愈加狡猾的惡意攻擊,正在使得企業(yè)網(wǎng)絡(luò)安全防線岌岌可危,而惱人的勒索軟件更是給企業(yè)用戶核心資產(chǎn)帶來嚴(yán)重?fù)p害。
從第一個(gè)勒索軟件AIDSTrojan的出現(xiàn),到Reveton、CryptoLocker、CrypoWall以及針對(duì)移動(dòng)端的Mobile Variants,勒索軟件的演變方式與敲詐勒索的陷阱在近幾年當(dāng)中迅速增多。統(tǒng)計(jì)數(shù)據(jù)顯示,近3%的受害者最終交付了“贖金”,可惜的是惡意攻擊者并未就此收手,反而變本加厲。
想想也是,不需要建立僵尸網(wǎng)絡(luò)、不需要出租感染者、不需要冒著很高的風(fēng)險(xiǎn)去竊取銀行憑證并從銀行賬戶竊取資金,只需要悄悄把用戶的文件一加密,錢財(cái)自然到手,如此簡(jiǎn)單直接怎能不被駭客所愛。據(jù)WatchGuard 資深架構(gòu)師張志華介紹,中小企業(yè)中的辦公文件正在越來越多地被黑客用來勒索贖金,TorrentLocker的模仿者CryptoFortress可以加密網(wǎng)絡(luò)共享文件,Ransomweb(CRYPWEB)更是可以加密網(wǎng)站和網(wǎng)頁服務(wù)器。
只不過有一點(diǎn),勒索軟件的攻擊發(fā)起者如何才能做到“悄悄”二字呢?APT類攻擊發(fā)起時(shí)如潛龍?jiān)跍Y無聲無息,甚至得手后受害者依然一無所覺,如此好的搭檔自然入了勒索軟件惡意攻擊者的法眼。于是乎,勒索軟件與APT狼狽為奸,而用戶就遭了秧。
這也意味著,要想狙擊勒索軟件的攻擊,首先要從阻斷APT下手。據(jù)WatchGuard全球銷售副總裁Alex Thurber先生介紹,WatchGuard的APT Blocker能夠?qū)@類攻擊起到有效的防護(hù),另外要教育用戶自身盡量避免上當(dāng)遭遇勒索。“還有最厲害的一招,就是把電腦進(jìn)行備份,這樣就不怕被勒索了。”雖然這是Alex Thurber先生的“玩笑”之言,不過確實(shí)可以考慮試試。
Alex Thurber先生表示,防范APT的關(guān)鍵在于要從人、技術(shù)以及策略等方面同時(shí)著手。安全防御最大的薄弱點(diǎn)其實(shí)就是“人”。所以需要持續(xù)對(duì)用戶進(jìn)行安全教育,避免由于用戶某些自身行為所導(dǎo)致的數(shù)據(jù)泄漏,進(jìn)而被惡意攻擊者所“獲取”。北美地區(qū)最常見的釣魚郵件是“某流落他鄉(xiāng)的尼日利亞王子,突然要繼承一筆從天而降的巨額遺產(chǎn),需要獲得人們金錢上的‘幫助’”,如此一封疑點(diǎn)重重的釣魚郵件,依然會(huì)有大量用戶中招,貪婪在作祟!所以人們的安全意識(shí)需要不斷的進(jìn)行錘煉、提高。
而技術(shù)方面則需要通過沙盒檢測(cè)、代碼層檢測(cè)等對(duì)APT實(shí)施多層面的深度安全防御。例如,WatchGuard的Checksum算法能對(duì)已知類型惡意攻擊進(jìn)行有效防護(hù)。而對(duì)于未知攻擊WatchGuard則通過沙盒技術(shù)進(jìn)行偵測(cè),在沙盒里會(huì)監(jiān)測(cè)特殊的行為操作,比如試圖控制鼠標(biāo)、修改系統(tǒng)時(shí)間等,因?yàn)檫@類行為大多為惡意攻擊所具有的典型特征。防范APT是一個(gè)綜合性的方法,所以哪怕駭客狡猾的從沙盒里“溜”了出去,WatchGuard還有進(jìn)一步的安全防線對(duì)其進(jìn)行阻截。例如WatchGuard的網(wǎng)站過濾屏蔽技術(shù),就能夠阻斷那些與勒索軟件“有染”的網(wǎng)站與勒索軟件之間的溝通。
“簡(jiǎn)單的安全操作其實(shí)同樣能夠?qū)PT攻擊起到有效的防護(hù),但卻往往被人們所忽略”。在許多公司,一些簡(jiǎn)單而有效的APT安全防護(hù)策略幾乎從未被執(zhí)行過,例如重來不對(duì)公司離職員工的賬號(hào)、密碼、權(quán)限等進(jìn)行注銷操作,這些簡(jiǎn)單的安全防護(hù)動(dòng)作其實(shí)可以有效阻斷惡意攻擊的發(fā)起。由此可見,安全策略設(shè)置的重要性。
在WatchGuard的產(chǎn)品線里,對(duì)于外界的各類惡意攻擊,能夠通過WatchGuard的全球防御網(wǎng)絡(luò)快速獲知,并采取相關(guān)安全防護(hù)動(dòng)作。而當(dāng)某個(gè)用戶很不幸的成為零日攻擊的受害者,使得駭客已經(jīng)深入企業(yè)網(wǎng)絡(luò)內(nèi)部時(shí),WatchGuard也在對(duì)此部分的防御方法展開研究,比如通過對(duì)內(nèi)網(wǎng)的各類數(shù)據(jù)情報(bào)分析,捕獲惡意攻擊者,使其不能獲取高價(jià)值數(shù)據(jù)達(dá)成攻擊目的。安全領(lǐng)域里有大量的創(chuàng)新誕生,WatchGuard也一直處于增長,所以WatchGuard在積極的找尋新的技術(shù)來加入到WatchGuard的產(chǎn)品線里。
WatchGuard的安全防御體系建設(shè)思路是與業(yè)內(nèi)頂級(jí)安全廠商合作,將其最優(yōu)的安全防護(hù)模塊融入到WatchGuard的安全防護(hù)架構(gòu)中?,F(xiàn)在WatchGuard就正在與第三方機(jī)構(gòu)進(jìn)行合作,共同為用戶提供安全檢測(cè),對(duì)其整體網(wǎng)絡(luò)安全狀況進(jìn)行掃描,使用戶能夠清晰自己正在面臨怎樣的惡意攻擊,需要怎樣的安全防護(hù)。
WatchGuard本身對(duì)于惡意攻擊的研究一直在不斷加強(qiáng),同時(shí)與其他第三方科研部門也有著緊密的合作,共同觀察惡意攻擊的變化趨勢(shì)。