攻击者在网站的页面中嵌入恶意代码,当用户访问网站或下载程序时,感染病毒。
勒索病毒通过受感染的USB设备进行传播,特别是在物理安全措施较弱的环境中。
攻击者通过伪装成合法的邮件,诱使受害者点击恶意链接或下载附带的恶意文件。
通过第三方供应商或服务商的安全漏洞,攻击者可以间接地侵入目标系统。
攻击者利用业务系统或操作系统等所存在的漏洞发起入侵,在获得操作系统管理权限后进而投放勒索病毒。
勒索攻击手段不断升级,攻击者利用0day漏洞、社会工程学等手段绕过传统安全防御措施,导致防御失效。
备份软件出现问题、备份计划配置错误、攻击者针对备份数据进行破坏、备份被加密等原因导致备份失效,无法进行数据恢复。
即使拥有备份数据,但由于备份数据不完整、恢复过程复杂、解密困难等原因导致数据恢复失败。
PART.01
事前:防范前置,降低风险
定期对组织所有内外网资产信息进行发现和风险检测,识别并定位存在易被勒索病毒攻击的高危资产和漏洞,先于攻击者发现并收敛风险。
及时更新风险评估系统漏洞库并定期对内网资产开展勒索漏洞专项检查,资产关联责任人,漏洞闭环管理;系统存在弱口令、开放不必要开放的端口、防火墙采用全通规则等基础配置性问题均为勒索病毒的攻击途径。
通过监测和收集来自各种渠道的信息,包括黑客论坛、地下交易市场、恶意软件样本等,了解最新的勒索攻击技术、攻击者行为和攻击工具。对情报进行分析,识别出潜在的勒索攻击威胁和攻击者的行为模式,持续提升勒索攻击安全风险感知能力。
主要针对产品供应商,服务提供商所存在的风险通过技术措施和管理措施进行管控。
防御策略有效性验证
勒索应急演练
PART.02
事中:多点监测,快速响应
结合下一代防火墙,入侵防御系统,防毒墙,WAF,邮件网关,APT/NTA以及安全审计等设备,对入侵尝试,异常端口连接,漏洞利用,C&C通信,勒索软件恶意脚本,文件上传,命令执行,钓鱼邮件,恶意附件,横向移动,恶意文件传播,登录异常,行为异常等进行及时监测、封堵。
利用主机安全设备和终端安全设备,例如HIDS、EDR等,对恶意软件、异常账号行为、高危/非标端口连接、异常进程行为、权限提升行为、异常文件操作等进行主动防御。
通过APT、蜜罐系统,对攻击事件进行溯源取证。
通过边界侧、网络侧、主机侧、终端侧安全设备日志以及溯源取证结果,结合威胁情报数据,对攻击事件进行快速响应处置。
PART.03
事后:复盘总结,持续优化
勒索攻击新趋势
及应对策略
>>>>
双重勒索攻击
供应链攻击
自动化和AI驱动的勒索攻击