欢迎访问电脑商情在线! 请免费注册
分享到





位置:首页 > 安全 > 热点资讯

警惕!勒索软件正以“家贼”方式出现……

作者: 王海峰   责任编辑:张琳 2016-12-09 15:53:30
来源:DT时代关键字:勒索软件,安全,LANDESK

当人们正在开始黑色星期五大采购时,当天美国旧金山市交通局内部系统遭遇黑客的勒索软件攻击,一些地铁车站售票机的显示屏上出现了 " 你已被黑,所有数据已被加密 " 的信息,黑客还留下了与其联系用的邮件地址。黑客索要 7.3 万美元,以换取数据解密。

以往我们遭遇过耳熟能详的是病毒、蠕虫、木马、钓鱼、垃圾等威胁,如今,在网络黑客的众多牟利手段当中,勒索软件成为近年数量增加最快的电脑网络威胁之一。

黑客通常为隐藏踪迹而要求用户以电子货币方式支付赎金,以换取解密电脑数据所需电子“秘钥”。据统计,现在全球黑客借助勒索软件每年得手金额合计数亿美元。

勒索软件和以往的威胁有何不同?以下两幅图可以形象的说明。

以往的流氓在家门外,通过防火墙或者病毒库可以阻止其进入,现在流氓绕过防火墙直接进入家里。对于企业来说,一旦被这种流氓盯上,是没有任何办法的!!!

那么,由外到内的攻击可以阻挡,企业如何防止这种由内而发的威胁呢?变被动为主动,聪明的企业必须要学会应对。

流氓不仅邪恶还专业

如今,当我们满足于数据的无处不在以及随时随地的访问时,面临的网络威胁也正呈指数级增长。

数据访问和网络威胁的发展态势呈现出一个螺旋式相互交织的特征,根据一些网络安全专家的预计和分析,在众多的网络威胁当中,勒索软件的威胁在未来数年之内都难以平息。

首先,网络威胁的数量逐年上升,种类也很繁杂。比如存在多年的ProSack,黑客现在仍然不断更新和改进,还有在中国流行的恶意软件ICM。

第二,在网络威胁不断演进过程中,勒索软件的入侵途径变得越来越复杂。

以往病毒入侵途径是从外到内的,那么作为企业来说可以通过防火墙,病毒引擎,病毒库等方法抵挡得住。

但勒索软件比一般的病毒更加恶劣邪恶,内部勒索软件开发者会采取各种方式来绕过检测手段,不通过这道防线,伪装成合法的对象到企业系统当中内部攻击,企业用户会在不注意的情况下打开。

比如通常会通过受感染的邮件附件,被篡改的网站或网页广告散布,倘若企业用户不注意执行了代码,那就意味着绕过公司的防线,

第三,如果不幸被勒索,企业毫无办法。

企业现在虽然从边界上建了坚固的防火墙,但再好的防火墙防不住内贼,因为勒索软件已经存在,病毒可以杀,勒索软件会对用户电脑上的文件进行加密,最关键的是这类恶意软件不断威胁企业的数据库,企业业务系统的文件。

除非受害者交付特定数额的赎金,甚至连 FBI 也会建议受害者支付赎金,否则受影响的文件将会一直处于不可用的状态。

美国联邦调查局(FBI)在 2015 年就收到了 2500 份与勒索软件攻击相关的投诉,这些个案涉及约 2400 万美元的经济损失。

而在中国传播的勒索软件,从过去的可以忽略不计,增长到如今的数以万记,成为勒索软件感染最严重的10大国家之一,主要通过电子邮件、URL、文件这三种方式进行传播。

(从国内一家机构对勒索软件风险研究显示,从去年九月到今年的6月监测的十个月内,中国勒索软件数量增长更是突破了67倍)

诸如现代加密、TOR 网络和虚拟货币(比特币)等技术为勒索软件的肆虐提供了支持,这些技术能够帮助黑客更加高效地部署攻击和隐藏自己的踪迹。

当然,企业可以选择为文件保留离线的备份,这样你不需要支付赎金也能恢复被劫持的文件,我认为这也的确有效。但是!仔细分析,如果被勒索软件攻击,造成的停工损失甚至会高于赎金本身,所以企业还是需要主动出击。

勒索软件入侵途径如此复杂,“检测并响应”模式对勒索软件的作用不大,那怎么办?如何快速高效的甄别出来呢?

火眼精金  辨真自然就除伪

既然勒索软件开始运行,一切就都为时已晚。那最好的办法就是不让勒索软件开始运行。

举个例子,我不需要认出来谁是流氓,我只要识别出谁是好人不就可以了嘛?企业只要不让流氓出现在运行的软件列表当中,勒索软件不就无法使坏了吗?

还真可以!比如LANDESK(蓝代斯克)的安全配置解决方案中,很多方案就是专门防止从内到外的威胁。

据LANDESK中国首席架构师罗琦介绍,LANDESK的管理方式和管理逻辑主要是:通过检测,只允许合规和授权的白名单软件在终端上运行,不在合法名单中的软件不能执行,用户非法执行时进行阻断并报警。

但是,企业合法软件和用户的自有软件不断更新,企业选用LANDESK后如何实时甄别呢?

