由于勒索病毒多样的传播方式,使用单一的安全产品或单一的技术手段(如防火墙、IPS、杀毒软件)面对勒索病毒的入侵时,往往面临“排查难、抑制难、溯源难、恢复难”四大问题,特别是新型的病毒,一旦某一点被突破,则会直接碰触到用户的核心业务系统及数据。因此,勒索病毒的防护必须建立起“层层阻击,集中管控,预防为先,防治结合”的纵深防御立体化病毒防护体系。
六方云在深入分析勒索病毒传播方式和攻击路径的基础之上,结合业内勒索病毒防护的最佳实践经验,围绕评估预防、监测防护、应急处置三个环节,采取产品+服务结合的措施对勒索病毒进行全生命周期的防护,通过提前切断病毒传播路径、实时监测网内异常行为、快速响应客户突发事件,最大限度的减少勒索病毒对企业造成的损失。如图2所示:
图2:六方云勒索病毒防护方案技术框架
本方案的设计主要依据工控网络安全“积极预防、垂直分层、水平分区、边界控制、内部监测、统一管理”的总体策略,逐步构建起勒索病毒的事前安全评估与预防、事中安全防护与监测预警、事后应急处置与加固的全生命周期立体化纵深防护体系。
首先对整个系统进行全面的风险评估,掌握系统的风险现状;然后通过管理网和生产网隔离以及访问控制来确保生产网不会引入来自管理网的风险,保证生产网边界安全,并在各中心内部的工业控制系统进行一定的监测、防护,保证各中心内部安全;最后对整个工业控制系统进行统一安全态势呈现,将各个防护点进行统一管理组成一个全面的防护体系,保障整个系统安全稳定运行。
通过事前评估预防,用户可及时了解现有网络存在的各类潜在风险,在安全事件发生前帮助用户及时发现并修复潜在业务威胁风险。
1. 制定网络安全应急预案。建立企业内部涵盖勒索病毒攻击等网络安全突发事件的应急响应机制,明确应急组织体系、职责分工、应急流程等。一旦发生勒索病毒攻击事件,立即启动相应网络安全应急预案,并按照预案要求及时开展应急处置工作,确保有效控制、减轻、消除勒索病毒攻击影响。
2. 关键系统和数据定期备份。目前流行的勒索病毒类型主要为文件加密类勒索病毒、数据窃取类勒索病毒、系统加密类勒索病毒和屏幕锁定类勒索病毒,无论何种类型,攻击者最终目的都是通过对用户最重要的资产“数据”实施安全威胁,以此来恐吓用户支付高额赎金。
因此,用户需要根据文件和数据的重要程度分类分级进行存储和备份,如主动加密存储重要、敏感的数据和文件,防范利用勒索病毒的双重或多重勒索行为,并定期采取本地备份、异地备份、云端备份等多种方式进行数据备份,增加遭受勒索病毒攻击且数据文件加密、损坏、丢失等情况下恢复数据的可能。
3. 定期评估风险,及时修补漏洞。攻击者通常利用远程代码执行、系统策略配置不当等系统漏洞,攻击入侵用户网络,或利用已公开且已发布补丁的漏洞,通过扫描发现未及时修补漏洞的设备,利用漏洞攻击入侵并主动传播勒索病毒。
因此,用户需要定期对网内的安全风险进行系统评估,排查资产暴露情况,按照最小化原则,尽可能减少在资产互联网上的暴露,特别是避免重要业务系统、数据库等核心信息系统的在互联网上暴露。同时及时进行漏洞排查,一旦发现资产存在的安全漏洞,及时进行修补。
4. 加强企业内部网络安全管理。勒索病毒还会通过钓鱼邮件、网站挂马、移动介质和软件供应链等方式进行传播,因此用户需要以培训、演练等方式提高网络安全意识,在用户层面切断勒索病毒传播入口。
例如在文件方面,不点击来源不明的邮件附件、打开邮件附件前进行安全查杀等;在网站方面,不从不明网站下载软件等;在外接设备方面,不混用工作和私人的外接设备、关闭移动存储设备自动自动播放功能并每周进行安全查杀等。
通过事中防护和监测,用户可拥有L2-7层完整的安全防护能力,确保安全防护不存在短板,同时,对网内流量和设备进行集中监控,统一管理,在提高用户运维效率的同时,实时掌握内部网络安全风险态势。
图3.2 六方云勒索病毒解决方案网络架构
1. 企业互联网出口安全防护。勒索病毒风险大多是从互联网侧引入的,而互联网出口作为企业的第一道网络安全防线,必须通过采取严格防护措施,尽可能切断勒索病毒的传播路径。
因此,用户首先需要部署下一代防火墙,封禁与勒索病毒传播或相关漏洞利用相关的危险端口3389/135/137/139/445等,通过严格的访问控制策略实现网内外用户的合法安全访问,并开启IPS功能和防病毒功能,实现勒索病毒入侵有效拦截。
2. 办公主机和服务器病毒防护。在主机和服务器上部署终端安全系统,实现对终端进行查杀防护,同时限制不安全的U盘的读写。
3. 云安全资源池控制。用户云平台环境涉及多类业务、多类系统,防护不当可能造成勒索病毒在云环境内的横向大规模扩散,因此在安全防护上需要进一步细化安全区域的划分以及不同安全区域、不同安全级别的访问控制,实现东西向流量的微隔离与阻断。
