FireEye | 防范勒索软件、保护关键数据的有效解决方案
勒索软件日益猖獗
根据网络威胁联盟(CTA)的一份报告,给全世界造成3.25亿美元损失的 CryptoWall 3.0,是通过基于电子邮件(67.3%)和漏洞工具包(30.7%) 的网络钓鱼攻击进行传播的。攻击者通常以关键人物和高价值计算机为目标,用鱼叉式网络钓鱼来获取最大收益。其通过社交工程技术让用户签署文件或点击链接。
勒索软件是为获得经济利益而进行网络敲诈的一种常见手段。此攻击方式会立即阻止用户访问其文件、应用程序或系统,直到受害者支付赎金后,攻击者才会用解密密钥恢复其访问。攻击者通常以重要且高度敏感的信息为目标,对包括金融、电信、医疗及能源等组织在内的广泛的以数据为中心的企业和行业进行攻击。且倾向于将注意力集中于中小型企业,因为这些企业的安全预算和专业知识都很有限。
勒索软件如何通过 Web 和电子邮件进行攻击
基于 Web 的勒索软件往往会使用“下载后驱动”的漏洞工具包,利用浏览器、应用程序和系统在以下多阶段过程中的漏洞进行攻击:
  • 第一阶段 - 感染合法网站或非法入侵广告网络并插入代码。
  • 第二阶段 - 分析用户系统,使用漏洞工具包检测易受攻击的软件,如用户计算机上的旧版 Java 或 Flash,将其重新导向另一个网络页面。
  • 第三阶段 - 将被加密、混淆或编码的恶意有效载荷传递到用户系统。一旦有效载荷被解密,勒索软件就会生效
  • 第四阶段 - 与回调服务器建立连接,这样攻击者就可以设置唯一密钥来加密受害者的数据。
  • 传统的沙箱无法看穿第三阶段的加密,因此无法分析越来越常见同时越来越复杂的多流攻击。
传统的规则匹配和基于签名的防御方法束手无策
传统的安全解决方案,包括防病毒软件、下一代防火墙、安全电子邮件、Web 网关以及入侵防御系统,都依靠静态分析和签名来检测和阻止已知的威胁。攻击者可以测试这些防御方法,并调整其策略以躲过威胁。
  • 不能及时更新,跟上不断发展的攻击
  • 无法通过优化和自动化操作来实时检测未知的、从未见过的威胁
  • 无法检测外部命令控制服务器(CnC)与受感染主机之间的自定义和加密通信
  • 无法防范基于 web 或电子邮件的多级勒索软件的攻击
成功防范勒索软件的方法
勒索软件通常使用 Web 和电子邮件载体访问受害者系统。您应当设置并加强安全控制,对电子邮件、入侵防护系统(IPS)、网络和端点进行监测,从而检测可指示存在勒索软件活动的行为。许多常用措施仍然值得推荐,您可将其用作一整套安全解决方案的一部分。对于网络安全,常用措施包括:适当的网络分割、访问控制和定期备份(最好是异地备份)。对于电子邮件安全,常用措施包括:基本的垃圾邮件和防病毒过滤器。对于端点安全,常用措施有:实现有效的端点可视性,其可帮助检测威胁,使分析人员能够确定威胁的性质并采取行动。您还应该指导员工了解最新的勒索软件活动,并告知其避免威胁的方法。
但由于网络罪犯会不断改进其工具和策略,因此,安全解决方案应能提供实时保护,防止或干扰勒索软件的激活。这包括内联保护和可付诸实施的威胁情报,该情报应尽可能及时更新,并不断寻找所有关键攻击载体中可能存在的威胁。
FireEye 解决方案是第一个获得美国国土安全部安全法案认证的安全解决方案,每个组成部分都是朝着更强有力的网络安全迈出的重要一步。通过包含下列元素,FireEye 得以成为强大的防范勒索软件的解决方案。
FireEye 邮件安全
离线和基于云的分析往往太慢,无法阻止勒索软件对您的系统和数据进行加密。FireEye 邮件安全支持内联部署,无论是在预置(EX)或基于云(ETP)的环境中,均可作为邮件传输代理(MTA)运行,并在接收者收到前,对勒索软件电子邮件加以隔离、分析和拦截。此种增强的邮件安全,带有存储和转发架构,能够在攻击发生前近实时地有效阻止许多攻击,将业务滞后时间降至最低。
FireEye 网络安全
勒索软件入侵涉及三个主要阶段:初始感染、文件加密和命令控制(CNC)服务器访问。FireEye 网络安全可识别攻击过程,检测并阻止向受害者发送加密恶意代码并进行回调的服务器之间的通信。
FireEye 网络安全并不属于沙箱解决方案。沙箱无法检测到多级攻击流,因为它们只孤立地分析文件。作为 FireEye 网络安全核心部分的 FireEye 多载体虚拟执行™ (MVX)引擎,可随时轻易地分析流量,并检测多阶段的攻击,包括那些使用加密的恶意软件躲避典型沙箱解决方案的攻击。
FireEye 威胁情报
FireEye 会持续监测恶意软件趋势及勒索软件活动。研究人员会仔细分析勒索软件族系及其行为。这一知识会被编入 FireEye 动态威胁情报(DTI),并推送给MVX引擎,使客户设备能够检测现有的、不断发展的及新型的勒索软件技术。
FireEye iSIGHT 威胁情报提供可付诸实施的、策略的、操作性强的战略情报,可帮助组织机构更好地管理其风险和回应勒索软件及其他现有威胁。该威胁情报来自攻击者的开发环境,也来自对攻击者工具、战术和程序(TTPS)的深刻理解以及数百个事件的响应经验。这些不断更新、共享及来源丰富的深刻见解,创建了一个行业丰富的情报网络,帮助安全团队预测、检测和应对勒索软件的攻击。
结论
使用先进的检测和预防技术,辅以可付诸实施的威胁情报,是对付勒索软件和其他高级攻击的最佳防御措施。FireEye 解决方案能很好地防御日益猖獗、变化多端的勒索软件的威胁。其可为多个攻击载体提供实时的内联保护,防止或干扰勒索软件的激活,并保护您不受财务损失和业务中断的影响。