2018年12月1日,12月份的第一个周末,大多数人躺在暖和、舒服的被窝里刷着手机,讨论着第31个“世界艾滋病日”、2018仅剩的26个工作日以及受非洲猪瘟影响的猪肉价格。
谁也未曾想到,某个95后制造的勒索病毒已经悄悄潜伏在用户的电脑里,等待着爆发和传播的时机。
像往常一样打开电脑,熟悉的画面并未出现;而是一个“你的电脑文件已被加密,点此解密”快捷方式,随后弹出解密教程和收款二维码,使用微信扫码支付赎金才能解密。
“勒索病毒”,一个令人不寒而栗的名字,它的出现意味着大量的电脑将遭受攻击。12月4日,已有超过10万用户的电脑被勒索病毒加密。
一段刻意回避的记忆开始苏醒,人们仿佛再一次回到了2017年5月12日,那段被一个红色框框的恐惧所支配的日子。
那一天后,医院电子检查仪器集体罢工,躺在手术床上的病人被迫放弃手术;大型企业应用系统和数据库文件被加密,制造业企业生产线被迫停摆,大量高效实验室数据和毕业设计被锁定......
超过150个国家和地区,30万用户,80亿美元,这些已经被历史铭记的数字使得WannaCry声名大振。
而那个经典的红色框框已经成为企业和用户的梦魇。
勒索病毒从未远离
使用“微信扫码”支付赎金的勒索病毒很快成为人们茶余饭后的谈资,粗糙的技术和低水平的加密方式是人们的槽点。
但是,有一个问题被忽略了:哪怕是这个低配的勒索病毒,在96小时内,感染电脑的数量超过10万台,盗取淘宝、天猫、阿里旺旺、支付宝、163邮箱、百度云盘、京东、QQ账号约5万多条。
我们至少可以得出这样一个结论,面对勒索病毒,大多数用户依旧不走心且无防范意识。
深信服发布的安全报告也证实了这一结论。据深信服监测数据显示,2018年Q4季度,勒索病毒家族依旧活跃,其中,WannCry家族活跃度远高于其他勒索病毒家族,所占比例高达83%,感染数量排名第一。
可见,人们似乎并未从上一次的史诗灾难中吸取多少教训,更别提将这个教训运用在企业信息安全建设之中。不少用户在经历恐慌、无助、缴纳赎金、解锁文件之后,也就没有然后了。时至今日,依旧有大量的企业保持着WannaCry入侵之前的状态,大量终端并没有打上“永恒之蓝”漏洞补丁。
2018年8月,苹果供应商、全球晶圆代工巨头台积电遭到Wannacry勒索病毒攻击,三大产线全部停摆,给企业带来严重损失。连台积电般龙头级制造业企业都在勒索病毒攻击中损失惨重,其他大中型制造企业的境遇可想而知。
随着Ransomware-as-a-server(勒索软件服务化)的出现,致使勒索病毒攻击趋于平民化;哪怕0技术、0经验者亦可发起勒索病毒攻击,只需支付少量租金即可。
因为,勒索病毒开发者可以提供整套勒索软件的解决方案——从勒索软件的开发、传播到赎金收取都提供完整的服务。
这将为企业用户带来一个噩梦般的趋势:大量快速随机传播的无差别勒索程序将会在互联网上游荡、试探;弱网络安全防护体系的企业将会面临大概率的勒索病毒攻击。
此外,近期流行的“黑客入侵+勒索”狙杀式“高危攻击”也令不少企业损失惨重。不同于以往“入侵偷取资料”的黑客攻击,以及“广撒网”式的勒索病毒传播,这类攻击往往“看准了再下手”,手段极其恶劣。
具体攻击流程是,黑客使用工具暴力破解密码,通过漏洞、远程桌面链接等途径侵入企业、单位电脑网络,然后直接植入勒索病毒锁死资料文件,进而勒索赎金。
WannaCry、Cerber等勒索病毒涌现出大量的变种,用以绕过固有的防御体系;而勒索软件服务化、“黑客入侵+勒索”等新式攻击方法也让企业安全防御体系犹如虚设;甚至企业被勒索病毒攻击的间隔时间也将大大缩减。
勒索病毒防不住?
