全球平均每11秒

就有一家企業(yè)成為

勒索病毒入侵的目標(biāo)

每年造成的損失達(dá)數(shù)千億美元

尤其隨著勒索攻擊朝向

APT化、專業(yè)化、產(chǎn)業(yè)化演進(jìn)

其隱蔽性更強(qiáng)、受害面更廣、

危害更加不可逆……

面對(duì)如此猖狂的勒索攻擊

廣大企業(yè)用戶苦不堪言

在勒索攻擊中,非法者往往利用弱口令爆破、釣魚郵件、網(wǎng)頁(yè)掛馬、0day/Nday漏洞等進(jìn)入被攻擊的網(wǎng)絡(luò)環(huán)境，再通過憑證提取、獲取權(quán)限、橫向移動(dòng)等找到受害者的重要資產(chǎn)，最終投放勒索軟件進(jìn)行精準(zhǔn)勒索。

針對(duì)勒索攻擊的特殊性，啟明星辰XDR方案通過“事前預(yù)防、事中攔截、事后溯源”三大手段，構(gòu)建起立體化的勒索攻擊防護(hù)堡壘，在事前封堵勒索傳播源頭、文件備份保護(hù)；事中切斷勒索攻擊途徑、攔截勒索加密行為；事后盡可能幫助用戶查找被勒索的原因及入口，為整改提供有效支撐，避免下次攻擊發(fā)生。

事前預(yù)防

快速甄別 封堵源頭

由于勒索攻擊的不可逆性，“事前預(yù)防”是啟明星辰XDR立體化勒索防護(hù)方案的重要一環(huán)。

啟明星辰XDR方案中的EDR組件可檢測(cè)終端的脆弱性，包括終端存在的弱密碼、系統(tǒng)漏洞、應(yīng)用漏洞、風(fēng)險(xiǎn)配置、共享目錄等，全面提升資產(chǎn)健壯性，減少勒索軟件的進(jìn)入途徑；同時(shí)，業(yè)務(wù)資產(chǎn)庫(kù)也可用于出現(xiàn)疑似安全風(fēng)險(xiǎn)時(shí)，快速甄別安全風(fēng)險(xiǎn)處置是否對(duì)業(yè)務(wù)有潛在影響，提升處置準(zhǔn)確性及效率。

啟明星辰XDR方案中的NDR組件（TAR流量檢測(cè)引擎、NFT全流量分析取證系統(tǒng)、APT沙箱）對(duì)勒索攻擊常使用的釣魚郵件、0day/Nday漏洞、弱口令爆破等各種入侵口進(jìn)行專項(xiàng)檢測(cè)防護(hù)。針對(duì)使用釣魚郵件進(jìn)行攻擊的場(chǎng)景，啟明星辰XDR方案中的沙箱對(duì)流行勒索軟件進(jìn)行家族識(shí)別，識(shí)別出各種未知勒索樣本，并針對(duì)經(jīng)常傳播勒索軟件的僵尸網(wǎng)絡(luò)（如Emotet、IcedID、BazarLoader、Dridex、Trickbot等家族）進(jìn)行檢測(cè)，提示用戶相關(guān)入侵可能是勒索攻擊的前奏。在沙箱檢測(cè)到釣魚郵件傳播后，則第一時(shí)間與EDR進(jìn)行聯(lián)動(dòng)響應(yīng)，防止相關(guān)文件落地執(zhí)行。

同時(shí)，啟明星辰XDR方案還針對(duì)勒索經(jīng)常使用的流行漏洞攻擊、RDP/SSH爆破攻擊、高危暴露端口等進(jìn)行集中展示，方便用戶快速了解網(wǎng)絡(luò)中可能被勒索利用的脆弱性環(huán)節(jié)。

事中攔截

強(qiáng)強(qiáng)聯(lián)合 筑牢防線

終端在勒索防護(hù)中承擔(dān)著不可或缺的作用，啟明星辰XDR方案中的EDR組件通過已知勒索檢測(cè)、未知勒索發(fā)現(xiàn)和數(shù)據(jù)備份恢復(fù)，與沙箱進(jìn)行協(xié)同聯(lián)動(dòng)，達(dá)到取長(zhǎng)補(bǔ)短的作用，筑牢勒索防護(hù)的最后一道防線。

啟明星辰EDR的病毒特征檢測(cè)模塊對(duì)各種已知勒索軟件進(jìn)行準(zhǔn)確查殺，在面對(duì)未知勒索攻擊時(shí)，通過設(shè)置誘餌目錄、進(jìn)程基線學(xué)習(xí)、勒索通用異常行為檢測(cè)（如刪除卷影副本、大量篡改文件等）發(fā)現(xiàn)可疑勒索攻擊；同時(shí)，EDR還可以聯(lián)動(dòng)APT沙箱進(jìn)行可疑樣本的進(jìn)一步確認(rèn)，當(dāng)沙箱同樣確認(rèn)樣本包含勒索行為時(shí)，EDR會(huì)徹底將相關(guān)樣本及其衍生物刪除，并將被勒索破壞的文件進(jìn)行恢復(fù)。此外，啟明星辰EDR對(duì)勒索病毒的端口掃描、口令爆破等橫向擴(kuò)散行為進(jìn)行有效甄別和封堵，配合邊界產(chǎn)品及威脅情報(bào)有效發(fā)現(xiàn)在勒索病毒執(zhí)行過程中的開關(guān)域名。

事后溯源

層層剖析 厘清資產(chǎn)

當(dāng)勒索攻擊發(fā)生后，啟明星辰XDR方案不但能刪除勒索軟件，恢復(fù)受篡改的文件，還能利用方案中多設(shè)備之間的聯(lián)動(dòng)，進(jìn)行攻擊溯源。通過線索發(fā)現(xiàn)、擴(kuò)線關(guān)聯(lián)、攻擊模型映射三個(gè)主要步驟，對(duì)非法者的攻擊路徑進(jìn)行層層剖析，在最短時(shí)間內(nèi)還原出完整的攻擊鏈路圖，幫助用戶厘清受影響的資產(chǎn)。

舉例說明，勒索場(chǎng)景中的確定性線索即EDR告警的已知或經(jīng)過確認(rèn)的未知勒索攻擊、網(wǎng)絡(luò)側(cè)告警的勒索回連等；非確定性線索即勒索攻擊中常見的攻擊入口報(bào)警、橫向移動(dòng)告警、C2工具告警等。通過確定性線索和非確定性線索進(jìn)行擴(kuò)線關(guān)聯(lián)、ATT&CK模型映射擬合等步驟，還原出攻擊鏈，找到受影響的資產(chǎn)，幫助用戶防范下一次勒索的發(fā)生。

安全是發(fā)展的前提，發(fā)展是安全的保障。勒索病毒檢測(cè)與防護(hù)已經(jīng)不再是安裝殺毒軟件就可以解決的安全問題，需要在勒索攻擊的各個(gè)關(guān)鍵節(jié)點(diǎn)上進(jìn)行檢測(cè)與保護(hù)，啟明星辰XDR將整體防護(hù)能力左移，針對(duì)勒索病毒特性進(jìn)行全生命周期的安全防護(hù)，為我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全保駕護(hù)航。

?

END