精选内容/技术社群/优惠产品,尽在小程序
立即前往
如何破解勒索攻击难题? ——80%的企业管理者认为对网络安全的最大威胁难题原创
播放2.8K
视频文本
温馨提示:文本由机器自动转译,部分词句存在误差,以视频为准
- 00:06各位线上的朋友们大家好,欢迎参加腾讯云中小企业在线学堂系列直播活动,我是本次会议的主持人张小平。中小企业在线学堂围绕中小企业业务需求,聚焦企业经营管理、应用工具、技术创新、安全底座四大需求场景,推出系列直播课,全面助力中小企业数字化升级。随着企业数字化转型和产业互联网兴起,企业在经营过程中,数据成为最重要的组成部分。对数据的攻击和窃取成为黑产的首选,而勒索攻击呈现出持续高发态势,并已成为网络安全的最大威胁之一。80%的企业管理者认为勒索病毒是对网络安全的最大威胁。为什么勒索攻击不减反增?企业遭遇勒索攻击该不该交赎金?面对勒索攻击是否有特效药?本次直播将邀请业内专家为您解答。
- 01:09在会议过程中,如果您有任何的疑问,欢迎您在问答区进行提问,我们的嘉宾老师将为您解答。您可以通过聊天窗口发表您的建议和意见,期待您的反馈。欢迎大家扫描屏幕中的二维码加入此次直播官方交流群。今天的直播活动我们将会有三轮抽奖,包括外星人游戏耳机、腾讯云起金枕套装和VBQ公仔。如何参与呢?在每位嘉宾分享后,群里会发出抽奖小程序,输入指定口令就有机会获得好礼。首先有请今天第一位分享嘉宾,腾讯安全玄武实验室高级研究员李冠成,李老师具有全站的安全研究能力和多年的漏洞和攻防经验。曾发现过多个关键基础设施和具有攻防实战价值的漏洞,曾在ACMCCS等国际顶级安全会议上发表相关研究成果。接下来我们欢迎李老师带来勒索病毒攻击常见的手法,有请。
- 02:16好的,嗯,非常高兴今天能有这个机会跟大家分享落后病毒攻击的常见手法,嗯,我是李冠成,来自腾讯玄武实验室,然后我们实验室常年以来一直对这个实战攻防的一些关键技术展开了研究,然后特别关注这种攻防过程中,这个能够对一些企业,呃,造成严重威胁的一些。一些点,嗯,勒索病毒是一个,还有比如说钓鱼攻击也是一个,因此我们也一直在这个领域就是保持一个比较高的关注。然后今天我就根据我们这个呃,实验室的一些研究,以及目前的一些勒索病毒的一些态势,给大家做一些介绍,呃,我的分享内容主要有三部分,呃第一部分主要是介绍一下目前勒索病毒的现状和危害,嗯,包括一些行业分布啊,使因的一些。
- 03:13趋势啊之类的,然后第二部分是勒索病毒的一些攻击手法,以及相关的趋势,这两部分其实都是一些比较客观的内容,就是说是呃,我们在各个行业,各个头部的一些厂商的报告中,其实都能看到相关的数据,我们这边会重点嗯去解读这些数据,就是为什么数据是这个样子的,因为我们的攻防经验相对来说比较丰富嘛,所以说我们主要还是从我们攻防的角度来解释一下为什么会出现这样的数据。然后最后,呃,结合前前前两部分内容,我们会继续介绍如何来应对这个勒索病毒的威胁。啊,首先说一下local病毒危害,这个其实我觉得大家应该都比较有所感受,嗯,首先local病毒会让大家的这个业务停摆,这个之前有过很多起事件,比较有名的,嗯,比如说嗯。
- 04:10就是可能消费者感知比较强烈的就是一个家庭的勒索病毒的一个感染,导致一个家庭运动手表里面的一些,呃,用户数据全都被丢了,然后如果有备份的话,那个还好,如果没有备份的话,那可能对于企业来说就是一个生生与死的问题。然后另外就是数据窃取,这个是在近几年开始兴起的一种新型勒索方式,嗯,就是平时我们可能对勒索病毒认知是说,只要我们做好备份。那就算我们的数据被加密了,那我们可以通过备份恢复数据,而现在由于数据的价值在持续的上涨,所以说有时候不仅是说把恢复数据。搞定了,然后我们企业就没有损失了,就比如说嗯,一些关键的一些企业可能掌握大量的用户数据,这些用户数据本身被公开,就是对企业来说可能就是难以承受,但这个时候呃,威胁者可能就会想着去把这些数据偷过来,然后以公开数据为筹码,然后来向企业进行乐土。
- 05:17然后更有甚者,就是有人可能这个。项目赎金之后,然后发现自己数据还被公开了啊,这个就是涉及第三个问题,数据拍卖就是相当于作为摸索病毒的这个攻击者,他可能。主要关心就是赚钱,赚钱,他拿一份赎金把钱赚了之后,他可能还会再按我去拍卖这个数据,因为你没办法得到他的承诺,说你。你交赎金你就是安全的嘛,所以说这个嗯,也是目前来说一个比较大的一个趋势。而且更有甚者。就算支付赎金也不一定能解决问题,这边有一个国外的数据,嗯,大概就是说,嗯,如果这个组织支付这个赎金,那他能不能恢复他的数据,呃,其中我们可以看到有21%的,嗯,有21%的估值,就算支付赎金也没法恢复数据。
- 06:13所以说。嗯,为什么勒索病毒会长长期存在呢?就这里面就涉及一个经济模型,就是说任何东西它存在就合理,我们之前嗯。呃,比如说零几年可能印象比较深刻,就是计算机病毒。嗯,就经常会有什么熊猫烧香之类的病毒出现,但现在这种病毒很少,就是因为那种病毒其实可能很难盈利,但勒索病毒是一个真正真正能够盈利的一种病毒。主要的原因是因为这个病毒会对企业产生一个比较严重的影响,这里面有一个,呃,一个比较知名的一个图就是。介绍这个勒索病毒的一些操作会对企业带来的影响有多高,比如说数据加密。