勒索病毒防得住吗?对于大多数企业来说,依靠现有的安全体系可能真的防不住,不少企业面对勒索病毒攻击毫无招架之力。
究其原因,在终端上。以WannaCry勒索病毒为例。
WannaCry勒索病毒利用微软SMB远程代码执行漏洞CVE-2017-0144(永恒之蓝)进行传播,入侵用户电脑后对文档进行加密,并弹出勒索框向用户勒索赎金。不仅如此,WannaCry勒索病毒还将继续攻击网络中的其他设备,并以指数级的速度扩散。
随着互联网和云计算等技术广泛应用与企业中,企业终端管理的复杂程度也随之上升;而多云时代的来临进一步加剧了企业终端的混乱度。毫无疑问,这给企业安全防御带来了巨大的挑战,毕竟,企业终端存在漏洞难以避免。
具体而言,分为以下三点。
1,传统特征杀毒失效
传统病毒查杀技术大多依靠特征匹配,只要病毒存在相应的特征即可被系统消灭。因此,想要拥有更完善的病毒查杀能力,那么企业必须拥有更大、更全的病毒特征库;病毒特征库越大,运行所占资源也越来越多,最终会导致检测效率降低、运行所占资源多、最终导致用户启用。
由于新式病毒并未在特种库中,所以传统病毒查杀技术对于新式变种病毒往往束手无策。也就是说,病毒特征查杀一方面消耗太多企业资源,另一方面难以抵御未知威胁,已不能满足企业安全需求。
2,缺乏快速响应机制
十几年前,一个大客户出现安全问题也许会有十几个安全人员前往应急处理。如今,随着企业信息化程度提高、企业信息化规模不断扩大,企业信息安全问题应急响应缺乏相应的人力资源支持,往往是一堆问题等待着安全人员的应急响应。
伴随着技术越来越成熟,勒索病毒逐渐趋于工具化、自动化、产业化,大批量的勒索病毒开始出现,给企业安全带来严重负担,对安全人员提出新的挑战。因此,一款能够自动抵御勒索病毒攻击的产品成为企业用户新需求。
3,未实现一体化防护,管理运维量大
随着互联网+深入各个行业,企业信息化程度越来越高,所拥有的终端种类、数量也在不断增加,这无疑加重了企业管理运维的量。此外,大多企业尚未实现一体化防护,所需防护终端类型多样和单一的防护匹配关系形成鲜明对比,无法满足PC、笔记本、Linux、Windows SVR等终端的普适性和兼容性要求。
反观勒索病毒,只需寻找到存在漏洞的终端设备即可攻击,并以此为跳板攻击网络中的其他设备。防御态势和勒索攻击呈现不对称趋势,想要实现完全防御勒索病毒攻击对企业而言难度巨大。
这也是为什么在WannaCry病毒肆虐19个月后的今天,依旧有不少企业被WannaCry感染,这不能简单归结于主观因素,同样也有客观原因。
深信服终端安全产品部主管、首席安全技术专家邹荣新给我们分享过一个小故事。
2017年5月,WannaCry勒索病毒攻击事件爆发后,深信服第一时间组织研发团队为用户提供一些对抗WannaCry勒索病毒的实用工具,如WannaCry免疫工具等;并在72小时内,迅速迭代了十几个版本。这些工具一推出便受到企业用户追捧,数十万企业用户在深信服官网下载这些工具。
这一行为至少可以得出两个结论:1、企业用户深受勒索病毒荼害;2、企业用户对于防御勒索病毒有着强烈的需求。
面向未来,有效保护 — 深信服下一代终端安全EDR
以勒索病毒为代表的安全态势给企业安全带来了新的需求;深信服安全秉承“面向未来 有效保护”的核心理念,提出下一代终端安全EDR(端点检测与响应),让企业IT更简单、更安全、更有价值。
深信服下一代终端安全EDR主张以资产为中心,为企业提供精准、持续的检测能力,协同响应帮助客户快速处置问题;以智能检测、灵动响应、全面保护三大核心功能为下一代终端安全框架;为企业提供预警、防护、检测、响应等服务;保障信息资产的保密性、完整性、可用性达到预期要求。
