當(dāng)前，勒索攻擊、僵尸網(wǎng)絡(luò)攻擊、DDos攻擊、APT攻擊、挖礦攻擊、供應(yīng)鏈攻擊、網(wǎng)站攻擊、電信詐騙等各種攻擊手段層出不窮。

勒索攻擊應(yīng)該是今年網(wǎng)絡(luò)安全行業(yè)討論最多的話題，勒索錢(qián)財(cái)或者竊取商業(yè)數(shù)據(jù)是黑產(chǎn)最主要的目的。

全球幾乎所有國(guó)家的政府、金融、教育、醫(yī)療、制造、交通、能源等行業(yè)均受到影響。在不久前閉幕的 G20 峰會(huì)上，中美俄甚至攜手 15 國(guó)共同舉行了以防范勒索攻擊為主題的網(wǎng)絡(luò)安全演習(xí)。

基本上有互聯(lián)網(wǎng)的地方就可能存在勒索攻擊。勒索攻擊已經(jīng)成為未來(lái)一段時(shí)期各大企業(yè)網(wǎng)絡(luò)安全的主要威脅。黑客善于利用各種偽裝達(dá)到入侵企業(yè)的目的，任何一個(gè)經(jīng)過(guò)包裝的垃圾郵件、網(wǎng)頁(yè)廣告、系統(tǒng)漏洞、U盤(pán)等都可能讓企業(yè)的安全防護(hù)功虧一簣。

據(jù)某安全公司統(tǒng)計(jì)，我國(guó)其每年接到并處理的勒索攻擊事件依然多達(dá)4000余，受害企業(yè)面臨著重要數(shù)據(jù)資產(chǎn)被盜和泄漏的嚴(yán)重后果，輕則造成業(yè)務(wù)停頓，重則被迫繳納巨額贖金。

勒索攻擊泛濫的一個(gè)主要原因在于，RaaS(Ransomware as a Service，勒索即服務(wù))模式大幅降低了攻擊團(tuán)伙的技能門(mén)檻，而上下游協(xié)同又進(jìn)一步促進(jìn)了勒索軟件的技術(shù)發(fā)展。

勒索軟件技術(shù)發(fā)展主要有三大特點(diǎn)：

對(duì)抗性高：從大多數(shù)勒索攻擊全過(guò)程來(lái)看，黑客分階段使用了加密、免殺、逃逸等技術(shù)，對(duì)抗能力不斷提高。

勒索攻擊 APT 化：勒索攻擊團(tuán)伙更具耐心，為獲取有價(jià)值資產(chǎn)，其入侵與滲透過(guò)程甚至可長(zhǎng)達(dá)數(shù)周乃至數(shù)月，這與 APT 攻擊特點(diǎn)趨同。

靜態(tài)防御見(jiàn)效難：針對(duì)勒索攻擊各階段攻擊手法，單一安全產(chǎn)品很難完整覆蓋，靜態(tài)依靠規(guī)則檢測(cè)的防御手段越來(lái)越難防范勒索攻擊。

面對(duì)勒索攻擊技術(shù)的不斷發(fā)展，目前有效的防御手段主要包括：

一、攻擊面收斂。

網(wǎng)絡(luò)攻擊無(wú)孔不入，攻防雙方真正的較量從入侵環(huán)節(jié)開(kāi)始。

勒索攻擊通常采用 RDP 爆破、僵尸網(wǎng)絡(luò)與 Web 滲透(典型如漏洞利用)網(wǎng)絡(luò)釣魚(yú)、等方式入侵，其中 RDP 爆破與網(wǎng)絡(luò)釣魚(yú)是主流入侵手段，但勒索攻擊軟件也正快速集成并豐富 Web 滲透等入侵技術(shù)。要防范被入侵，首先要做好攻擊面收斂與管理，盡可能減少暴露資產(chǎn)。

那么就要求企業(yè)進(jìn)行更精細(xì)的資產(chǎn)管理，杜絕存在弱密碼的操作系統(tǒng)賬號(hào)、開(kāi)放端口、不當(dāng)配置等;同時(shí)企業(yè)也需要實(shí)時(shí)檢測(cè)各類(lèi)操作系統(tǒng)、中間件及上層應(yīng)用漏洞信息，及時(shí)更新補(bǔ)丁，避免被黑客利用。還要從攻擊者視角去審視企業(yè)存在的攻擊面與入侵路徑，比如可以通過(guò)使用紅隊(duì)評(píng)估服務(wù)，讓企業(yè)安全狀態(tài)保持在一個(gè)較高水準(zhǔn)。

全面的攻擊面管理與收斂可以盡量避免入侵，但并不能完全杜絕，畢竟業(yè)務(wù)正常運(yùn)行，為用戶提供服務(wù)，互聯(lián)網(wǎng)之上的數(shù)字資產(chǎn)必不可少。入侵并不可怕，只要在事中能及時(shí)阻斷攻擊，同樣能保護(hù)企業(yè)數(shù)字資產(chǎn)安全。

