勒索软件从CTB-Locker最早出现,到Locky的大规模爆发,再到刚刚发生的WannaCry,至今已经有两年时间了。尤其是此次影响到100多个国家的WannaCry,已经对各行各业造成了不可挽回的经济损失,甚至影响到了国家关键基础设施。值得庆幸的是由于国内外各个信息安全领域的厂商、研究机构及从业人员从未停止过对勒索软件的分析和研究,使得在事件发生之后能在很短时间内发现,并公布防止勒索软件扩散的解决方案。与此同时,各个信息安全厂商结合自身的产品均发布过相应的解决方案,也起到了一定的作用,但始终无法根治。
若要从根本上解决勒索软件泛滥的问题,就必须究其根源及传播方式。勒索软件的最终目的就是要植入到PC或移动客户端上,加密终端上的数据,从而索要钱财。其传播方式多为通过群发钓鱼邮件或者系统漏洞传播,其传播速度是相当惊人的。然而,并不是支付赎金就可以了事的。在勒索软件刚开始被攻击者利用的时候,有些攻击者还是具有一定程度的职业道德的,收到赎金后会给出密钥。但是自从勒索软件这种攻击方法被广泛利用之后,更多的情况是即便破了财也免不了灾,在“数据丢失”的伤口上又撒了一把“经济损失”的盐。
基于目前的勒索软件发展趋势及特征,笔者认为要从根本上解决勒索软件的问题,不能只从技术角度出发,仅仅依赖各种检测及防护产品。俗话说:“三分技术,七分管理”。因此,更应该以有效的管理制度,再辅之以保障管理措施有效执行的技术措施,才能从根本上解决问题。
笔者总结了以下几点建议供企业安全管理者参考:
1、 从管理的角度自上而下的提高全员安全意识
安全意识是一道无形的防线,也是攻击者要突破的第一道防线,也是最容易突破的一道防线。“方便”和“安全”本来就是一对矛盾体,也正是由于人类的惰性才导致安全意识的建立难上加难。企业管理者必须从员工安全意识入手,加大力度以各种形式强化员工的安全意识,高筑这道无形的防线。
2、 采用有效的沙箱检测机制
前文分析过的勒索软件的传播方式,主要为钓鱼邮件或系统漏洞,无论哪种方式都必须通过网络来传播。如果采用有效的沙箱机制,通过网络流量提取并重组恶意文件,并在沙箱中进行分析,并将分析结果转化为网关的防护策略或检测规则,则能在很大程度上避免事件的扩散,如果沙箱能与终端防病毒软件联动,就可以在勒索软件被执行之前将其查杀。
3、 对内网终端实行统一的监控
由于员工安全意识的不够高,造成内网终端的健康度参差不齐。补丁更新不及时,病毒库长时间不更新的情况在企业网络中普遍存在。除了采用统一的内网终端管控及防病毒系统之外,还需要将其余互联网出口网关进行联动,在网关处对终端的健康情况进行检查,不合规的不允许其连接互联网。
4、 部署融合威胁情报的自适应安全网关
在勒索软件的发展的同时,威胁情报也从概念发展到成熟的产品,并形成了统一的标准,使其具备可机读的能力。通过使企业侧的出口安全网关和安全管控平台接入有效的威胁情报,并将其自动转化为安全网关的防护策略和规则,则能在事件发生后的最短时间内形成有效的防御能力。如果是通过系统漏洞发挥作用的勒索软件,可通过SOC类安全分析平台将漏洞信息跟内网资产进行匹配,并对存在漏洞的资产进行全生命周期管理,直至漏洞被修补。