六方云盾能够在不依赖于云平台网络引流接口的情况下,实现对云内所有虚拟机进行网络微隔离,针对云内任意虚拟机之间、不同子网之间、逻辑安全域之间的网络流量进行L2-L7层的深度威胁检测与防护,同时,能够自动获取云平台内所有虚拟业务资产并绘制出逻辑一致的3D网络拓扑,实现对云内虚拟业务资产运行状态、网络流量状态与业务安全态势的全面可视。
4. 管理网和生产网隔离。在办公网和工控生产网之间部署单向隔离网闸,在各层级内的安全域之间部署工业防火墙,并对两网间数据交换进行安全防护,确保生产网不会引入管理网所面临的安全风险。
六方云工业防火墙基于对应用层数据包的深度检测,为工业通信提供独特的、工业级的专业隔离防护解决方案。
5. 各中心内的监测与防护。在对企业办公网和工控生产网之间、生产执行层之间进行了逻辑隔离,企业工控网络各层级内部的安全风险如何处理?一般来说,生产网内可能存在以下几方面的风险:各类操作员站的安全风险;PLC等工控设备的安全风险;通信协议存在风险。针对各方面风险六方云提供如下防护手段:
在操作员站、工程师站、HMI等各类主机上部署安全系统,对主机的进程、软件、流量、U盘使用等进行监控,防止主机非法访问网络。六方云工业主机卫士工业卫士采用白名单的技术,仅允许白名单内的程序运行,白名单外的程序均不可执行,从而有效阻止恶意程序或代码的执行和扩散。一键开启勒索病毒增强防护功能,可对137、138、139和445端口进行封堵,同时阻止创建系统启动项、添加用户账户、提权用户账户、创建计划任务以及创建服务等敏感动作。
工控异常行为检测。对于勒索病毒入侵行为和扩散行为,通过部署六方云工控全流量威胁检测与回溯系统,实时识别和预警工业控制网络和工业互联网络的勒索病毒入侵和传播的异常行为安全威胁,及时与工业安全设备联动实现协同防护,并提供攻击回溯取证和安全态势定期报表,为制定工控安全策略提供支撑,形成安全闭环,进而实现工业控制网络和工业互联网络安全威胁的可视、可控、可管。
6. 全网安全态势可视和一体化运营。在勒索病毒入侵的过程中,通过部署六方云全流量威胁检测与回溯系统(以下简称“神探”)可实现工控生产网未知威胁检测和异常行为检测。
神探产品可以基于规则库、威胁情报对已知勒索病毒进行检测,同时可以基于AI范化能力进行变种勒索病毒检测。在环境中已感染主机进行扩散时,可以通过异常行为检测技术进行监测。通过对攻击链的还原,完整重现勒索病毒攻击过程,为事后溯源提供依据。
在勒索病毒事件发生后,需要立即采取响应措施进行有序应对、妥善处理,把事件造成的损失降低到最小。
1. 确定受影响系统,并立即将其隔离
物理隔离。确认遭受勒索病毒攻击后,应采取立即断网、关机等方式隔离感染设备。其中,可采取拔掉设备网线、禁用设备网卡、关闭无线网络等方式断网,并拔掉服务器/主机上的所有外部存储设备,防止勒索病毒通过感染设备自动连接的网络在内部传播并进一步感染其他设备。
访问控制。根据初步发现的受影响范围情况,在网络设备或安全设备上通过配置访问控制策略方式进行严格资源访问权限限制。同时,立即修改感染设备的登录密码、同一局域网下的其他设备密码、最高级系统管理员账号的登录密码。
2. 排查勒索病毒感染范围
在已经隔离感染设备的情况下,对局域网内的其他机器进行排查,核查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染范围。对于感染情况不明的设备,提前进行磁盘备份。
还可通过了解现场环境的网络拓扑、业务架构、设备类型等关键信息,评估勒索病毒传播范围、攻击手段等,对勒索病毒失陷区域作出初步判断,为控制勒索病毒扩散和根除病毒威胁提供支撑。
3. 确定勒索病毒种类,进行溯源分析
研判勒索病毒种类。勒索病毒在感染设备后,攻击者通常加载勒索提示信息胁迫用户支付赎金。遭受勒索病毒攻击的组织可从加密的磁盘目录中寻找勒索提示信息,并根据勒索病毒的标识判断本次感染的勒索病毒种类。
判断攻击入侵手段。通过查看设备保留的日志和样本,判断攻击者攻击入侵的方式。如日志信息遭到删除,通过查找感染设备上留存的勒索病毒的样本或可疑文件,判断攻击者攻击入侵的方式。
4. 数据备份与应急恢复
为了保证业务的持续运行,当发生勒索病毒事件导致用户业务系统或重要数据受到影响时,通过部署备份容灾系统确保业务的秒级RPO和分钟级RTO,同时对生产业务系统实现系统、应用、数据、配置等一体化保护。
通过业务监控,实时地发现故障主机,支持一键生成演练测试环境,验证业务数据及其他工作。同时可以满足异机恢复迁移等多种功能,实现业务连续性全程能力支撑。
“在勒索病毒面前,没有一家企业能独善其身”,在勒索病毒“常态化防疫”阶段,制定有效的安全战略和进行前瞻性的安全防护将是最好的免疫。六方云针对勒索病毒威胁,为用户提供行而有效的安全防护,夯实我国关键基础设施建设。