深信服下一代终端安全EDR作为安全管理平台能支持统一的终端资产管理、终端安全体检、终端合规检查,支持微隔离的访问控制策略统一管理,支持对安全事件的一键隔离处置,以及热点事件 IOC 的全网威胁定位,历史行为数据的溯源分析,远程协助取证调查分析。端点软件支持防病毒功能、入侵防御功能、防火墙隔离功能、数据信息采集上报、安全事件的一键处置等。
除此之外,它还将大幅度减少企业安全人员、运维人员的工作量。目前,大部分企业安全人员都处于人员结构简单、安全人员身兼数职现象,工作内容繁重且耗时长。
深信服下一代终端安全EDR产品支持与下一代防火墙、安全感知平台、上网行为管理等产品形成联动协同响应,为企业构建新一代的安全防护体系;这一点在抵御未知威胁方面体现的淋漓尽致。
EDR产品和安全云脑联动响应,可关联在线数十万台安全设备的云反馈威胁情报数据,为未知威胁实时检测提供强力支持;对不同业务、不同终端实行隔离访问控制,防止勒索病毒等未知威胁肆意传播;与下一代防火墙、安全感知平台、上网行为管理进行关联、检测、取证、响应、溯源等防护措施,为企业提供全方面防护。
多维度的智能检测
传统的病毒检测技术使用特征匹配,使得病毒特征库越来越大,运行所占资源也越来越多,但却难以满足企业安全需求。
智能检测作为深信服下一代终端安全EDR 的核心功能,包含 AI 技术的 SAVE 引擎、行为引擎、云查引擎、全网信誉库等方面,形成AI智能、信誉库、基因特征、行为分析等多梯度、全方面检测分析,响应速度更快速,资源占用更低消耗。
1、AI检测引擎SAVE
SAVE 安全智能检测引擎的强大在于它背后强大的算力、算法和数据。算力对于深信服而言不存在瓶颈问题:无论自身强大的云计算能力,还是与英伟达深度合作,都赋予SAVE引擎无与伦比的算力。而深信服深耕安全行业多年,积累大量真实有效的企业级威胁的数据信息,在数据和算法方面更有天然优势。
至于深信服SAVE 安全智能检测引擎能力究竟如何,我这里有一组数字:97.8%、99%、0.1%——未知病毒检出率高达97.8%,对已知病毒检出率高于99%,远远高于同行业平均水平;而0.1%不到的误报率大大简化安全人员的工作量和决策度。
自我学习、自我进化是SAVE 安全智能检测引擎特定能力之一,这意味着SAVE会随着深度学习的进行而不断成长。随着大量新式威胁不断涌现,自我学习、自我进化的能力将赋予SAVE更高的检出率和更低的误报率,更加贴合用户安全需求,实现终端安全的防护、检测和响应。
2、无特征检测技术
传统意义上讲,网络攻击涉及恶意软件,攻击者利用恶意软件访问受害者的电脑,其后安装具有破坏性的可执行文件实施攻击。一般而言,深信服下一代终端安全EDR只需要使用三、五条关键的行为特征,就能解决这类检测问题,从而实现了对未知威胁的检测,对威胁攻击的防护。
多维度灵动响应
众多周知,企业安全防御体系是否完善主要有两个最为直接的衡量指标,即能否将威胁挡在门外以及能否对安全事件快速响应。深信服下一代终端安全EDR灵动响应的两大特色便是“多维度”和“快速”,也就是“灵”和“动”。
“灵”代表着响应是多维度的,在安全事件响应时有着多项安全处置措施。如一键终端隔离、自动隔离(当某个终端出现问题时,系统将自动隔离,以防感染其他终端);一键文件处置、一键文件修复(全方面保护文件安全);全网威胁处置(保护企业安全);主机微隔离、流量可视化(提供基于主机应用之间的访问控制,可视化的安全访问策略配置);第三方威胁情报社区协助处置、远程批量脚本执行;以及全局白名单、全局IP黑名单。
“动”代表着响应速度快。通过安全云脑、终端设备、防御体系三者之间相互传递与接收热点事件、威胁情报,自动处置威胁情报,极大的缩短威胁驻留时间。
企业全面保护
深信服下一代终端安全EDR还将为企业提供全面保护,减少无效工作、体现运维工作价值,其内置全面检测防护手段,实现企业全类型资产策略一体化。
1、入侵攻击的主动检测
大多数勒索病毒或挖矿病毒攻击往往是通过暴力破解进行的,近段时间日益盛行的“黑客入侵+勒索”狙杀式“高危攻击”便是这类攻击的实践应用。深信服下一代终端安全EDR能够主动监测暴力破解行为,并对发现攻击行为的IP进行封堵响应。
