如何破解勒索攻击难题百分之80的企业管理者认为对网络安全的最大威胁难题

腾讯云腾讯安全 “中小企业”在线学堂 如何破解勃攻击难题？ 日口%的企业管理者认为对网络安全的最大威胁难题 腾讯云腾讯安全 勒索病毒攻击常见手法 腾讯安全玄武实验室：李冠成 “中小企业”在线学堂 目录Menu 勒索病毒现状与危害 勒索软件的攻击手法和趋势 应对末来勒索病毒攻击的防御策略 “中小企业”在线学堂 讲师介绍 李冠成 高级安全研究员 现为腾讯安全玄武实验室高级研究员，具有较为全栈的安全研究能力和多年的漏洞和攻防研究经验。曾发现过多个关键基础设施和具有攻防实战价值的漏洞，曾在ACMCCS、IEEE5&P、DEFCON等国际顶级安全会议发表相关 研究成果。 “中小企业”在线学堂 勒索病毒的危害 加密勒索：导致业务停摆，平均恢复周期三周。 数据窃取：窃取数据作为勒索筹码，传统基于备份的防御手法无法防御此类攻击 数据拍卖：导致业务数据泄漏。 Didyourorganizationpayransomtorecoveritsdata?n=1,149 No,wewereNoransom 支付赎金也不一定能解决问题 abletorecoverwasaskedfor datawithout4% paying 16% 勒索攻击者会在支付赎金后拍卖 Yes,andwe torecover 数据，以达到利益最大化wereable Yes,but westillcould notrecover thedata 59% thedata 21%2023Veeam 勒索病毒的经济模型 AllRansomwarePaymentResolutionRates High CyberExtortionOpportunityCostCurve EncryptionRansomware Impact DataExfiltration Only CDVEWARE DXF-OnlyPaymentResolutionRates NASDeviceEncryption DBDeletionC.v.EAttacks Spraying Low Phantom Low Z(p)($) High CINERARE 加密货币支付难以被潮源COVEWARE 勒索软件金趋势 RansomPaymentsByQuarter AverageRansomPaymentMedianRansomPayment $800,000 $600,000 “CloP和其他以大型企业为 目标的攻击者大幅拉升了全球平均薪酬水平，尽管中位薪酬水平小幅上升[中位赎金 $400,000金额：190424美元[较2023 年第一季度增长20%]。CloP集团很可能从MOVEit活动中 $200,000赚取7500万至1亿美元 COVEWARE“中小企业”在线学堂 勒索病毒的行业分布 IndustriesImpactedbyRansomwareQ22023 UtilitiesAutomobile 3.1%3.9% 2022,360 TechnologyHardwar... 5.4% ConsumerServices教育 3.9%17.31% SoftwareServices 7.0% FinancialServices Food&StaplesReta... 其他 7.0%13.58% 政府软件&互联网 Retailing5.4% 6.2% 14.66% 3.00% RealEstate 2.3% PublicSector 餐饮 Healthcare3.13% 14.0%建筑业制造业 11.66% 10.1%3.13%医疗 ProfessionalServices Insurance6.13% 1.6% Materials金融&贸易服务业 15.5%11.6%%68'8批发零售9.62% 8.89% COVEWARE数据来源 “中小企业”在线学堂 勒索病毒的行业分布 少有行业独善其身！ 