- 07:01那可能这个企业有可能对对数据依赖比较强化,可能就活不下去,那他的影响就会非常非常高。还有就是数据窃取,可能这些企业如果有敏感数据,那他对这个企业影响可能会比较大,如果没有敏感数据。那就无所谓了。但。如果一个攻击。导致的后果。会会让企业难以承受,那这个企业就会。支付赎金,只要支付赎金,那这个买卖就会成立,就是就会你就没办法去阻止这种,呃,这种东西就是让没办法让勒索病毒彻底消失,就是因为有这个经济盈利的这个可能性,在这儿我们可以看到这个业内的一个数据,就是说这个时间进步的概率。就是比如说有100个100家被勒索,有多少家百分之多少的人选择支付赎金,我们可以看到在所有的勒索病毒的那个攻击中啊,这个赎金支付率其实不断的下降。但是,嗯。如还有因为就是这个数据泄露攻击。
- 08:03这一类的赎金其实嗯。虽然也在下降,但是但是也一直处于这个波动状态,就说明就是说就算呃log索你你的备份做的非常好,然后我只威胁你说这个我要把这个数据公开,也是有很多人心的。那为什么属性支付概率会下降呢?这也是跟这个攻防本身有关系,就是说一开始大家可能。不太知道勒索病毒是怎么回事儿,所以说被勒索呢,就只能支付属音,现在其实像一些呃企业的这个备份已经做得非常非常完善,所以说他们可能本身就会有备份,然后从而导致这种普通的这种勒索,勒索就然后这个赎金支付率会有一个比较明显的下降。但因为这些备份解决不了这种欧数据,然后做威胁的这种这种这种。索病毒,所以说这一类的那个水银支付率相对来说还是比较平整。
- 09:05而且那病毒的这个赎金的这个趋势也在一一个震荡上升的一个过程,就是可能大家会发现这个一开始可能大家勒的钱就比较少,后面胃口越来越大。这里面的一个,我我认为一个主要原因是在于。呃,首先勒索病毒本身可能。成本。也在增加,就是尤其是一些大型企业,它可能安全的建设比较完善,所以说它本身要攻进去可能难度也会变大,另一方面就是说,嗯。这是因为病毒对企业造成的损失其实是远远小于这个赎金的。所以说。勒索病毒的这个。这个威胁攻击者,他去勒索的时候,企业还有意味意愿去支付这个赎金,实际上来说,嗯,这个也很好理解,就是如果大家被勒索了,假如说不足50天不解密数据,可能企业就倒闭了,那实际上解解密数据花个几万块钱,大家也就认,这个其实是很好理解的。
- 10:13呃,这里面有一个非常大的一个上升,就是就是在2023年Q1和Q2有个非常大的这个上升,这个上升也是昭示了一个勒索病毒一个新趋势,就是说大家喜欢用这种漏洞攻击。嗯,这个上升主要就是得益于一种。叫movie,就是2202023年有一个非常知名的一个高价值漏洞,叫movie漏洞,它可以攻攻击入侵企业的这个网络,然后然后使勒索病毒能够成功落地。然后进行攻击,然后这个上升就主要是由这个这个事件来。这个这个影响。然后接下来我们再看一下行业分布,可能我们一开始会认为我我所处的行业可能比较冷门,不在这个勒索病毒的这个威胁范围之内。勒索病毒我们。
- 11:06第一印象想起来可能主要是威胁,比如说互联网企业,金融企业这些,但实际上并不是我们可以看到,呃,受勒索病毒影响的不仅是我们传统中认知的那些行业。嗯,还还有这些什么批发零售啊,服务业,甚至一些制造业都会受到影响。这又是为什么呢?因为勒索病毒,它的攻击者其实要关心的点主要就是两点。就是一个是整个行业的这个安全防御的水位,另外就是他有没有钱,其他的其实跟logo病毒都没有关系,比如说我是互联网企业,我可能这个上网更多。然后这个道路在外面的那个东西更多啊,那那这个可能会遭受更多勒索病毒的威胁,这个还真不一定,就是他主要关心就是两点。
- 12:01嗯,像金融啊,还有这个,呃,房地产这些可能行业比较有钱。然后所以说他就会啊,尤其是金融,他可能行业比较有钱,所以说在在这个支付在贝多合作,他们会有意愿去支付这个赎金,去恢复他们的数据。然后但是呢,嗯,有的行业他可能虽然没有那么有钱,比如说制造业,可能大家都知道整个制造业可能都不如金融有钱,但制造业他可能最近刚开始上网,然后刚开始这个数字化转型。然后整个行业的网络安全水位比较低,可能甚至都没有任何防护,这个时候我也可以去广撒网去。做这些就是把这些这个。尽可能感染更多的这个企业,然后每个企业少啰嗦一点,积少成多也是一种策略,所以说并不是说我我这个行业有什么,呃,这个就是跟高并不近和远就是并跟行业本身没有关系的,主要的原因就是这两点。所以说大家可能这个。
- 13:05都都要,就是警惕一下,因为少有行业能够独善其身。然后再说一下攻击手法,嗯。这个数据。自己用的那个。云计算开源产业联盟的一个数据,嗯,我们可以看到,当当然我我我在这个做这个PPT过程中,我们也关注了其他的一些数据,就是其实都大同小异,总体从数据上来看,呃,爆密破解入口令,网页爆,网页挂满,就是这些都是一些比较低级的攻击手法,尤其是在我们做工坊里面,我们可能觉得这些方方法太假。但这些方法仍然是整个攻击的主流。这个可能有点反直觉,而大家可能觉得比较厉害的一些,比如说弄蒙波动进行攻击,通过投毒进行攻击,或通过钓鱼进行攻击。嗯,其实只占比较小的一部分,这又是为什么呢?
