求问有勒索病毒领域实力强劲的厂商吗?

来源:蜘蛛抓取(WebSpider) 时间:2022-06-19 23:41 标签: 为什么会中勒索病毒

中图分类号:TP311
中文引用格式:张智南,柯贤良,傅爱民.基于SECaaS模式的网络安全监管服务化研究[J].信息技术与网络安全,2018,37(8):23-26.

随着信息化进程的不断发展,网络空间已经成为继陆海空天之后的第五战场。我国对网络空间安全日益重视[1]。特别是十九大前后《网络安全法》的颁布实施,标志着网络安全的国家战略地位进一步加强,意味着各行业各单位应进一步做好网络安全工作,确保网络空间安全。而在网络安全建设中,建立自上而下的体系是落实网络安全管理的重要支撑手段[2]。《网络安全法》第五章监测预警与应急处置第五十二条规定:负责关键信息基础设施安全保护的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度。当前,行业领导都已经认识到建立网络安全监管体系的重要性和必要性,但在实践上还存在一些问题。

本文主要讨论了当前安全监管工作中存在的问题,讨论了基于模式建立网络安全监管体系的思路和方法,讨论了网络安全监管服务化体系关键技术的实现及在安全事件中的应用。

1   当前安全监管工作中存在的主要问题

在行业内部,许多主管单位的安全部门都会定期评估本级和下级单位的安全状况,发现问题及时通报,初步建立起了安全监管体系。但从实际效果看,还是存在一些问题,主要可以归纳为三个方面:有监管缺落地、有手段缺同步、有覆盖缺层次。

表面上,当前的安全监管体系能够发现问题并及时通报。但是,通报之后下级单位是否处置、如何处置、处置结果如何,缺乏进一步跟踪。对于被监管的下级单位来说,通报下来后有专业安全人才的单位还可以有所动作,但在专业安全人才普遍缺乏的情况下,更多的单位无所适从,不会也不敢对正在运行的承载关键职责的业务信息系统进行安全加固。最终的结果是通报多了也就麻木了,监管完全流于形式,根本没有形成有效结果。

从行业内部看,各单位的网络安全防护水平层差不齐。有的单位配发了网络安全设备,在配发之初还可以起到一些安全作用,及时发现网络隐患并依照加固建议进行处理。但由于缺乏专业管理,一段时间后,设备的安全策略没有及时更新,新的安全威胁无法定位,也就逐步失去效果,成了无用的摆设。对于一些新建单位或者一些小散远单位,网络安全设备还没有来得及配发到位,就更谈不上安全不安全了。最终从全局全网的角度看,网络安全水平发展非常不均衡,处处是弱点,时时有短板,存在严重的“木桶效应”。

一般的网络安全评估设备的设计思路是最大化的发现安全隐患。因此设备会将发现的安全问题尽可能全面地报告出来。但是,网络安全的核心目的是保障网络和信息系统顺畅运行。风险评估的最终目标是将风险控制在一个可接受的范围内。如何从设备发现的所有隐患中提取出需要处置的高风险问题,有一个综合评估的过程。在这个过程里,需要根据风险将问题分解为必须立即处置、可以定期处置、仅需定期审查或不需处置等多个层级。而现在的初级网络安全监管体系仅仅只是发现并覆盖安全问题,还远远没有实现精细化分级管理。

2  基于SECaaS模式的安全监管服务化体系设计

当前安全监管体系在运行过程中表现出来的问题从根源上看,主要是两点:一是网络安全专业性强,网络安全人才总体上处于严重缺乏状态[2]。二是网络攻防技术发展变化速度快,网络安全设备在配发上存在缺口问题,在使用上存在同步问题。从行业发展的角度看,人才缺乏是无法通过短期大量资金投入解决的,只能逐步改善。因此在设计安全监管体系时,必须正视这个实际问题。

2.1 基于SECaaS模式思想的安全监管服务化设计思路

在行业人才分布上,多数网络安全专业人员隶属于各上级单位,整体自上而下呈递减模式。但在实际安全需求中,需要保障安全能力在全行业的均衡配置。因此,必须解决网络安全能力从上向下传递的问题。前文已讨论,在安全专业人员总体不足的情况下,即使通过行政命令要求专业人员去下属单位,也不能解决问题,所以必须采取更有效的方法。从行业外的各种安全实践看,采用SECaaS模式处理安全监管问题是一种可行的手段。

SECaaS是Security as a Service的缩写,直译为安全即服务,其基本思路是以云的模式提供安全服务[3]。应用到安全监管中,也就是将原先以监管为主的管理思路,转变为以服务为主。传统监管模型和SECaaS服务模式如图1所示。