首先,LANDESK具备学习模式:系统会自动采集一定时间内所有的程序执行情况,包括文件特征信息,不需要手动进行,节省了大量合法程序的取样时间。

第二,LANDESK具备成熟的软件白名单技术,支持对白名单列表的程序进行HASH值检测,支持绿色软件使用控制。

信任签名技术:可以设置信任的软件供应商的数字签名,带有合法数字签名的程序,可以跳过保护,自动进入合法列表,比如操作系统补丁,杀毒软件的病毒库升级等常见更新

这样,勒索软件可以伪装,但无法伪装合法软件的底层特征值,LANDESK的识别机制可以区别出来真正的合法合规的软件,继而判断出不合规的软件。

在我看来,就面对勒索软件而言,LANDESK的优势就是针对性的通过优化白名单管理模式防勒索软件;另外,病毒是有特征的,根据病毒特征制定方案会有相应的滞后性,LANDESK更简单主动,企业选择LANDESK后只需关注安全的,而不用关注不合规的软件。

魔高一尺   道高九丈

其实LANDESK这家企业的解决方案,涵盖统一的端点管理、安全配置管理、资产管理、IT服务管理。(请参照之前介绍:有一种IT是别人家IT? 必须破!

而在LANDESK安全配置管理解决方案当中,针对防勒索软件以及企业的网络安全保护,是多层次多样性的,比如有九大措施帮助用户多层次的防范勒索软件。

第一大措施就是LANDESK交付完整灵活的补丁解决方案,为关键操作系统和应用安装补丁,给企业设置了第一道防线。

第二大措施则是能与所有的杀毒软件供应商适配,确保杀毒软件更新至最新版本,并已计划定期扫描。

第三大措施从管理特权帐户的使用入手,最大程度地减少特权是防范特定类型的勒索软件的重要战术。

第四大措施在于LANDESK 安全解决方案能够提供不同类型的访问控制,重点还在于保护客户的数据,而不是这些用户的权限。

第五大措施是LANDESK 软件还可以让用户轻松制定、实施和执行管理其他软件行为,可以限制指定系统执行、创建、修改或者读取任意文件或者特点文件夹中文件的能力。

第六大措施在于可以禁止使用来自Microsoft  Office文件的宏指令,当勒索软件利用Microsoft  Office宏指令攻击用户,通过 LANDESK 安全套件禁用宏指令。

第七大措施则是前面提到的LANDESK实施应用白名单防止勒索软件运行。

另外在外设上,罗琦介绍,LANDESK还可以通过全面的设备类型管理列表、灵活的USB管理策略、多样化的例外设置、安全的文件拷贝审计使得客户外设使用控制在安全范围之内。

值得一提的是,LANDESK收购在安全领域另外一家供应商AppSense后,在安全管理领域的方案更加全面,AppSense解决方案中包括环境管理,性能管理,应用管理,数据同步以及数据分析几大模块组成。

第八大措施就是将用户限定在虚拟化或者集装化的环境中,比如针对企业的虚拟化桌面环境,无论是VMware还是Ctrix还是HyperV,

Appsense都能集成支持;在功能性,兼容性以及性能上都是专门针对虚拟化环境优化的。

第九大措施就是经常备份关键文件维持业务的连续性。

在我看来,无需单独依靠备份软件来预防对抗勒索软件,LANDESK多层次的的网络安全方案,让企业可以实现多样性的安全控制,不仅可以管理端口升级、检查入口指令,还可以帮助企业管理黑白名单,从外设设备到软件管理,再到虚拟化环境防御做到全方位防范勒索。

这样,即便变种的勒索软件如何更新,流氓再强大,用何种方式入侵,企业用高效直接的方案,辨真除伪,终归能岿然不动。

网友评论(0) 评论仅代表网友个人观点,不代表CBINews观点。
CBINews网友您好,欢迎发表评论:(注册 后发表评论,可就本文发起辩论,将会获得更多关注)
 CBINews网友  注册邮箱:  

CBI 友情链接:

腾讯科技 |  凤凰科技 |  商业伙伴 |  移动信息化 |  企业网 |  中国软件网 |  CIO时代网 |  更多>>

CBI集团其它网站:

电脑商情在线 | 存储伙伴 | 服务器伙伴 | 中小企业IT网

CBI 地方分站:

上海 |  广州 |  成都 |  西安 |  沈阳 |  武汉 |  南京 |  重庆 |  长沙 |  济南 |  太原 |  合肥 |  长春  |  杭州 |  昆明 |  南宁 |  哈尔滨 |  兰州 |  乌鲁木齐 |  福州 |  郑州 |  贵州

整合营销 |  CBINews刊例 |  《电脑商情报》刊例 |  联系方式 |  版权声明 |  友情链接

内容版权所有:电脑商情在线 北京米迪亚广告有限公司

地址:北京市海淀区中关村南大街28号6层 联系电话:(010)62178877-218

商务、内容合作QQ:15528356 客服电话:800-886-4689

电脑商情信息服务集团 成都华好网景科技有限公司

ICP证:川B2-20070068-5 川预审H8VZ-RBP6-X228-T60Z号 北京市公安局海淀分局备案编号:1101083710