- 14:02其实这也是跟刚刚那个问题相关,就是说勒病毒的攻击手法取决于它的攻击的一个战略吧,就是他因为毕竟勒索病毒最终的目的就是为了赚钱,他要赚钱的话。那那肯定是要攻击成本要低于这个勒索的这个钱的那个量,对吧,那那一个最低成本的攻击,就是或者说几乎是零成本的攻击方式,就是广发网。就是低成本高覆盖,就有点像那种地毯式搜索,但是它那个炮弹可能呃地毯式轰炸,但他那个炮弹可能根本就没有成本,就直接。比如说像像这种暴力破解绕口令啊,网页挂码这种炮弹的成本几乎为零,就是弄一堆机器,然后去报去破解行吗?然后所以说这一类的这个攻击类型一直居高不下。可能。而一些重点目标可能就是要精准打击。比如说一些金融。
- 15:01这种本身安全行业安全的那个水位比较高,然后但钱又比较多,他们就会采取一些精准打击的方法,然后整个过程中可能会用到漏洞。呃,用到钓鱼就非常像APP,就高级威胁这种攻击方式去进行攻击。当然这还有一个问题,就是说如果有高价值漏洞公开,嗯,这个其实大家可能会有体会,因为勒索病毒进行进入视野的一个非常关键事件,就2017年。这个wanna快,他用的那个永恒之马,就MS1700010这个漏洞,然后这行广撒网式攻击,就本身这个漏洞肯定是很值钱的,就是因为,但是实际上因为漏洞它公开之后,大家也都知道了嘛,所以说他们就会用这个漏洞进行广撒网攻击。这个也是一个非常需要重点防护的一种攻击形式,因为很多人他可能觉得这个我没有什么做口令,然后这个也也不会被暴力破解就无所谓了,因为漏洞。
- 16:01他其实。就你没没打补丁,它其实攻击是一种降低攻击,就是原本可能你需要去点一下这个链接,点一下那个链接,反正是需要结合一些这个这个或者说弱口令,一些比较明确的弱点,然后才能攻击成功,但是一旦有这种漏洞层来说候你的这个整个防御体系可能没什么明确的弱点。但是因为有漏洞存在,他就直接顺着漏洞进来。然后这里面还有一个可以值得一说的点,就是说,呃,虽然这种暴力破解,弱口令、网页挂码等攻击手法。是主流,但是实际上来说,从赎金规模来看,呃,可能赎金。这个被被勒索的比较多的。反而是这些,呃,也不是说就是就是说他他们并不是一个成比例关系,就并不是说攻击手法这个跟跟这个赎金并不是一个正相关关系,就有的像我刚才说有的是广发网,可能大家就摸索点,积少成多就完成,但像那些重点目标,他们采用这种漏洞攻击的话,那可能虽然他这个比例占的很低,但他这个赎金规模会非常非常高,因为他本身是就是就看准了你,然后然后认为你很有钱,然后就把你这个药价降的很高。
- 17:16然后从这些。数据我们也可以看到,整个勒索病毒的攻击手法其实已经慢慢开始专业化,团队化,呃,是什么意思呢?就是说之前可能嗯,大家要搞勒索病毒,可能要招招一些人去写一个专门的勒索病毒,然后去那个想办法投放这些病毒,然后在最后。这个这个大家中招了之后,然后再再跟你要赎金,但实际上来说,现在有一种东西叫。就就是那个勒索病毒作为服务,其实人人都可以去做这种病毒的一种攻击。就是最终的效果,就是说大家可能只需要买服务,然后就可以去投放病毒。
- 18:01这个这个其实是对勒索病毒一个普及,就是越来越越猖獗的一个。非常大的一个催化剂,然后还有一个就是说加密,加密货币的存在,导致这个勒索病毒很难被复原。这个也很好理解,因为这个比特币的资源一直是大家这个非常。非常头疼的一个问题,然后再就是多多重摸索这个模式会引发数据泄露的风险,因为之前大家防御摩索病毒就是就是备份,备份完了之后,那那你你加密我再大不了。恢复归来,但实际上来说多重的,我我把你的数据抽那个偷走了之后,其实你这个加密,呃,就你有备份也没什么用。然后再这随着这个勒索病毒的攻击,呃,越来越高端,可能供应链包括一些更加隐秘的一些攻击的一些路径。包括更更更加多样化的一些传播方式。
- 19:00都会被引入进来,所以说整个攻击趋势可以可以看到这么一个点,就是专业化、团队化。然后,而且它越来越像PT com,这个是乐克病毒的一个攻击手法的一个趋势图,可以看到从一八年Q4开始,到2023年Q2和今年的那个Q2。我们可以看到像这种软件漏洞,这种比较高端的这种呃,勒索病毒的这种攻击方式,其实是在持续的,所它的占比其实在持续的上升。嗯,然后像钓鱼也是它它它这个也在一个震荡上升的一个过程,而像这种RDP的这种爆破,包括一些其他的。嗯,就在一个下降趋势,这也证明了其实整个的攻击手法是已经越来越高级,然后越来越像APP com。越来越去精准打击。啊对,这个这里这个原因其实我觉得主要有两点,一方面就是说他们就是就是威胁者,他们经常会去定点攻击某些行业,或定点攻攻击某某些单位。
