事件背景及影响面
据《金融时报》报道,2021年5月7日,美国最大的成品油输送渠道的运营商Colonial Pipeline公司遭黑客勒索软件攻击,黑客通过非法软件控制其电脑系统或数据。与此同时,5月10日,美国交通部联邦汽车管理局发布“区域紧急状态”,以避免管道关闭导致燃油短缺。
“暗面”勒索手法曝光,远程办公或是“祸源”
据路透社外媒消息,多方信源确认称,这起勒索软件袭击是一个名为“暗面”(DarkSide)的网络犯罪组织所为。 据有关消息,“暗面”在5月6日就侵入了Colonial Pipeline的网络,将近100GB的数据作为要挟筹码,并锁住服务器数据,索取赎金。 据悉,“暗面”组织虽成立不久,但组织成员经验丰富,此前已赚取数百万美元利润。 专家分析认为,Colonial Pipeline遭袭还是因为新冠疫情期间,很多工程师都在家远程工作,经常远程访问公司的控制系统,由此给了黑客可乘之机。 面对定向的勒索攻击,我们除了提高网络安全防范意识、加强安全运营管理能力、提升整体防护水平的同时,要以面对APT组织攻击的策略构建“主动+纵深”防御体系才能抵御当前网络攻击水平愈加高强的定向针对性勒索软件攻击。
运用零信任安全架构,防护远程办公“暗面”攻击
远程办公场景中,应对“暗面”攻击,采用“零信任”技术和策略,通过应用隐身,隐藏程序漏洞,即使存在漏洞,非授权用户无法看到业务系统,就无法扫描和利用漏洞。通过动态授权,持续评估终端用户身份的合法性,对接入的终端任意设备均加强验证管控,实现资产环境感知。采用端口敲门技术,仅允许合法客户端的流量通过,防止黑客通过高危端口在内网收集信息、利用漏洞、发起攻击。隔离核心资产,防止病毒横向移动和扩散。此外,访问过程全方位审计,通过访问行为审计、应用日志审计、应用调用审计、数据使用审计,实现数据流转的可视化,同时,针对“谁可以访问谁”、“什么数据可以被调用”的控制,来确保数据流转过程中的安全,实现资产动态防御的目的。
提升安全运营管理水平,精准感知“暗面”安全威胁
没有一劳永逸的方法预防勒索病毒,对于APT组织攻击策略的不断变幻,各行业和企事业单位需要实时洞察网络整体态势,梳理核心资产及网络配置,做到“知己知彼”,方能提高应急响应处置能力。 部署任子行网络安全威胁与事件管理平台,应用ATT&CK知识库的12步攻击链模型,精准分析客户内网已知、未知的安全威胁。采用资产主动被探测技术、流量安全分析检测技术、威胁情报分析技术、威胁文件还原技术等多种相结合的方法,对网络流量的深度包解析和流还原、异常流指纹特征比对实现终端设备异常行为检测,并结合威胁情报信息对终端危险通信记录告警,实现了网络各种威胁的全面有效检测,可将分析的安全日志、病毒文件等信息上报至平台存储,便于后期对攻击行为进行回溯分析和追踪溯源。
加强网络规划与管理,提升网络安全防范意识
面对复杂多变的各类网络威胁,仅仅依靠被动拦截是不够的,加强对关键基础信息安全防护,不断提升网络建设与管理水平,高度重视以网络资产为核心的安全系统建设,加强终端安全防御等关键基础信息安全建设迫在眉睫。同时,各行业用户及企事业人员需要提升网络安全防范意识,及时做好漏洞修复,提高密码强度,养成定期备份重要资料的行为习惯,共同抵御勒索攻击,共筑数字化转型时期的安全基石。
来源:freebuf.com 2021-05-24 16:47:52 by: 任子行
请登录后发表评论
注册