如图1所示,在传统监管模式下监管单位只负责发现和通报问题,以及对问题修复后的验证(图中灰色流程框)。在这种模式下,责任单位即被监管单位需要更多地承担起验证、分析、修复等技术性较强的工作(图中白色流程框)。当缺乏安全人才支撑时,该模式就会陷入困境。在SECaaS服务模式下,监管单位在发现问题后,利用自身的人才优势,对问题进行验证和分析,形成适配多种现实情况的修复方案,再通知到各责任单位。责任单位根据自身网络和应用系统运行状况,选择合适的方案进行修复即可。在SECaaS模式下,验证、分析和形成多种修复方案等安全技能要求高的工作集中在有人才优势的监管单位进行,存在问题的下级单位仅仅需要根据实际情况选择某一方案实施即可,大大降低了对人员方面的要求。

SECaaS安全监管服务平台架构如图2所示。

服务化后的网络安全监管平台与传统的监管平台主要有三个方面不同。

(1)增加了研判处置的内容。在平台端对发现的威胁进行验证和评估。一是对发现的威胁进行分析验证,有效排除各种误报;二是对发现的威胁进行整体分析,从影响范围、危害程度、活跃程度等多角度综合考量,全面评估其带来的安全风险。 

(2)加强了技术方案的拟制。在技术方案方面,除了描述威胁状况,提供升级版本和补丁信息外,还要增加检测方法、备用防护方法(如禁止某些软件功能、改变某些安全配置、在安全防护设备上增加安全策略等)以及本地验证方法等。

(3)增强了监管端的能力输送。一是设立了威胁自评估机制,通过平台侧的网页检测、插件扫描等方式增强下级单位的威胁自评估能力;二是增加了协同处置机制,平台侧的安全专家在必要时可通过远程方式直接协同下级单位技术人员进行安全加固,实现对风险的全面控制。

3  安全监管服务化体系关键能力的实现和验证

安全监管服务化体系的关键能力已经得到了实现和验证。下面以2017年5月12日爆发的WannaCry病

毒为例,介绍安全监管服务化体系关键能力的实现途径和应用方法。WannaCry病毒是利用微软“永恒之蓝”漏洞(EternalBlue,MS17-010)的蠕虫型。该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致计算机中大量文件被加密。互联网及部分专网计算机被大量感染,损失十分严重[4]。应对WannaCry病毒,安全监管服务化体系需要具备以下关键能力:病毒和漏洞检测能力、威胁评估和处置能力、防御效果评估和验证能力。

3.1 病毒和漏洞检测能力的实现

WannaCry是蠕虫型勒索病毒,是一种混合型病毒。因此,其检测包括两个方面:一是蠕虫利用的漏洞检测,二是勒索行为检测。

漏洞检测方面,WannaCry利用的是微软“永恒之蓝”漏洞,是已经公开并存在修复补丁的漏洞。从监管角度,漏洞检测的关键在于发现网络中没有打补丁的计算机。在能力实现上,通过监管服务平台将监管体系中的漏洞检测设备进行统一升级,并进行实时检测,在第一时间评估漏洞分布情况。对于未配发漏洞检测设备的单位,平台提供漏洞扫描插件下载,在本地计算机上执行漏洞扫描操作,评估局域网内计算机漏洞分布情报,再向平台集中上报评估结果。

勒索行为检测方面,勒索病毒一般变种较快,传统的基于特征库的检测模式一般难以实现对最新变种的检测。因此,采取基于行为特征的检测模式是一种可行的方法。通过在虚拟化环境中对勒索病毒样本受控执行,分析其工作模式,判断是否有加密文件、释放勒索信息等典型病毒行为,判断其威胁。基于行为的勒索病毒检测分析报告如图3所示。

图 3   基于行为的勒索病毒检测分析报告

3.2 威胁评估和处置能力的实现

WannaCry的评估和处置从原理上说很简单,直接安装MS17-010补丁即可。但在实际环境中,需要考虑条件和环境不尽相同的因素。具体的评估和处置需要人员、工具和流程相结合。以WannaCry为例,其评估和处置流程如图4所示。

3.3 防御效果评估和验证能力的实现

监管服务平台对WannaCry防御效果的评估和验证主要通过验证扫描方式实现。通过远程扫描管理主机,可以判断漏洞是否继续存在。如果继续存在,其扫描结果如图5所示。也可以通过远程登录方式直接查看是否安装了对应的补丁。

监管的目的是更好地、全面地提升网络安全防护水平。为了实现这个目标就必须在有效监管的同时,发现和提升网络中存在的安全薄弱点,特别是安全防护能力方面的薄弱点。通过安全监管的服务化,将技术要求高、分析难度大、人员实力要求强的工作放到人才实力较强的监管平台进行,而下属单位只要结合实际情况选择防护方案按步骤实施即可。只有通过安全服务化的模式,才能有效克服当前网络安全需求旺盛与专业安全人才严重缺乏之间的矛盾,确保行业网络安全水平全面提升。

[1] 方滨兴,杜阿宁,张熙,等.国家网络空间安全国际战略研究[J].中国工程科学,):13-16.