- 20:12这个而因为他知道这这些单位可能比较有钱,就是追求这种比较高的赎金啊,另一方面,现在很多漏洞其实暴暴露出来之后,其实这个成本就几乎为零,大家也会把这些漏洞引入进来。然后再加上现在大模型出现。其实自动化钓鱼也是。会被大家去用这个用来采采用过来做这种那个logo攻击,像自动化钓鱼,我们其实之前已经看到好几起参与自动化钓鱼的一些威胁事件。这个主要就是因为大模型的这个发展。要反病毒其实是有很多挑战的。首先前期我们可能。就很难识别到这个风险,就是我们企业可能有很多很多资产,有的资产可能都我们都不知道在存在一台电脑,但是电脑可能会会去连接这个企业内网。如果这台电脑。
- 21:08我们不知道它存在,然后一直没有去维护他的这个补丁,呃和这个系统版本,那那很有可能会被漏洞给打进来。然后在中期我们也很难去检测到这种勒索病毒的这种呃攻击主要是因为不了解,就无法及时去了解这个攻击态势,像像之前那个movie这个漏洞其实就是就是这个事件其实就是一个非常鲜明的例子,就。Movie漏洞出现的时候,我当时我我我们其实有专门的那种威胁情报系统,然后去我我我印象非常深刻,就第一天看到这个的这个漏洞。就是被披露出来,然后好像过了两三天之后,这个斯漏洞就被就出现了,诺斯漏洞被用来做勒索病毒的这个这个这个新闻了,那为什么呢?那作为一个普通的企业,他可能很难实时关注这种新型的这种漏洞,新型的攻击态势,所以说他。
- 22:07也没办法去做,做这种专门性的这种防护,导致就被打了个时间差,然后这个过程可能就会给这个企业带来很大的损失,然后最后就是大家可能。平时也不会每天都被勒索病毒光顾,所以说嗯,自己本身也没有什么勒索病毒,这个恢复的一些。一些经验,所以说最终被攻下来之后,可能最后就也不知道该怎么办。然后这里面还有一个关键点,就是说病毒的这个。这个这个危害,其实随着你这个摸索病毒本身的存活时间。那个。从指数级上升,就系统的分货率,就是没被感染的那个系统。因为病毒它是一个,毕竟是一个病毒嘛,它是会传播的,所以说你发现的越早,处理的越早,响应的越及时。那你勒索病毒所造成危害就越小,但实际上来说,因为大家都没有这个经验,所以说最后很有可能就是错过这种黄黄金救援期大概是一小时。
- 23:11然后另外呃,由于勒索病毒攻击手法逐渐高端化,然后替换。那这个。就会导致我们之前一些单点防御,比如说我们一开始讲的就是说不要点击不明,不明来历的链接,然后不要被钓鱼,然后不要去这个。用入口令,就这些单单点防护就失效。然后最终可能。一些就是我们一些传统的一些,包括数据备份,然后这些传统的方法失效之后,可能也会被。被那个local病毒给。所以说要想去把这恶索病毒去防好,其实是需要一个比较科学的防范啊,首先嗯,要提前预防,就是做好供应链管理,就是我们要说的,我们要知道我们哪些地方会被打对的。
- 24:03然后其次就是就算被打进了,我们也要去及时发现,及时检测出这些攻击,然后最后就是实在不行,万不得已,我们没有预防好,也没有发现。但最后。被封进来之后,数据被加密,我们也能快速响应,去把这个被加密的这个电脑被被感染电脑迅速隔离开来,然后把数据迅速恢复回来,然后呢,对这个业务的影响。变成被调。为此,我在这里就给大家按照这个思路给大家介绍一下,就是一般勒索病毒的一些防御策略。然后,首先我们要收敛攻击面,就说要尽量避免。资产暴直接暴露在公网上。以及。要尽量避免这种一些传统的一些,呃,就比如说把入口令给修掉,然后员员工加强培训,防止被钓鱼。然后。
- 25:01这里面有个关键点,就是收敛供应链。然后在收敛攻击面之后,相当于索病毒的那个口就变少。然后接下来第二个思路就是说要去。阻止勒索病毒的落地。因为入口,一个企业他要对外提供服务,他不可能一点入口都没有。再怎么着也也得有一个官网提示。然后那个你你。一旦有入口就有可能进来,就是就算你再怎么收敛,他有可能进来,进来之后我们要及时的去。阻止这个病毒落地到终端上,因为勒索病毒它的一个非常鲜明的特点就是它跟它是攻击终端。然后怎样阻止呢?这个就是结合一个比较多维度的一个风险感知,其实比如说结合威胁情报,因为有很多威胁情报厂商都会提供索病毒的一些巴西一些黑名单,然后一些不太正经的这些文件进来之后,都会被这种威胁情报给涵盖掉,然后就被。
