根据卡巴斯基进行的一项研究显示,勒索软件感染在过去12个月中下降了30%。这种下降与现在流行的加密货币价格密切相关。
然而,这并不意味着企业安全工程师和CISO可以高枕无忧。勒索软件仍然是受欢迎的危害活动之一,也是具有破坏性的危害活动之一。根据有关报告,勒索软件危害对中小型企业很具有破坏性。调查了2,400多个中小企业和超过50万家托管的服务客户。统计数据显示,在2016年第二季度至2018年第二季度期间,79%的中小企业受到了勒索软件的影响。这些中小型企业通常没有足够的安全预算和员工来实施复杂的预防和检测解决方案,以对抗勒索软件危害。
传统上,大多数组织依赖基于签名的检查或基于沙箱的启发式解决方案来检测和防御勒索软件。尽管这些仍然是实践企业安全架构中的重要组成部分,但它们也存在一些重大缺陷,使得它们无法有效地检测一些新颖和最复杂的勒索软件。
对于初学者来说,每天都会出现太多新的勒索软件变种。基于沙箱的解决方案通常部署在边缘,并监控来自互联网的流量。但是,使用网络钓鱼和沙箱逃避技术等社会工程技术可以完全绕过周边。此外,处理零日勒索软件危害无效,更不用说互联网流量被加密多次,这使得人们更难以看到里面实际的有效载荷。
在检测勒索软件方面,欺骗确实可以改变游戏规则。勒索软件检测的工作方式通常是将一些隐藏的文件作为面包屑的一部分部署到企业环境中的端点和服务器上。当勒索软件感染主机时,它将执行一系列操作,例如加密受感染主机上的文件,删除影子备份,创建持久性注册表项,按字母顺序或以相反顺序加密映射驱动器。
不同的安全解决方案使用不同的检测方法。恶意活动会立即触发管理控制台上的事件,表明勒索软件已经引爆。可以利用集成的第三方工具执行自动事件响应,例如隔离受感染的主机以防止勒索软件在整个环境中传播。
显然,勒索软件运行速度很快,因此快速检测活动并以足够的信心以自主方式行动是优先选择。一些受害者需要数月才能从这些类型的毁灭性袭击中恢复过来。
与其他传统的检测解决方案相比,基于欺骗的检测具有一些独特的优势:
- 无论勒索软件危害源自何处或引爆位置,都可以在整个环境中提供全面保护。检测与操作系统类型,文件格式,传送方法,加密算法等无关。
- 检测恶意行为适用于零日危害和新变种工作,高交互蜜罐具备高可定制化能力,可以部署用户真实操作系统、业务软件环境,再通过HIDS技术即可有效感知0day等未知威胁的感染,这也是欺骗技术核心价值之一。
- 高保真和低误报警,非常快速准确的检测。蜜罐技术基本都是对实时危害行为结果进行感知,加密流量进入蜜罐后会被还原,不依赖特征库,无论特征如何变化、病毒如何变形,蜜罐只对其行为进行监控,并且监控覆盖范围广,所以误报概率极小。再加之蜜罐并不属于真实主机,即使发生误报其影响面几乎为零。
欺骗还可以检测内部网络上的许多其他恶意活动,例如横向移动,未知威胁检测发现能力,数据泄露等。我们的有影内网威胁感知系统是一个领先的欺骗平台,提供上述所有这些功能,并且欺骗技术可检测被传统安全措施所忽略的信息,并加速自动危害分析和事故处理事件响应。企业可以通过欺骗将主动权掌控在自己手中,当危害发生时,企业可以不只是将危害拦截,还可将危害者引诱至设计好的陷阱中对其进行分析与监控来了解危害目的、工具、方式甚至进行危害朔源让危害者无处可逃,陷阱不会被危害者发现,因为它看到的都是真实资产但是无价值,这就是欺骗系统达到的效果。也是在市场上对抗勒索软件最有效的方法。