勒索攻击者一般通过以下2点选择行业 1.整个行业的网络安全防御水位 2.有没有钱支付大量的金 “中小企业”在线学堂 勒索病毒的攻击手法 2022年1.89% 云计算开源产业联盟信通院、腾讯等 6.14% 9.36% 21.96% 从数据上看： 1.暴力破解、弱口令、网页挂马等“低级 手法”仍然是攻击的主流手法 13.46%2.钓鱼、投毒、漏洞攻击等高级手法也占 14.36%有一部分比例 ■RDP远程桌面弱口令■恶意代码（病毒、破解等)·漏润利用 ·挂马网站·数据库弱口令·钓鱼邮件 “中小企业”在线学堂 勒索病毒的攻击手法 勒索病毒攻击的攻击手法取决于其攻击目的：1.广撒网，需要低成本高覆盖，所以通常利用暴力破解、挂马等相对低成本低方法展开 2.攻击重要目标，需要精准打击，所以通常通过钓鱼、漏洞进行。整个过程与高级威胁很 相似 3.当有高价值漏洞公开时，漏洞也会被用来以广撒网的形式攻击 “中小企业”在线学堂 攻击手法趋势： 专业化团队化 勒索攻击手段日趋成熟、攻击目标越发明确，模式多种多样，攻击愈发隐蔽，更加难以防范 危害也日益增大。 01 02 03 04 05 06 病毒变异快， 攻击隐藏性加 勒索软件即服 加密货币普及 “多重勒索”模 供应链成为勒 攻击路径多元 化，易传播 强，发现和恢 复难度提升 务成为网络攻击新模式 助推赎金快速增长 式引发数据泄 露风险 索攻击重要切入点 “中小正业仕线字堂 攻击手法趋势： 向APT靠拢 Internal 数据来源：COVEWARE 100.0% RDPCompromise EmailPhishing 75.0% SoftwareVulnerability Unknown 1.钓鱼开始逐渐取代暴力破解 2.软件漏洞的比例开始上升 50.0% 25.0% 主要是因为安全水位的提高。 “近年来来勒索软件攻击定向精准攻击趋势明显" 0.0% COVEWARE “中小企业”在线学堂 反勒索病毒的挑战 有哪些业务容易被勒索、被勒索后的感染面多大，如何恢复被勒索的业务系统？ 前后 风险识别难 发现溯源难 快速恢复难 事前难以确定资产状态 检测技术单 潮源分新缺乏手段和工具 不清楚哪些资产可能被勒索 ·对新型勒索攻击无感知 ·感染面和被勒索情况不清晰 不清楚资产系统备份情况不清楚资产对应的备份是否可用 ·无法及时了解勒索攻击态势攻击路径不可知 被勒索主机恢复难 “中小企业”在线学堂 及时发现及时响应很重要 勤索病毒的攻击手法逐渐高端化，月PT化，且造成损失较大 系统存活率随着勒索软件的存活时间随指数级下降，因此对勒索病毒响应速度有较高要求 因此，需要科学防范，提前预防[攻击面管理]，及时发现【部署多维度的检测系统]】，及时处理【部 署响应系统 “中小企业”在线学堂 防御策略：攻击面管理+纵深防御+自动处置 收敛攻击面识别资产，管理攻击面，减少对外暴露 阻止落地多维度风险感知，阻止勒索病毒落地终端。 阻止运行多维度的事件监控，阻正止勒索病毒的热行。 阻止加密文件变化感知，及时发现异常情况，阻止恶意行为。 及时处置及时处置，自动备份，自动恢复，减少损失 “中小企业”在线学堂 防御策略：攻击面管理+纵深防御+自动处置 x 腾讯安全玄武实验室未来智安 XDRSEC 01资产清点和梳理，摸清家底 02风险识别和状态识别，安全评估 勒索全生命 03多重检测技术动态关联分析，形成事件链4950万测试数据中，加密样本 568,676条，正常样本48,931,308条 系统文件变化感知，及时发现异常情况 周期解决误报率[FPR]=FP/为O，漏报率 方案04 [FNR】=FN/P为0.0028% 05自动研判和攻击确认，锁定被感染主机 06一键化封禁和恢复，降低损失 “中小企业”在线学堂 玄武实验室高级威胁防护引擎 产品定义及特性 玄武高级威胁防护引擎（ATPE）：终端和服务器通用的轻量级引擎，充分应用玄武实验室安全研究成果及实战攻防经验，专注于检测 可绕过普通安全软件的隐蔽黑客攻击和渗透手段。 