勒索软件攻击导致美国进入“紧急状态”，明朝万达提醒企业网络安全建设刻不容缓 – 作者:Wondersoft

伴随着互联网的深入发展，以勒索软件为代表的恶性网络攻击事件日渐增多，如WannaCry勒索软件及其变种自2017年5月份以来在全球范围内大规模肆虐，百余个国家的网络和重要数据曾遭到破坏。

近日，美国最大的输油  道商Colonial Pipeline遭遇了来自勒索软件的网络攻击，被迫紧急下线关闭部分网络设备，导致美国东部沿海各州供油的关键燃油网络陷入瘫痪，美国也因此宣布进入国家紧急状态。

该事件的发生再一次为人们敲响网络安全的警钟：企业网络安全防护时刻不能松懈！

受类似事件影响，近年来国家不断完善网络安全相关立法，从法律层面对网络安全管理、数据安全管理等提出了更高的要求规范。在金融、电信、医疗、电力、制造等关系国计民生的重要行业大力推广网络安全建设，通过多年的努力，企业防勒索软件攻击的能力得到显著提升。

知识拓展：勒索软件的基本原理是将病毒代码伪装后利用系统软/硬件漏洞、软件供应链攻击、蠕虫病毒、无文件攻击技术等非法手段，尽可能广泛的传播并感染终端电脑。一旦感染终端后立即对本地文件进行不可逆加密，对用户数据造成无法预估的损失；同时感染终端会主动扫描局域网内的其它终端进行传播，对企业正常的生产、运营造成重大挑战。

作为国内信息安全技术企业的代表厂，明朝万达在WannaCry勒索软件传播伊始便投入了安元实验室的骨干研究员对其原理与运行机制进入了深入分析。

信息专家通过分析勒索软件本身的执行过程得知，勒索软件对文件进行加密的前提是必须拥有文件的编辑权限。对于文件的编辑权限，操作系统目前提供了两层管理机制：第一层是基于用户的管理，鉴于目前终端登录用户基本都是运行在最高权限，勒索软件基本上可以直接利用此权限进行破坏，无法进行有效的管控；第二层是进程对文件的权限，当进程对文件进行操作时可以对其操作权限进行控制，可以在本层面上对勒索软件进行防护。

在深入分析勒索软件的工作原理的基础上，公司基于“主动防御，彻底阻断”的设计思路，于2017年底正式推出了针对性的防护产品：Chinasec（安元）数据安全保镖。

本产品将重要路径下的文件与合法进程绑定，只有合法进程才能够拥有文件的所有操作权限，非法进程无法对目标文件进行编辑，继而达到防止勒索软件进程对文件进行破坏的目的。

产品功能

针对勒索软件的攻击，数据安全保镖可以为用户提供以下防护功能：

▪  支持关键目录安全防护

产品支持将终端上的关键目录设置为安全防护目录，只有白名单进程可以对防护目录中的文件执行读写等文件操作，其它任何进程对防护目录下的文件只有读权限。这样就阻断了勒索软件对防护目录的文件内容进行非法加密的攻击链，达到对防护目录中文件的保护目标。

▪  支持策略管理功能

支持对当前终端上防护目录的添加、修改与删除、启用与停用等控制功能；支持对白名单进程进行添加、修改与删除功能。

▪  支持对防护路径非法访问记录审计日志

支持对终端进程访问受保护路径的文件进行日志记录，并着重审计非白名单进程对防护目录中文件的读取情况。

▪  统计展示功能

支持通过客户端首页展示当前终端的安全防护记录情况，支持展示终端安全防护路径数量、白名单进程数量、防御的非法操作次数等信息。

产品特性

▣ 主动防御机制

产品基于勒索软件对文件的操作行为出发，摒弃传统针对病毒特征繁琐的侦测判定方法，禁止了一切可疑进程对文件的操作，无论是已知病毒或是未知病毒，都无法对文件造成损害。

▣ 防护效果支持全部文件类型 

产品是针对防护路径做了有效的权限防护，和防护路径下的文件格式无关。对于特殊的文件格式也无需进行定制化的适配。

▣ 操作便捷

产品在使用过程中只需要设置简单的防护路径、白名单进程列表等策略即可达到防御效果，使用简便。

来源：freebuf.com 2021-05-12 10:38:44 by: Wondersoft