- 26:03拉黑,然后就被删杀掉,这个感风险感知能力非常重要。然后假设说这个勒索病毒是一个比较新型的摩索病毒,在威胁情报中没有。那接下来。他可能会成功落地,然后在终端上执行,接下来其实就是一个阻止执行的一个过程,怎么阻止执行呢?那就是通过一些比较多维度的事件监控来判断每一次执行是不是一个合法的执行。合法执行,比如说我打开PowerPoint,然后给大家讲PPT,这个肯定是合法执行。然后但是如果你那个落地之后,开始那个执行不是一个合法执行。就通过事件监控,然后事件分析,发现这个执行的这个可行性很高,那这个时候你可以阻断这个执行。嗯,然后如果阻断失败了呢,他可以在文件变化感知。这个这个维度去阻止数据加密啊,这个我们选股实验室其实有独家的一些解决方案,然后最后就是说所有的。
- 27:08都失败了,我们也能够及时处置,假如说我们最终感染了一个终端,然后把这个终端加密到一半儿。然后被发现,然后我们立刻把这个终端隔离,然后把被加密的数据还原回来,那那实际上来说这个损失也是完全可以接受,也不完全不需要交赎金。这整个。防御体系,我们可以叫它纵深防御体系,嗯。其实是应对未来勒索病毒一个关键。因为病毒的这个。攻击越来越高级了嘛,所以说我们就必须要用比较高级的防御手段去防御阵地攻击。然后这里也介绍一下我们这个。我们实验室跟一个。新创的一个呃非非常有影响力的一个安全公司,一起合作开发的一套勒索病毒的一个全周期的一个解决方案。然后其中。
- 28:02嗯。假设说前面的攻击就是防御全都失效了,Mo病毒成功落地并执行,我们也可以通过感知系统文化、系统文件的变化来发现一些异常情况。我们自己的测试里面,我们我们的那个误报率和漏报率其实都是一个行业非常非常领先的一个水平。然后我们会。因为我们有这个全周期的一个解决方案,所以说啊,啊对那个我们开发这个全周期解决方案的一个主要原因,也是因为。像刚刚我介绍的一些防御手法,说起来很轻松,但其实每每一点其实都需要比较专业的一个投入。就可能需要比较丰富的一个攻防经验,然后比较丰富的一个开发经验,然后包括对这个诺克病毒有个有一个比较先进的认知,才能够去真正落地。所以说我们就是为了去帮助这些企业去解决这个威胁,我们才去开发这个方案。
- 29:01然后就是如果大家对这个方案感兴趣的话,可以去扫码去那个咨询一下,嗯,我们其实一直以来都致力于去对这些。这个对企业安全有比较严重威胁的一些点进行研究,然后像勒索病毒就是我们探索中的其中一个。嗯,然后我的分享到此结束,感谢大家。谢谢老师的精彩分享,有想和讲师交流问题的朋友请在问答区留言。接下来我们将开启第一轮的抽奖环节。温馨提醒现在还没有进入直播间微信群的观众们,赶紧扫描屏幕中的二维码,加入此次直播官方交流群。请大家在社群小助手发出的抽奖小程序内输入口令,加固企业安全防御,即可参与抽奖。输入口令,加固企业安全防御。
- 30:01口令是加固企业安全防御。好的,下面有请到的是腾讯云原生安全产品中心高级工程师周佳宇。周老师具有丰富的云安全能力建设经验,先后从事反病毒入侵检测、漏洞扫描、基线扫描、云安全应急响应等多个方向,熟悉云上常见的攻击手法和防御方式。目前主要的工作方向为主机安全、容器安全的能力建设。接下来我们有请周老师带来云原生安全防勒索病毒攻击场景最佳实践,有请。呃,大家好,我是来自腾讯云原生安全产品中心的周佳宇,下面由我给大家带来云原生安全防勒索病毒攻击场景的一些实践。呃,下面先看一看,就是云上常见的一个勒索病毒攻击的一个场景的特点。
- 31:04就云这样一种环境来说的话,它有呃,有两个天然的优势,可以被勒索病毒拿来进行获利,就是首先云上,它的一个云上的租户数量非常庞大,而且它的安全水平的话是参差不齐的,有一些甚至没有任何安全防护。再有像云上部署的,像这种云上的业务,它的资产的数量很多,而且种类特别繁杂。这种就导致像这种资产,它的一个入侵的点也会比较多,有可能报出来的今天报出来的漏洞,或者明天出来漏洞,都跟你相应的资产是有关系的,然后就有可能被勒索病毒进行拿来进行攻击。然后再一个像像勒索攻击,勒索病毒攻击的话,像刚才前面也已经介绍到,他常用的一个攻击方式的话,也是以那个像若口令爆破为主。但是呢,也确实存在像那种利用漏洞进行攻击的情况,然后像云上的这种攻击目标,其实云上大多数都是像那种广撒网式的攻击,它24小时不间断的对云上的这些资产进行扫描,进行攻击。