2、基于 Web 后门的综合检测技术
传统的 WebShell 文件检测是基于特征码的检测技术,严重依赖于特征库,无法杜抵御未知威胁的攻击。深信服创新性的采用机器学习的检测方法,不仅可以正确检测出已有样本,对于未知威胁有着良好的检测效果。
深信服下一代终端安全EDR——多场景防护
近年来,EDR产品在全球信息安全行业中的热度居高不下,不少顶级安全大会中也有相关的议题;如今国外EDR产品已趋于成熟,企业实际应用场景也开始明朗;相应的,EDR产品在国内市场的应用也逐渐进入状态。
以深信服下一代终端安全EDR产品为例,给企业用户提供等保合规、一体化防护、未知威胁防护、快速响应处置、企业级运维五大应用场景,确保企业终端在不同场景切换时安全性不受影响,为企业提供全方面的安全防护。
1、等保合规
无论是在国内还是在国外,等保合规都是企业必须要满足的最基本条件。随着网络安全法和GDPR的实施,合规对于企业而言是一条红线。
深信服下一代终端安全EDR深入于企业终端、内网、存储、业务之中,帮助企业贴合国家政策法规,满足主机恶意代码防范要求,基线检查,确保终端安全合规;各区域安全保护措施共同组成企业安全防护体系。同时,EDR能为企业检测查询已知、未知威胁,对终端进行全面防护。
2、一体化场景
互联网时代。企业终端的种类和数量有一个质的提升,主机、显示器、PC以及各种移动终端都已经成为企业终端基本组成部分。不可统一防护、难以统一管理已是安全管理难点之一。
深信服下一代终端安全EDR提出全面适配、统一防护、一体化管理防御原则,对于企业各类终端不再区别对待,全年适配各种终端类型,统一基线、统一防护、进行一体化管理。
3、未知威胁防护场景
对于企业而言,已知威胁并不可怕:有着相应的解决方案,能够做到威胁可控;而给企业造成严重损失的往往是未知威胁。
深信服下一代终端安全EDR通过有效预防、智能检测、全面防护三个步骤,帮助企业抵御可能出现的未知威胁。在预防阶段,通过账号及密码策略排查、全网威胁展示与定位等方法预防威胁;基于最小授权原则、给不同的业务和终端设置隔离访问控制,尽可能减少威胁出现的概率。
在智能检测阶段,EDR搭载人工智能SAVE引擎,无需进行特征匹配,全平台检测未知威胁,并处置暴力破解、WebShell、僵尸网络等威胁。
4、快速响应处置场景
深信服下一代终端安全EDR依托灵动响应机制,可实现威胁自动响应。当企业某一终端出现安全威胁时,威胁自动上传至EDR管理中心、安全感知平台和安全云脑;而后,EDR将自动下发处理威胁的指令,直至消灭威胁,解除警报。
5、企业级运维场景
随着企业信息化程度不断提高,企业运维管理难度也在增加:终端数量多、分布广,类型多样化,所需的专业的能力也越来越高。
针对这些痛点,深信服下一代终端安全EDR秉持着面向未来、有效保护的原则,全面防护总部、分支、服务器等终端。对维度持续检测、响应,减轻企业维护成本;同时,企业统一维护资产,责任落实到人,最大限度减轻企业运维压力。
后记
2002年,EDR相关概念及产品早已出现;然而,因为兼容性以及对业务的影响,这类产品最终消失在人们视野中。
16年后,深信服推出了深信服下一代终端安全EDR,以前所未有的方式闪亮登场,并给企业带来太多的惊喜。
深圳、北京、长沙、硅谷四大研发中心,每年20%以上的收入投入,研发人员占比高达40%深信服创新研究院博士、博士后团队以及无数安全团队的付出......这些才是深信服下一代终端安全EDR能够给企业带来自动化端点防御的原因,也是深信服一直坚持的研发原则。
同时,深信服要求所有技术团队都必须深入到客户中去,到一线上去。当用户出现安全事件时,邹荣新要求用户的响应时间是“当天”;这与深信服下一代终端安全EDR应急响应速度如出一辙。