根據卡巴斯基進行的一項研究顯示,勒索軟件感染在過去12個月中下降了30%。這種下降與現在流行的加密貨幣價格密切相關。

然而,這并不意味著企業安全工程師和首席信息安全官可以高枕無憂。勒索軟件仍然是最受歡迎的攻擊活動之一,也是最具破壞性的攻擊活動之一。根據有關報告,勒索軟件攻擊對中小型企業很具有破壞性。調查了2,400多個中小企業和超過50萬家托管的服務客戶。統計數據顯示,在2016年第二季度至2018年第二季度期間,79%的中小企業受到了勒索軟件的影響。這些中小型企業通常沒有足夠的安全預算和員工來實施復雜的預防和檢測解決方案,以對抗勒索軟件攻擊。

勒索軟件

傳統上,大多數組織依賴基于簽名的檢查或基于沙箱的啟發式解決方案來檢測和防御勒索軟件。盡管這些仍然是最佳實踐企業安全架構中的重要組成部分,但它們也存在一些重大缺陷,使得它們無法有效地檢測一些最新和最復雜的勒索軟件。

對于初學者來說,每天都會出現太多新的勒索軟件變種。基于沙箱的解決方案通常部署在邊緣,并監控來自互聯網的流量。但是,使用網絡釣魚和沙箱逃避技術等社會工程技術可以完全繞過周邊。此外,處理零日勒索軟件攻擊無效,更不用說互聯網流量被加密多次,這使得人們更難以看到里面實際的有效載荷。

在檢測勒索軟件方面,欺騙確實可以改變游戲規則。勒索軟件檢測的工作方式通常是將一些隱藏的文件作為面包屑的一部分部署到企業環境中的端點和服務器上。當勒索軟件感染主機時,它將執行一系列操作,例如加密受感染主機上的文件,刪除影子備份,創建持久性注冊表項,按字母順序或以相反順序加密映射驅動器。

不同的安全解決方案使用不同的檢測方法。惡意活動會立即觸發管理控制臺上的事件,表明勒索軟件已經引爆。可以利用集成的第三方工具執行自動事件響應,例如隔離受感染的主機以防止勒索軟件在整個環境中傳播。

顯然,勒索軟件運行速度很快,因此快速檢測活動并以足夠的信心以自主方式行動是最佳選擇。一些受害者需要數月才能從這些類型的毀滅性襲擊中恢復過來。

與其他傳統的檢測解決方案相比,基于欺騙的檢測具有一些獨特的優勢:

  • 無論勒索軟件攻擊源自何處或引爆位置,都可以在整個環境中提供全面保護。檢測與操作系統類型,文件格式,傳送方法,加密算法等無關。

  • 檢測惡意行為適用于零日攻擊和新變種工作,高交互蜜罐具備高可定制化能力,可以部署用戶真實操作系統、業務軟件環境,再通過HIDS技術即可有效感知0day等未知威脅的入侵,這也是欺騙技術核心價值之一。

  • 高保真和低誤報警,非常快速準確的檢測。蜜罐技術基本都是對實時攻擊行為結果進行感知,加密流量進入蜜罐后會被還原,不依賴特征庫,無論特征如何變化、病毒如何變形,蜜罐只對其行為進行監控,并且監控覆蓋范圍廣,所以誤報概率極小。再加之蜜罐并不屬于真實主機,即使發生誤報其影響面幾乎為零。

欺騙還可以檢測內部網絡上的許多其他惡意活動,例如橫向移動,未知威脅檢測發現能力,數據泄露等。我們的有影內網威脅感知系統是一個領先的欺騙平臺,提供上述所有這些功能,并且欺騙技術可檢測被傳統安全措施所忽略的信息,并加速自動攻擊分析和事故處理事件響應。企業可以通過欺騙將主動權掌控在自己手中,當攻擊發生時,企業可以不只是將攻擊攔截,還可將攻擊者引誘至設計好的陷阱中對其進行分析與監控來了解攻擊目的、工具、方式甚至進行攻擊朔源讓攻擊者無處可逃,陷阱不會被攻擊者發現,因為它看到的都是真實資產但是無價值,這就是欺騙系統達到的效果。也是在市場上對抗勒索軟件最有效的方法。