- 32:18然后他只要是说对云上的这些租户,我可能有10%或者百分之多少,我能攻击成功,然后统一给你们发这种勒索的一些信件,勒索成功的让你去支付,他只需要有一定的支付比例。他就可以获得自己想要的一个利益,通常来说都是这种广撒网式的,但是呃,如刚才前面所介绍到的,也会存在一些少量的像那种对一些高价值客户的他的一个入侵的勒索行为。然后也会去勒索一些比较高的赎金,或者说威胁把你的数据给进行公开。然后再看一下,像云上这种攻击的它的一个风险来源来说的话,其实最主要的一个点是说你云上,你把业务部署在云上,你首先嗯,你的资产如果暴露在公网,可能有一些你大的一些服务,或者说你的你的一些系统,它有一些高危的端口暴露在公网,然后呢,这相当于就是一个攻击的一个入口。
- 33:20黑客可以利用这些入口对你的资产进行一个攻击。然后攻击的手段也是像刚才提到的,就是像一些漏洞类的,比如说你系统的漏洞,或者是说你部署的一些应用组件的一些漏洞。或者说其他一些业务逻辑漏洞之类的这种等等都是有可能。呃,被他拿来进行一个攻击的一个入侵点,然后再一块是那个口令这一块的问题,口令的话,呃也分几种吧,一种是说你系统的那种绕口令。比如说你Linux Windows这种系统绕口令,还有一些是像你的一些应用的口令,也有可能带来一些安全的风险问题。
- 34:00然后我们实际应急之间,应急的过程中间发现就是像未授权这一类的访问漏洞,也是现在云上攻击的一个很大的攻击的风险来源。就是各个呃,组件上的一些未授权访问的问题,然后另外一块就是像恶意文件,恶意文件,因为这个存在很长时间了嘛,就是具体到勒索病毒这一块来说的话,就是有可能会有一些病毒。或者外P之类,然后还有勒索病毒这种投放到你的云上的一些资产上,云上服务器,然后去对服务器上的一些数据,然后重要的一些重要的一些文件进行加密,然后再有一些像其他类的,比如说一些恶意请求之类的,或者说对安全软件的一些对抗,然后还有一些其他的异常行为,比如说增加一些它的保护手段。它可以更持久的去对你的文件进行一个加密,呃,是这样,然后这里边其实提到的风险来源来说的话,具体到勒索,它用的也就是那个漏洞跟口令是比较频繁。
- 35:11然后在云上这种勒索攻击场景,我们做防护的一个痛点和策略。来说的话,防护的痛点,首先它的一个攻击来源是非常广泛的,而且是全天候不间断的对云上的这些资产进行一个攻击。然后另外一个是说,像企业本身来说,他可能不是很了解自身的业务和资产的情况,这种分几种情况,一种是说像有些业务他可能是新上线的,然后他在不经意的情况下,把这个业务报告到了公网上面。还有一种是说,像有些资产,他可能也确实知道,我现在用了一个组件A,然后呢,但是他并不知道,有可能这个组件A里边引用了一个高危的一个其他的组件,比如说像发斯界这种,他引用这个,但是这种情况他有可能并没有掌握,并不了解。
- 36:07所以这种就有可能被黑客拿来进行呃,进行攻击。然后再一块是说,作为我们做安全产品来说的话,我们呃大概都是知道,像你不可能是100%去防御所有的像这种网络攻击,不管是勒索呀,或者说其他的。其他的一些攻击行为,你不管是基于规则,还是说基于一些行为的这种检测,它都是可能存在误报和漏报的可能的这种情况,所以就是说,呃,这个防御体系的构建,它一定是一个纵深的构建方式。呃,一定要有多种手段去进行,而且单就勒索病毒这一块来说的话,它一定是说你的预防大于检测跟防御的。然后就勒索,勒索病毒的话,它把你的资产加密之后,现在来看的话,一般都是很难解密的。呃,以前有存在过一些少量的,他的写的有问题,可能可以被还原。
- 37:05但是基本上现在看的这些都是很难被解密的,所以一定要做好事先的一个预防的一个行为。然后结合我们之前腾讯安全发布的那个数字安全免疫力模型来说的话,我们可以看到就是像企业的一个资,呃资产,它的数据和业务都是属于最核心的,我们需要保护的一个点,然后针对这个目标的话,就是云源生安全这一块,它涉及到的就像最外层这一圈,边界安全,锻炼安全,还有应用开发安全这一这一类的,呃,这个防护情况,然后一些安全运营与管理的情况,这个就是嗯,平台侧会去做,然后也需要企业侧去进行一些安全能力的一个建设。然后我现在下面具体介绍一下,像那个最外层这一圈。具体到这里是云上云元素安全产品,这里有云上的三道安全防线,首先第一道是云防火墙,作为第一道防线,它是可以为用户提供互联网边界的一个防护,它主要解决云上的一个防控制的统一管理。