二、事中檢測(cè)響應(yīng)

勒索團(tuán)伙攻擊所使用的工具是勒索軟件，無(wú)論其攻擊技術(shù)多么高明，都必須依仗惡意軟件來(lái)完成攻擊。而不同勒索團(tuán)伙所使用的惡意軟件功能大致相同，比如弱口令爆破工具、橫移工具、內(nèi)網(wǎng)探測(cè)工具、憑據(jù)竊取工具、勒索主體軟件等。如果能在惡意軟件寫(xiě)入主機(jī)硬盤(pán)時(shí)就響應(yīng)，就可以很大程度上阻斷勒索攻擊的后續(xù)過(guò)程。

然而，每種類(lèi)型工具都有相應(yīng)的變體軟件，有的甚至還可能使用了移除特征碼、加密、免殺、逃逸等技術(shù)，那么單一檢測(cè)工具就很難完全抵御勒索攻擊。

那么威脅情報(bào)可以幫助企業(yè)更高效地應(yīng)對(duì)勒索攻擊等新型威脅，

三、事件聚合

一些高明的黑客攻擊能繞過(guò)基于規(guī)則的靜態(tài)檢測(cè)技術(shù)，但黑客攻擊的行為特征卻不會(huì)改變，一定會(huì)產(chǎn)生異常行為，比如提升權(quán)限、關(guān)閉安全軟件、刪除文件等。那么通過(guò)行為特征檢測(cè)(IOA)理論上是可以有效檢出高明、隱蔽的黑客攻擊的。不過(guò)大多數(shù)都行為特征檢測(cè)都是單點(diǎn)檢測(cè)，也就是告警孤立、缺乏上下文聯(lián)系，需要人工二次研判，但是面對(duì)成百上千臺(tái)，乃至上萬(wàn)臺(tái)主機(jī)的異常行為告警，很容易被告警淹沒(méi)，從而 “抓不住” 真正有價(jià)值的告警。但如果以事件為維度統(tǒng)一查看、處理威脅，便可以有效的解決告警基數(shù)大、誤報(bào)多、不可讀的問(wèn)題。

最后，企業(yè)想要構(gòu)建有全面威脅應(yīng)對(duì)能力的整體網(wǎng)絡(luò)安全防護(hù)體系，還需要系統(tǒng)性建設(shè)思維，比如企業(yè)辦公網(wǎng)已經(jīng)日漸成為黑客最頻繁利用的風(fēng)險(xiǎn)點(diǎn)，終端安全建設(shè)的重要性日漸突出，不可忽視。

廈門(mén)電信高防服務(wù)器如何防御DOSS攻擊?

L5630X2 16核 32G 240G SSD 1個(gè)ip 30G防御 30M獨(dú)享 廈門(mén)BGP

E5-2690v2X2 40核 64G 500G SSD 1個(gè)ip 30G防御 30M獨(dú)享 廈門(mén)BGP

L5630X2 16核 32G 240G SSD 1個(gè)ip 100G防御 50M獨(dú)享 廈門(mén)BGP

E5-2690v2X2 40核 64G 500G SSD 1個(gè)ip 100G防御 50M獨(dú)享 廈門(mén)BGP

I9-9900K(水冷定制) 32G(定制) 512G SSD(調(diào)優(yōu)) 1個(gè)ip 100G防御 50M獨(dú)享 廈門(mén)BGP

I9-10900K(強(qiáng)勁水冷) 64G(定制) 1T SSD(調(diào)優(yōu)) 1個(gè)ip 100G防御 50M獨(dú)享 廈門(mén)BGP

E5-2698v4X2 80核(戰(zhàn)艦級(jí)) 64G 512G SSD(調(diào)優(yōu)) 1個(gè)ip 200G防御 50M獨(dú)享 廈門(mén)BGP

E5-2660X2 32核 32G 500G SSD 1個(gè)ip 300G防御 100M獨(dú)享 廈門(mén)BGP

縱橫數(shù)據(jù)專(zhuān)業(yè)提供高防服務(wù)器租用，包含美國(guó)高防服務(wù)器租用、韓國(guó)高防服務(wù)器租用、香港高防服務(wù)器租用、宿遷高防服務(wù)器租用、濟(jì)南高防服務(wù)器租用、東莞高防服務(wù)器租用、廈門(mén)高防服務(wù)器租用、泉州高防服務(wù)器租用、青島高防服務(wù)器租用、寧波高防服務(wù)器租用、揚(yáng)州高防服務(wù)器租用、杭州高防服務(wù)器租用、江蘇高防服務(wù)器租用等，有需要的朋友可以咨詢我們，官網(wǎng)注冊(cè)地址：http://666323.cn/，QQ：3494196421，微信：19906048603。