基于殺傷鏈的勒索軟件防御指南 -勒索軟件攻擊防御技術方案 基于殺傷鏈的勒索軟件控制框架 202501

基于殺傷鏈的勒索軟件防御指南當前，勒索軟件仍然是最具影響力的網(wǎng)絡攻擊形式。為了讓企業(yè)能快速落地防勒索能力，本報告提供了實戰(zhàn)化的勒索攻擊防御技術方案，讓有效的安全能力快速發(fā)揮效果。同時，本報告提出一個系統(tǒng)框架，指導組織采取具體步驟和方法路勒索攻擊殺傷鏈勒索軟件控制框架基于勒索軟件攻擊殺傷鏈，分析攻擊者端到端的攻擊步驟與相互關系，同時我們將ATT&CK策略整合到殺傷鏈模型中，描述攻擊者特定的戰(zhàn)術、技術和程序（TTP）。組織通過映射勒索軟件殺傷鏈，了解威脅和風險節(jié)勒索攻擊殺傷鏈勒索攻擊防御體系勒索攻擊防御體系\\\\\\\\\基于殺傷鏈的勒索軟件防御指南層層遞進有效的勒索檢測體系通過“勒索攻擊殺傷鏈”可以發(fā)現(xiàn)，應對勒索攻擊的關鍵在于預防，重點在于檢測響應，“絕殺手段”為阻斷約束，由于不同的安全防護措施在勒索軟件攻擊的不同階段發(fā)揮不同程度的作用，通過梳理勒索軟件典型安全防護措施，與勒索攻擊過程形成映射，圍繞勒索軟件攻擊預防、檢測響應、阻斷約束、恢復重建四個階段，打造全鏈路的勒索軟件攻擊 該方案覆蓋勒索攻擊全周期，在勒索攻擊鏈各個階段均部署應對技術能力，建立勒索事件層層遞進有效的檢測響應體按照勒索病毒攻擊“事前、事中、事后”三個階段，從預防、檢測響應、阻止約束、恢復重建四個方面防范化解攻擊在勒索攻擊預防階段，主要從資產(chǎn)管理、高風險漏洞管理等方面采取措施，如實現(xiàn)常態(tài)化、動態(tài)化業(yè)務資產(chǎn)管理，進/////////基于殺傷鏈的勒索軟件防御指南建立常態(tài)化資產(chǎn)臺賬和動態(tài)化更新機制，覆蓋總部和境內(nèi)外分支附屬機構的各類互聯(lián)網(wǎng)應用系統(tǒng)。構建軟件資產(chǎn)自動化收集能力與資產(chǎn)信息及時更新能力，為開展7×24威脅監(jiān)測和事件處置，常態(tài)化開展資產(chǎn)及互聯(lián)網(wǎng)被動上報業(yè)務特業(yè)務特Agent每天對業(yè)務資產(chǎn)進行信息采集，建立常態(tài)化資產(chǎn)臺賬及動態(tài)化更新機通過識別服務器內(nèi)資產(chǎn)特征（服務器Con?uence遠程代碼執(zhí)行漏洞Con?uencemacropreview模板注入漏洞……公安部啟動了“兩高一弱”專項行動，旨在檢測并修復高風險漏洞、高風險端口及弱密碼問題。因此，該方案針對勒索專項風險，實現(xiàn)企業(yè)攻擊面持續(xù)檢測、弱口令智能分析、修復進度閉環(huán)管理等安全能力，全面治\\\\\\\\\基于殺傷鏈的勒索軟件防御指南威脅檢測在實戰(zhàn)中一般分為已知特征檢測、已知行為檢測、未知行為檢測三個層次，復雜度逐步增加，該方案威脅檢\最終無法防御已知特征的勒索檢測主要利用多檢測引擎實現(xiàn)防病毒查殺，并實現(xiàn)動態(tài)落盤查殺+靜態(tài)掃描查殺●病毒木馬多檢測引擎：整合多個殺毒引擎，并包括自研殺毒引擎，查殺率高，對挖礦木馬●動態(tài)落盤查殺+靜態(tài)掃描查殺：支持對所有可疑落盤文件進行落盤查殺，掃描是否存在文件特征切片Cry文件特征切片Crye()勒?lefest本、、樣本切片樣本切片防勒索攻擊系統(tǒng)防勒索攻擊系統(tǒng)……..