新型勒索病毒的整体安全检测防护解决方案
一.事件概况
某行业专网爆发勒索病毒变种
2018年8月22日,政府某垂管单位专网爆发勒索病毒变种。黑客通过对外发布web业务
系统入侵到专网内部网络,以RDP协议(windows系统远程桌面协议)口令爆破的方式获取远
程账号密码,之后黑客人工方式登录windows服务器上传病毒。本次事件涉及数十个业务系统
服务器被加密勒索,全国大部分省份相关单位都受到影响。
新型变种Globelmposter2.0隐蔽性较强
本次爆发的 Globelmposter 勒索病毒变种其加密文件为 RESERVE 扩展名,采用 RSA2048
算法加密文件,目前该病毒样本加密的文件暂无解密工具。 由于是采用人工正常登陆投毒的方
式,导致大量传统安全产品无法检测到这种新型病毒。
二.由勒索病毒反思网络安全建设
勒索病毒并非 APT 攻击,仅仅是病毒攻击行为,并不是不可防御的。并且,微软已在今年
4 月份发布了 SMB 漏洞的补丁,用户有足够的时间做好预防工作,为什么还有大量用户受影响?
并且其中还包括一些行业的与互联网隔离的专网。究其原因主要是以下几点:
1)大量用户缺乏全过程保护的安全体系
这起事件并非 APT 攻击或 0DAY 攻击,4 月就已经有了解决办法。但是大部分用户的安全
建设仅仅是在事中堆叠防御设备,缺乏事前风险预知的能力,使其没有提前部署好安全防护手段;
在威胁爆发后,又没有持续检测和响应的能力,使得这些客户在事件爆发前没有预防手段、爆发
中没有防御措施、爆发后没有及时检测和解决问题的办法。
2)忽视了内部局域网、专网和数据中心的安全防护
经过这段时间的响应,我们发现很多客户的威胁是与互联网相对隔离的内部网络中泛滥。比
如专网、内网、数据中心,这些区域过去被用户认为是相对安全的区域,很多客户在这些区域仅
仅部署了传统防火墙进行防护。但勒索病毒感染内部网络的途径很多,比如 U 盘等存储介质、
比如社会工程学,再或者是与 DMZ 间接相连的网络都可能成为来源。
3)过于复杂的安全体系,没有发挥应有作用
这起事件影响的用户中也不乏安全投入比较高、设备购买比较齐全的用户。但是过于复杂的
体系,使得安全设备并没有用好,没有及时更新,没有及时获取到安全事件等。用户通过复杂的
体系,需要运维很多设备,并且看到的是碎片化的日志。复杂的体系和过多无效信息,使得很多
用户丧失了对安全的信任,并没有很好的把安全设备用起来,这也是造成用户被感染的原因。
三.事前防护+事中监测+事后处置的整体安全解决方案