xù)蔓延,亞信安全技術(shù)總經(jīng)理蔡昇欽指出:“與其它網(wǎng)絡(luò)安全威脅一樣,勒索軟件在發(fā)展初期主要集中在歐美國家�,但是隨著中國互聯(lián)網(wǎng)經(jīng)濟(jì)的繁榮��,以及更多本地化勒索軟件攻擊套件的發(fā)布�,會有更多的中國用戶成為勒索軟件的受害者���。因此,國內(nèi)企業(yè)用戶需要密切關(guān)注網(wǎng)絡(luò)威脅的發(fā)展動向�,并提早部署安全有效的防御措施?!?/p>
電子郵件與URL成為“最受歡迎”的傳播方式
從報告中還可以發(fā)現(xiàn)��,在過去十個月中��,勒索軟件主要是通過電子郵件����、URL、文件這三種方式進(jìn)行傳播�����。其中����,通過電子郵件傳播的勒索軟件數(shù)量出現(xiàn)了較為顯著的增長,占比從不足5%增長到46%�����,僅次于通過URL傳播的比例(52%)。
據(jù)亞信安全病毒監(jiān)測實(shí)驗(yàn)室分析:電子郵件與URL是勒索軟件傳播者尤為喜歡的兩種傳播途徑�����,主要是因?yàn)檫@兩種方式簡單有效����,通過大規(guī)模群發(fā)的方式,不僅能夠降低傳播成本��,還便于利用社交工程攻擊的方式來吸引更多人點(diǎn)擊�����。而且����,這兩種方式要比很多人想象中的更有效果,因?yàn)楹诳蜁寐┒垂籼准?Exploit Kit)攻擊操作系統(tǒng)及應(yīng)用程序的漏洞�����,若用戶電腦沒有更新補(bǔ)丁�����,只是瀏覽一般網(wǎng)頁就可能會被勒索軟件感染。
防范勒索軟件威脅 多層防護(hù)機(jī)制是關(guān)鍵
由于勒索軟件可以通過多種途徑來傳播�����,因此基于單一層面的防護(hù)機(jī)制都無法有效防范勒索軟件���。亞信安全發(fā)布的勒索軟件風(fēng)險研究報告同樣顯示����,在綜合部署電子郵件���、URL、文件等多層防護(hù)機(jī)制之后��,在防護(hù)邊界對于勒索軟件的檢測率可以達(dá)到99%����。
多層防護(hù)機(jī)制可檢測出99%的勒索軟件
蔡昇欽指出:“勒索軟件作者會不斷改變程序代碼來繞過過濾程序,并且嘗試通過電子郵件�����、URL鏈接��、文件等多種方式來入侵網(wǎng)絡(luò)。同樣�����,黑客也開始將惡意軟件目標(biāo)放到服務(wù)器基礎(chǔ)設(shè)施上���,與最近攻擊醫(yī)療行業(yè)的‘SAMSAM’雷同����,它們無需與 C&C 服務(wù)器聯(lián)系也能加密檔案�����。簡言之�����,并沒有萬靈丹來防止這類網(wǎng)絡(luò)威脅�����,企業(yè)用戶需要盡可能地降低風(fēng)險�,并通過多層防護(hù)機(jī)制來進(jìn)行檢查和攔截?����!?/p>
亞信安全建議用戶從以下幾個維度入手,構(gòu)建深層次的防御體系:
文件:企業(yè)最好采取3-2-1規(guī)則對重要文件進(jìn)行備份��,即至少做三個副本�,用兩種不同格式保存,并將副本放在異地存儲���。此外���,亞信安全還推出了針對勒索軟件加密文件的解密工具,可以有效應(yīng)對CryptXXX���、TeslaCrypt、SNSLocker����、AutoLocky等流行的勒索軟件及其變種的加密行為。
電子郵件和網(wǎng)頁:部署涵蓋惡意軟件掃描和文件風(fēng)險評估�、沙箱惡意軟件分析技術(shù)、文件漏洞攻擊碼偵測���、網(wǎng)頁信譽(yù)評估技術(shù)在內(nèi)的防護(hù)技術(shù)����,偵測并封堵通過電子郵件和網(wǎng)頁進(jìn)行攻擊的勒索軟件。
終端:少部分勒索軟件可能會繞過網(wǎng)絡(luò)/電子郵件防護(hù)����,這也是為什么終端安全防護(hù)十分重要的原因,終端防毒系統(tǒng)可以監(jiān)視可疑行為�、配置應(yīng)用程序白名單和使用弱點(diǎn)防護(hù)來防止未經(jīng)修補(bǔ)的漏洞被勒索軟件利用。亞信安全防毒墻網(wǎng)絡(luò)版(OfficeScan)的Aegis行為檢測功能可以檢測部分的勒索軟件加密行為����,并能夠?qū)ξ粗账鬈浖姆烙鸬椒e極作用。
網(wǎng)絡(luò):勒索軟件也可能通過其他網(wǎng)絡(luò)協(xié)議進(jìn)入企業(yè)網(wǎng)絡(luò)進(jìn)行散播����,因此,企業(yè)最好部署能夠?qū)λ芯W(wǎng)絡(luò)流量��、端口和協(xié)議進(jìn)行高級偵測的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)���,來阻止其滲透和蔓延���。
服務(wù)器:通過虛擬補(bǔ)丁防護(hù)方案,來確保任何尚未修補(bǔ)漏洞的服務(wù)器��,有效防范“零日攻擊”。
網(wǎng)關(guān):在網(wǎng)關(guān)層面進(jìn)行有效攔截��,是企業(yè)最經(jīng)濟(jì)型的防御體系���。亞信安全深度威脅安全網(wǎng)關(guān)Deep Edge具有極其簡潔的部署和管理方式����,但卻包含了最重要的勒索軟件攻擊抑制能力�。其擁有專門針對加密勒索軟件、C&C違規(guī)外聯(lián)及可疑高級惡意程序的監(jiān)控窗口����,還改進(jìn)了和亞信安全深度威脅發(fā)現(xiàn)設(shè)備(TDA)及亞信安全深度威脅分析設(shè)備(DDAN)的產(chǎn)品聯(lián)動,能夠通偵測��、分析和攔截功能的融合����,建立針對加密勒索軟件攻擊路徑的有效“抑制點(diǎn)”�����。