……..……..通過勒索家族軟件已知攻擊行為的分析，以及大量常規(guī)攻擊檢測能力的積累，針對經(jīng)常出現(xiàn)的行為提供專已知攻擊位置設置檢測錨點，或對某類已知攻擊鏈路設置連續(xù)檢測點，●惡意行為識別特定勒索攻擊：在一些定向勒索或APT級定向攻擊中，攻擊樣本通常會對系統(tǒng)中本身存在的備份、卷影機制等進行刪除，避免業(yè)務恢復。通過大量的勒索、挖礦等應急的實例，份刪除機制配置監(jiān)測點，當有攻擊者或攻擊軟件對這些錨點進行劫持時會觸發(fā)探針的行為監(jiān)控行為監(jiān)控行為監(jiān)控…\\\\\\\\\ W W W W……未知行為檢測主要通過智能誘餌精準定位文件加密階段行為，并利用行為白名單構建數(shù)據(jù)庫勒索專項模型●靜態(tài)/動態(tài)誘餌雙管齊下：純動態(tài)誘餌無法讓探針自動化的理解業(yè)務信息，實現(xiàn)誘餌的精準投放，純靜態(tài) ●行為白名單與數(shù)據(jù)庫勒索專項模型構建：防勒索軟件通過監(jiān)測并學習主機上的進程創(chuàng)建、文件執(zhí)行和外部連接等行為數(shù)據(jù)，利用科學算法對大量行為數(shù)據(jù)進行聚合與分析，從而形成于資產(chǎn)清點的相關優(yōu)勢，自動識別數(shù)據(jù)庫進程位置，學習正常進程對數(shù)據(jù)庫文數(shù)據(jù)源數(shù)據(jù)模型建設數(shù)據(jù)模型治理/////////基于殺傷鏈的勒索軟件防御指南勒索病毒攻擊…… 當發(fā)現(xiàn)勒索攻擊事件時，首先需要進行勒索攻擊阻斷，通過文件隔離、進程阻斷、網(wǎng)絡隔離等手段，層層加碼精準隔勒索病毒攻擊…… 在勒索攻擊阻斷階段，企業(yè)應強化突發(fā)事件應急處置能力，將攻擊造成的影響降到最低。企業(yè)一旦發(fā)生勒索軟件攻擊事件，立即按照網(wǎng)絡和數(shù)據(jù)安全事件應急處置管理要求和應急處置流程，啟動勒索軟件攻擊應急響應預案，斷開網(wǎng)絡連接，隔離被感染主機，阻斷網(wǎng)絡傳播途徑，修復網(wǎng)絡安全漏洞，盡快利用備份系統(tǒng)進行數(shù)在勒索攻擊恢復階段，該方案可通過密鑰截取和解密，實現(xiàn)勒索加密數(shù)據(jù)還原。通過安全研究團隊對近百種勒索家族的樣本分析，在病毒程序啟動時進行行為劫持，捕獲加密操作或生成秘鑰的操作行為，結合安全研究團隊維護的勒索家族規(guī)則（已知病毒的加密規(guī)律、加密位置、加密算法）或加密行為（加密大小、二進制數(shù)），勒索秘鑰文件秘鑰勒索軟件攻擊實施階段，在RSA秘鑰加密前，通過注入hook手段，獲取病毒程序生成的加密密鑰，或者通過在流量層進行秘鑰數(shù)據(jù)劫持，結合維護的病毒規(guī)則或者加密行為，即使真正的發(fā)生勒索事件，可將劫持后的\\\\\\\\\基于殺傷鏈的勒索軟件防御指南防勒索方案通過多種創(chuàng)新優(yōu)勢能力，包括強化基于函數(shù)特征的檢測能力、勒索專項行為檢測能力、數(shù)據(jù)庫專項行為學習能力、動態(tài)勒索誘餌防護能力、密鑰截取和解密能力等，構建了一個多層次、全方位的防勒索檢測防御體系，提高勒索●AI函數(shù)檢測引擎：補充傳統(tǒng)病毒查殺檢測引擎的檢測能力，基于函數(shù)特征檢測文件，解決家族型勒索軟件變形的檢●動態(tài)勒索誘餌：解決靜態(tài)誘餌方案部署實施困難的問題，簡化實施復雜度，減少磁盤需要部署的文●更多勒索專項行為檢測：針對勒索會出現(xiàn)的實際攻擊行為頻率，提供更具針對性的行為檢測，可更早發(fā)現(xiàn)各類高?！