专为检测高级威胁设计产品功能特性 针对高级威肋包括（但不限于） 免杀钓鱼木马 白加黑利用钓鱼防护域渗透防护 浏览器漏洞利用扫码咨询合作： 李荣先生 权限提升未来智安技术总监 横向移动 通用防护策略：基于行为，不基于特征多终端联动防御勒索软件防护 “中小企业”在线学堂 腾讯云腾讯安全 感谢观看！ Thankyou “中小企业”在线学堂 腾讯云M腾讯安全 云原生安全防勒索病毒攻击场景最佳实践 周佳宇 腾讯云原生安全产品中心高级工程师 “中小企业”在线学堂 云上常见的勒索病毒攻击场景特点 “中小企业”在线学堂 云上勒索病毒攻击特点 资产 用户 云上资产数量多且种类繁杂，点也较多，容易攻击。 导致入侵 云上租户数量庞大，安全水平参差不齐。 攻击方式攻击目标 多以弱口令暴力破解为主，同时也存在云上勒素绝大多数为广撒网式攻击，并 利用漏洞进行攻击的情况。不针对特定用户，但存在少量对高价值 客户的勒索入侵行为。 “中小企业”在线学堂 云上攻击风险来源 漏洞弱口令 系统漏洞Linux系统弱口令 应用组件漏洞Windows系统弱口令 Web-cms漏润漏洞弱口令 业务逻辑漏洞Redis弱口令 ". 资产暴露资产暴露未授权访问未授权访问 高危端口景露公网Redis未授权访问 高危服务暴露公网Zookeeper未授权 Mongodb未授权 其他恶意文件 其他恶意文件 恶意清求勃索病毒、木马、Webshell 对抗安全软件 异常行为 ...“中小企业”在线学堂 云上勒索病毒攻击场景防护痛点及策略 “中小企业”在线学堂 云上勒索病毒攻击场景防护痛点及策略 防护痛点问题 1.攻击来源广，持续不断 不同来源黑客针对云上资产进行攻击全天候不间断的攻击。 2.用户不了解自身业务及资产情况 不清楚自身组件、账号、端口、文件等各类资产使用情况。 》资产较多的情况下，依靠人力很难全面掌握。 》存在非必要的资产暴露公网的情况。 3.无法100%防御所有勒索攻击 基于规则的检测，无论是勒素病毒文件还是异常行为，始终存在漏报和误报的可能。 4.勒索加密文件很难解密 通常情况下，被勒索加密的文件无法被解密还原。“中小企业”在线学堂 数字安全免疫力模型 端点安全 互联网防御 合规和审计， 攻防演练， 代码安全， AI安全， 边界安全 与保护， 紧您响应，API安全， 容灾备份 运维， 国期找理企业资产 数据+业务 特定行业场景 软件供应链安全 “中小企业"在线学堂 云上三道安全防线 云防火墙Web应用防火墙主机安全 第一道防线，为用户提供互联网边界的防护解决云上访问控制的统一管理与日志审计的 第二道防线，帮助腾讯云内及云外用户应对 Web攻击、入侵、漏洞利用、挂马、篡改 第三道防线，为用户提供资产管理、木马文 件查杀、黑客入侵防御、混洞风险预警及安 安全与管理需求。 后门、爬虫等网站及Web业务安全防护问题。 全基线等安全防护服务，帮助企业构建服务 器安全防护体系。 “中小企业”在线学堂 勒索病毒攻击分析 阶段攻击前期攻击中期攻击后期 暴力破解投放动索样本尝试再次入慢 漏河利用加密目标文件扩充入侵手取 行为未授权访问破坏安全软件增加保活手段 升级样本 弱口令/未授权橙测 一降低暴破成功可能性 诱饵文件 检测勒索病毒攻击资产清点筛杏潜在风险 景破阻断样本搜集/查柔蒲润运营 漏洞橙测阻止恶意文件运行，止损一维持检测能力 解决方案漏润修复自动隔离鲜本运营 漏洞风险预警 收敛漏润/基线风险 资产清点确立攻击影响面事件运营捕获新样本 基线检测燃复定期备份防患于未然 快照备份防止中招后无法解密 快照备份+诱饵文件“中小企业”在线学堂 云原生安全防勒索实践 “中小企业”在线学堂 事前：资产识别，风险收敛第一步 资产识别类型 -进程 口器-B:E89讨):2023-:8-181453.38 -系统安装包 -Web引用 -Web服务 ±8±%@I号 B:RsWusIE -Web框架-