“当我们没办法在技术上与勒索技术对抗,就要从业务上用逻辑对抗技术”是李宗晖应对勒索威胁的思路,作为一名安全架构师,他更擅长从业务视角解决终端勒索威胁。
5月12日,某企业安全架构师李宗晖在FreeBuf甲方社群第三场内部直播中担任主讲嘉宾,向大家分享安全业务视角下如何解决终端勒索威胁。
作为第三场内部直播,我们吸取前两次经验,进一步完善直播体验,对分享主题和分享时长都做了细微调整,其他环节如开场红包雨、主播互动抽奖、QA问答互动和结束抽奖保持不变。
面对高阶勒索病毒威胁,我们该如何应对?
目前,常见的终端安全产品一般包括杀毒软件、EDR、沙箱等。但无论是传统杀软还是EDR,面对最新勒索病毒时都存在大概率被绕过的情况。面对高阶勒索病毒时,我们应该如何应对?
首先,我们要清楚勒索病毒的业务流程,当病毒文件落地启动后,开始加密用户文件、横向扫描高危端口、执行勒索进程、展示勒索信件。在执行勒索后,病毒可能在加密、外泄文件之后删除原始文件。这一系列行为给用户文件带来巨大损失。
勒索病毒的特点就是加密和泄密。通过加密让文件不可用,通过横向蔓延批量投毒感染更多机器。即使找到解密工具或算法,也可以通过泄密的重要信息持续威胁赎金。
如果我们在技术上无法防御高阶的勒索技术,那可以从业务逻辑角度进行纵深防御。李宗晖总结了纵深防御的四个关键“进不来、拿不走、看不懂、不给钱”。
从威胁防御的三个环节(事前、事中、事后)来看,我们事前做好防护、事中及时止损、事后努力恢复做好复盘。
在事前的防护环节,企业要做到以下几点:
1、全员部署企业版杀软,且具备补丁推送和防勒索蜜文件功能,做好入口防护
2、基于业务和安全平衡后,对高危端口进行封堵,进行横向防护
3、在域控中做好弱口令的横向防护
4、在办公网络环境部署IDS
5、部署桌面管理,做好全员文档型文件备份和加解密,同时做好桌面监控,便于安全人员快速研判风险
6、办公网络和生产网络严格隔离
7、加强人员的安全意识
在事中的止损环节,一旦勒索病毒事件出现,安全人员要快速介入处置。结合杀软、桌管、IDS和防火墙进行快速应急响应,同时企业要及时向内部人员告警。
具体来说,杀软要做到基于病毒特征和加密行为特征进行及时告警;桌管要快速全局禁止病毒的运行权限,并基于桌管能力进行SOAR应急响应。核心处置原则是通过MD5、文件名对当前病毒进行封堵,避免恶意进程通过批量投毒、内网漏洞等手段在其他的终端设备上再次运行,掐断扩散的可能。最后,IDS和防火墙联合捕获和封堵外联IP。
在事后的恢复和复盘环节,企业需桌面运维介入彻底全盘重装办公软件环境、恢复文档型文件。在复盘时,要通过访谈用户、回看桌面监控等方式溯源本次中毒原因。其次,企业需要反推人员安全意识,增加摸底场景、培训课程和验证考题。此外,对于杀软能力,要反推厂商能力建设,增加当前拦截与家族态势的持续监测。
勒索威胁与攻防演练
QA问答环节,有用户提问**有哪些应对勒索威胁的经验可以应用到攻防演练中。李宗晖表示,企业要做好安全测试和安全配置,测试环境不要出现生产信息,例如账号密码等信息,以免被攻击方收集。同时,做好堡垒机、沙箱、EDR、杀软等安全配置。
他还提到,在攻防演练中,0day是很强的攻击手段,0day结合反弹shell很容易侵入底层;所以防守方应结合IDS、商用情报、入侵行为发生的事件来分析、响应甚至捕获0day。
对于to C企业来说,还要注意人员安全。李宗晖提到,有些企业的客服系统系外购,可能存在XSS或代码问题,容易被利用来投放木马攻击,企业一方面需要加强外购系统的代码审计、安全检测、线上防护,另一方面需要加强客服人员的安全意识与终端防护。
他还提到,WiFi安全也是很容易被忽略的一个环境。WiFi弱口令(域弱口令)容易被攻破,此外为了防止私搭无线或万能密码等工具,建议办公环境的WiFi网络开启准入+二次验证机制,做好vlan隔离。
最后,李宗晖还和主持人一起抽取了数位互动观众送出马克杯、电动牙刷、驱蚊器等精美礼品。
加入FreeBuf甲方社群
本期直播精彩回顾到此结束啦~此外,FreeBuf会定期开展不同的甲方社群直播,想了解更多话题和观点,快来扫码免费申请加入FreeBuf甲方群吧!
加入即可获得FreeBuf月刊专辑,还有更多精彩内容尽在FreeBuf甲方会员专属社群,小助手周周送福利,社群周周有惊喜,还不赶快行动?
申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入会员俱乐部
如有疑问,也可扫码添加小助手微信哦!