- 38:10还有日志审计等等的安全需求,然后这个是呃,这个是流量测的,然后现在呃云房也可以提供像漏洞的一些虚拟补丁。呃,比如说现在有黑客,他通过一些网络数据去对你的漏洞,对你业务,或者说对你的一些资产进行一个漏洞攻击的情况下。是可以用那个云层,它有一个虚拟补丁之类的,去阻断这些漏洞的利用。然后第二道房间的话就是外部应用防火墙rap,然后这一块是可以帮助腾讯云云以及云外的一些用户去防问一些常见的外部攻击,比如说搜Q输入啊,叉X子啊这种,还有一些入侵啊,挂码啊,篡改后门等等这些问题,它属于是应用层的外部应用安全防护的去解决这种问题。
- 39:01然后这两块云房跟其实都是在围绕网络流量去。做事情,其实用这两款产品的话,它主要的一个功能也是说去收敛外部的一个攻击面,然后去保护保护云上的这些资产,尽量减少他们被入侵成功的可能性。然后具体到勒索病毒这一块,它主要工作的一个可能就在你云上的那些服务器之类的这种资产上面。去进行一些安全破坏,然后这块就涉及到像主机安全这种终端安全产品,这就属于云上的三道安全防线。在可以提供一些资产的管理啊,像勒索病毒木马的这种查杀,然后还有一些入侵行为的一些检测,然后可以对像系统还有一些应用提供一些漏洞,还有安全基线加固的这种安全防护功能,这就构成了一个呃,相对相对重视安全的一个防护体系。
- 40:02然后具体到我们来拆解一下漏洞病毒攻击的一个一个阶段吧,首先它的攻击的一个前期。他就是他需要寻找一个入侵的突破口,比如说现在暴力破解,然后漏洞这种有可能还会用到其他的一些比较高级的,呃,一些漏洞之类的,然后未授权访问,这种也是云上的一块比较。呃,比较常用来进行入侵的一个一个一个点,也是需要去进行一些事前的风险收敛,然后攻击中期的话,勒索病它有可能会比如说投放,把它的勒索病毒样本去投放到你的服务器之类的资产上面去。然后呢,他就开始对目标服务器上有可能一些目标文件,它会对目标的目录进行一个搜索,然后搜索到对应的呃类型的文件之类的去进行文件加密。然后作为攻击中的其他的攻击中的一环来说的话,它还有可能存在是说去破坏安全软件,然后说横向移动,或者说增加一个饱和的手段,呃呃,饱和,然后可以确保他把你机器上他想加密的一个文件持续不断的给加密完,然后给你发勒索信。
- 41:18会有会有这些攻击属于攻击中期的,再到攻击之后,攻击后期的话,他有可能对嗯,勒索病毒样本,它去进行一个升级,或者是说他增加一些入侵的手段啊,然后呃,或者是再尝试再次入侵,然后增加一些饱和之类的手段,去进行一个攻击的对抗,以确保他能够勒索到更多的资产,然后更多的用户,然后拿到更多的一个赎金。然后针对这三个阶段的话,云原生这一块的话。主要是分阶段去进行拆解,首先像若口令类的,然后未授权类的这种就必须是在事先进行一个绕口令的检测,或者说未授权这种他们的一个检测。
- 42:06去在事前去把若口令这一类的风险去进行收敛,然后降低被爆破成功的可能性,然后现在其实我们还是有那个像暴力破解的阻断这种功能,就增加它爆破成功的一个难度。然后再到像另一入侵比较常用的漏洞这块的风险的话,也是事先要进行漏洞的一个检测,然后一个漏洞的修复。然后平台侧会持续关注,像不管国内国外这种漏洞风险新爆发的,进行漏洞风险的一个预警。然后的话,再一块就是机械,可以对系统,还有它有可能被利用的一些组件进行一个机械的加固,这块就属于收敛漏洞机械的风险。然后再到具体,其实漏洞这一块,主机安全现在也有去上一个适中的一个功能,就是比如说他现在对你发起攻击,然后我们现在有两块功能,一块是网络攻击的检测,可以去帮助你判断。
- 43:09帮助你判断你是被哪个漏洞打进来的,然后另我们现在也已经有上那个的功能,就是漏洞防御,已经在Java现在已经支持上百个漏洞的一个攻击防御,也就是说他如果利用。这一类的漏洞打你的话是有可能直接被阻断掉的。然后像那个事前的话,还是建议是说你一定要对重要的一些数据或者资产进行一个快照的备份,这个快照也是说云上比较方便的一个点,我可以对你的一个磁盘进行快照备份,这个是非常方便的。呃,这种防止是说你中招之后没有任何兜底的行为,然后你只能去支付赎金这样子,然后再到适中的话,适中的检测,因为像投放漏样本之后,它有一个比较固定的行为,是说他一定要去在你的资产上。