[2] 于全,杨丽凤,高贵军,等.网络空间安全应急与应对[J].中国工程科学,):79-82.

张智南(1977-),博士,绿盟科技涉密行业技术总监,主要研究研究方向:网络安全和云计算安全。

2018年区块链3大网络安全威胁:勒索病毒、挖矿木马、攻击交易所


2018年8月6日,腾讯安全发布《2018上半年区块链安全报告》(下称“报告”),报告显示,在2018年上半年,区块链领域因安全问题损失超27亿美元,且在全球范围内因区块链安全事件损失的金额还在不断攀升。

据了解,目前在全球范围内,已出现了1600余种加密数字货币,在高峰时期,这1600余种加密数字货币撑起了6000亿美元的市值。排名前十的加密数字货币,占总市场的90%,其中比特币、以太坊币分别占总市值的46.66%和20.12%。

勒索病毒是2018年上半年危害互联网最严重的病毒之一。其中以GlobeImposter,Crysis,GandCrab为首的3大勒索家族展开的攻击活动占据了网络勒索事件的绝大部分。此外,Satan家族在2018上半年时段展开的攻击也有明显上升,其它老牌家族依然有不同程度的活跃。

而挖矿病毒则是2018年上半年传播最广的网络病毒。而挖矿热度与币种价格成正比。进入2018年以来,PC端挖矿木马以前所未有的速度增长,仅上半年爆出挖矿木马事件45起,比2017年整年爆出的挖矿木马事件都要多。

而在2018年上半年,挖矿木马较之前产生了一系列的变化。全能型挖矿木马开始出现,上半年出现的“Arkei Stealer”木马,集窃密、远控、DDoS、挖矿、盗币于一体,可谓木马界“全能”;隐藏技术更强,与安全软件对抗愈加激烈。

伴随着加密数字货币价值增加而来的,是越来越多的区块链安全问题。

据美国财经网站CNBC报道,网络安全公司Carbon Black的调查数据显示,2018年上半年,有价值约11亿美元的数字加密货币被盗。

据报告显示,目前的区块链安全威胁主要可以分为三类:区块链自身机制安全、生态安全和使用者安全。因这三个原因造成的经济损失分别是12.5亿、14.2亿和0.56亿美元。

随着数字虚拟货币参与者的增加,各种原因导致的安全事件也显著增加。

而就网络层面而言,区块链数字货币也面临着三大网络安全威胁。

据报告显示,在2018年上半年,勒索病毒呈现出与安全软件的对抗加剧、传播场景多样化、攻击目标转向企业用户、更新迭代加快、赎金提高、加密对象升级、已形成黑色产业链7个趋势。

8月3日晚间,台积电突遭电脑病毒感染,据了解,台积电此次感染的病毒为“Wanna Cry”的一个变种,直接影响是,受感染后的电脑宕机或者重复开机。

目前挖矿木马主要通过连接矿池挖矿,矿工将自己的矿机接入矿池,贡献自己的算力共同挖矿,共享收益。上半年PC端僵尸网络挖矿应用最广泛的矿池为f2pool。

与以往挖矿木马相比,2018上半年挖矿木马具有以下的特征:

1.瞄准游戏高配机,高效率挖矿: 据腾讯2018年1月统计,一款名为tlMiner的挖矿木马单日影响机器量最高可达20万台;

2.利用网页挂马,大范围传播: 报告表示,网页挂马是一种高效率的传播方式;

3.入侵控制企业服务器,组建僵尸网络云上挖矿: 短时间内的大范围挖矿,除了网页挂马,最普遍的作法就是控制肉鸡电脑组建僵尸网络挖矿。服务器性能强、24小时在线的特征,吸引更多不法矿工将攻击目标转向企业、政府机构、事业单位的服务器实现云上挖矿;

4.网页挖矿:在正常网址插入挖矿代码: 由于杀毒软件的存在,许多挖矿木马文件一落地到用户电脑就可能被拦截,不利于扩大挖矿规模,更多攻击者倾向实施网页挖矿;

除却勒索病毒以及挖矿木马之外,直接攻击交易所也是不法分子利用网络获取加密数字货币的一个主要方法。

据报告显示,仅2018年上半年就因数字加密货币交易所被攻击而损失了约7亿美元。

我要回帖

更多关于 为什么会中勒索病毒 的文章

 

随机推荐