駭?shù)據(jù)庫專項行為學習：基于資產(chǎn)清點的相關優(yōu)勢，自動識別進程位置，學習正常進程對數(shù)據(jù)庫文件的操作行為，從●密鑰截取和解密：通過在病毒程序啟動時進行行為劫持，捕獲加密操作或生成秘鑰的操作行為，結合安全研究團隊在加速構建的數(shù)字化新場景下，面對更為瞄準企業(yè)或機構、技術手段越發(fā)成熟且多變、產(chǎn)業(yè)分工更精細的勒索軟件攻擊，如何跳脫贖金“綁架”，進行有效的防范與應對，已成為各行業(yè)企業(yè)的必答題。通過端側防勒索技術方案，以勒索行為檢測、勒索誘捕、密鑰截取和解密等多項創(chuàng)新技術，精準識別和防御勒索軟件，實現(xiàn)事前預防、事中檢測/阻斷、事后恢/////////基于殺傷鏈的勒索軟件防御指南\\\\\\\\\基于殺傷鏈的勒索軟件防御指南編排配置，以便在響應階段快速重建完整的應用程/////////基于殺傷鏈的勒索軟件防御指南\\\\\\\\\基于殺傷鏈的勒索軟件防御指南確申請補丁，并根據(jù)漏洞威脅對所有補丁進行優(yōu)先?利用管理平臺監(jiān)控所有補丁的正確部署(例如通過?遺留系統(tǒng)不支持打補丁或無法更新，請隔離并斷開?確保所有使用過的軟件都?確保所有補丁都根據(jù)潛在的漏洞威脅進行優(yōu)先排序/////////基于殺傷鏈的勒索軟件防御指南?在電子郵件網(wǎng)關上安裝過\\\\\\\\\基于殺傷鏈的勒索軟件防御指南使用與原始數(shù)據(jù)相同的控制件來保護建立并維護恢復數(shù)據(jù)的隔離實例，可以通過離線、云或異地系統(tǒng)對備份目定期抽樣對企業(yè)資產(chǎn)進行備份恢復使用與原始數(shù)據(jù)相同的控制件來保護建立并維護恢復數(shù)據(jù)的隔離實例，可以通過離線、云或異地系統(tǒng)對備份目定期抽樣對企業(yè)資產(chǎn)進行備份恢復建立一個安全的網(wǎng)絡架構，解決網(wǎng)絡建立和維護體系結構圖和其他網(wǎng)絡系使用終端用戶設備訪問企業(yè)資源之在防火墻后面，并通過VPN定的嘗試次數(shù)后強制執(zhí)行帳通過互聯(lián)網(wǎng)對外部訪問。所有管理任務使用專用的隔離計算資源，與企業(yè)的主網(wǎng)絡隔離，不允/////////基于殺傷鏈的勒索軟件防御指南控制域控制措施殺傷鏈映射緩解策略使用使用SIEM或日志分析平臺，集中管理跨企業(yè)資產(chǎn)的安全事件告警，并進??終端用戶設備實施合規(guī)策略，并刪除不符合策略的終端設備。收集網(wǎng)絡流量日志，并進行流量檢查收集網(wǎng)絡流量日志，并進行流量檢查\\\\\\\\\基于殺傷鏈的勒索軟件防御指南建立并維護一個安全意識計劃，定期培訓員工驗證并報告過時的軟件補遠程辦公人員需正確配置網(wǎng)絡訪問建立和維護供應商商清單，定期檢查建立和維護一個供應商管理策略，定供應商合同包括安全要求，如最低安全保障要求、安全事件或數(shù)據(jù)泄露通知和響應、數(shù)據(jù)加密要求和數(shù)據(jù)處理/////////基于殺傷鏈的勒索軟件防御指南控制域控制措施