愈加狡猾的恶意攻击,正在使得企业网络安全防线岌岌可危,而恼人的勒索软件更是给企业用户核心资产带来严重损害。
从第一个勒索软件AIDSTrojan的出现,到Reveton、CryptoLocker、CrypoWall以及针对移动端的Mobile Variants,勒索软件的演变方式与敲诈勒索的陷阱在近几年当中迅速增多。统计数据显示,近3%的受害者最终交付了“赎金”,可惜的是恶意攻击者并未就此收手,反而变本加厉。
想想也是,不需要建立僵尸网络、不需要出租感染者、不需要冒着很高的风险去窃取银行凭证并从银行账户窃取资金,只需要悄悄把用户的文件一加密,钱财自然到手,如此简单直接怎能不被骇客所爱。据WatchGuard 资深架构师张志华介绍,中小企业中的办公文件正在越来越多地被黑客用来勒索赎金,TorrentLocker的模仿者CryptoFortress可以加密网络共享文件,Ransomweb(CRYPWEB)更是可以加密网站和网页服务器。
只不过有一点,勒索软件的攻击发起者如何才能做到“悄悄”二字呢?APT类攻击发起时如潜龙在渊无声无息,甚至得手后受害者依然一无所觉,如此好的搭档自然入了勒索软件恶意攻击者的法眼。于是乎,勒索软件与APT狼狈为奸,而用户就遭了秧。
这也意味着,要想狙击勒索软件的攻击,首先要从阻断APT下手。据WatchGuard全球销售副总裁Alex Thurber先生介绍,WatchGuard的APT Blocker能够对这类攻击起到有效的防护,另外要教育用户自身尽量避免上当遭遇勒索。“还有最厉害的一招,就是把电脑进行备份,这样就不怕被勒索了。”虽然这是Alex Thurber先生的“玩笑”之言,不过确实可以考虑试试。
Alex Thurber先生表示,防范APT的关键在于要从人、技术以及策略等方面同时着手。安全防御最大的薄弱点其实就是“人”。所以需要持续对用户进行安全教育,避免由于用户某些自身行为所导致的数据泄漏,进而被恶意攻击者所“获取”。北美地区最常见的钓鱼邮件是“某流落他乡的尼日利亚王子,突然要继承一笔从天而降的巨额遗产,需要获得人们金钱上的‘帮助’”,如此一封疑点重重的钓鱼邮件,依然会有大量用户中招,贪婪在作祟!所以人们的安全意识需要不断的进行锤炼、提高。
而技术方面则需要通过沙盒检测、代码层检测等对APT实施多层面的深度安全防御。例如,WatchGuard的Checksum算法能对已知类型恶意攻击进行有效防护。而对于未知攻击WatchGuard则通过沙盒技术进行侦测,在沙盒里会监测特殊的行为操作,比如试图控制鼠标、修改系统时间等,因为这类行为大多为恶意攻击所具有的典型特征。防范APT是一个综合性的方法,所以哪怕骇客狡猾的从沙盒里“溜”了出去,WatchGuard还有进一步的安全防线对其进行阻截。例如WatchGuard的网站过滤屏蔽技术,就能够阻断那些与勒索软件“有染”的网站与勒索软件之间的沟通。
“简单的安全操作其实同样能够对APT攻击起到有效的防护,但却往往被人们所忽略”。在许多公司,一些简单而有效的APT安全防护策略几乎从未被执行过,例如重来不对公司离职员工的账号、密码、权限等进行注销操作,这些简单的安全防护动作其实可以有效阻断恶意攻击的发起。由此可见,安全策略设置的重要性。
在WatchGuard的产品线里,对于外界的各类恶意攻击,能够通过WatchGuard的全球防御网络快速获知,并采取相关安全防护动作。而当某个用户很不幸的成为零日攻击的受害者,使得骇客已经深入企业网络内部时,WatchGuard也在对此部分的防御方法展开研究,比如通过对内网的各类数据情报分析,捕获恶意攻击者,使其不能获取高价值数据达成攻击目的。安全领域里有大量的创新诞生,WatchGuard也一直处于增长,所以WatchGuard在积极的找寻新的技术来加入到WatchGuard的产品线里。
WatchGuard的安全防御体系建设思路是与业内顶级安全厂商合作,将其最优的安全防护模块融入到WatchGuard的安全防护架构中。现在WatchGuard就正在与第三方机构进行合作,共同为用户提供安全检测,对其整体网络安全状况进行扫描,使用户能够清晰自己正在面临怎样的恶意攻击,需要怎样的安全防护。
WatchGuard本身对于恶意攻击的研究一直在不断加强,同时与其他第三方科研部门也有着紧密的合作,共同观察恶意攻击的变化趋势。