- 44:03对应的目录,或者说某些目标目录中间他去。搜索一些特定的文件,然后对这些文件进行加密。基于这个基于这个行为来说的话,我们就可以对呃,他一些常见的一些搜索的目录,或者是说你业务觉得哪些目录重要的话,我可以对那些目录去投放一个诱饵文件去进行检测勒索病毒的攻击,因为正常业务来说的话,是不会对我们投放的这个诱饵文件进行加密的。所以就可以,这个就可以。去拿来作为一个判断依据,是否中了勒索病毒,然后他是否再对你进行加密。然后作为我们平台特来说的话,腾讯安全这边,他会对现在市面上爆出来的一些样本啊,或者攻击事件,去对它进行持续不断的关注,然后去提取这些相应的一些,比如说有没有新样本啊,或者说新漏洞,去对这些信息进行提取,然后去完善我们自身的检测能力。
- 45:07然后这些会作为策略去息到用户机器上,比如说进行自动隔离,也是像刚才前面提到的,如果说万一你确实呃资产被别人攻下来了,然后有一些病毒。进行那个投放到你的资产上面或者服务器上去了,然后这个时候可以利用这种自动隔离或者自动阻断去防止勒索病毒运行起来。然后达到阻止恶意文件运行止损的一个目的,再一块像那个资产经典这一块的话,比如说我现在有100台机器,然后我发现有一台中了勒索。然后其他的资产。还有哪些是不是也被勒索了,然后有没有相同相同的组件的这种资产,它是不是也有可能被攻击,这时候就可以利用资产清点的这种功能来在中去确立攻击可能的一个影响。
- 46:02然后再到像后期的话,比如说现在已经被攻击了之后,也是这个资产,资产管理这一块的资产清点功能,它也是可以用来筛查一个潜在的风险,有没有一些,我现在有没有其他的高危组件有可能被利用的。然后再一块就是漏洞运营和样本运营,这里这里是像腾讯安全这边提供的一些工呃,提供的一些能力,我们会持续不断的去关注,像这种漏洞事件,然后漏洞新报出来一些漏洞啊零队之类的这种我们会持续进行跟进。然后样本运营就是属于像恶索病毒啊,呃,一些木马之类的这种样本运营也是持续在做,会维持我们这样的一个检出能力,再一块就是那个事件,外部报出来的一些事件,这块就会结合那个威胁情报。去发现一些新的事件,新的样本,也是去主要是完善产品的一个检测能力。然后再到后边的话,总结阶段的话,还是就是建议那个一些重要的数据,一定要进行定期的一个备份,防患于未然,因为谁也不能保证是说百分百的就不被攻击,然后或者说不被不被攻击成功,所以就是这块主要的一个核心,就是说你要做那个我们这块的一个快照备份加诱饵文件的一个检测,然后再结合已有的那些像攻击阻断或者说入侵检测的一些。
- 47:30一些一些手段来进行一个纵深的防御。然后下面介绍一下云原生安全这块防盗锁的一个实践。就是首先在事前的话,一定要做资产的一个识别,这块资产的识别它是你进行风险收敛的一个第一步基础,因为你不能做到知己知彼的话,就很难去是说去防御到事先预防我不被勒索病毒进行攻击,然后资产识别的类型,这里主机这块呢,它主要是对服务器上的一些资产进行识别,比如说你的进程啊端口。
- 48:10然后你用的一些外部站点,还有说你的一些引用的一些包啊,账号数据库这种东西去进行一个。进行一个风险的收敛,然后像云防火墙也可以是对你暴露在公网上的一些资产进行一个风险的收敛。然后再一块事前需要解决的就是若跟未授权这一类的问题的话,可以对通过。通过呃主权去对它的一个检测系的系统。和应用存在的一些入口令的问题。在事前去对它进行一个检测,然后去推去推去进行一个业务的修复,然后现在我们也是支持那个像自定义口令,因为这个口令的定义并不仅仅是说。
- 49:02呃,你的密码的那个强度。强度很低的情况下,若口令其实还包括像有可能你的密码强度很强,但是已经被别人发在公网之上,是有可能被拿来进行。进行直接一个爆破的这种也也属于就是我们定义中的它的一个口令,还有一种是说有可能企业像它有一些特有的一些客令,比如说企业的前称的企业名称的前缀,加上123456,这种也是有可能被拿来,被黑客拿来进行特定的一些攻击,呃爆破的一个拆解,所以这里就可以去添加一些自定义的入口令去进行检测。然后这一块密码破解,这里可以对呃,可以对那个暴力破解进行一个阻断,可以进行设置暴力破解,然后增加它呃暴力破解成功的一个成本,因为像呃,因为本身攻呃,不管是作为攻击方还是防守方来说的话,它都是有成本的。
- 50:02你努力提高攻击的一个成本,也就代表是说,你被攻破的可能性就会降低。可以,可以在这里去进行一个暴力破解阻断。的一个功能,然后我们这里的话也是会对云上这些攻击事件,会对攻击事件进行一个呃攻击的总结,然后我们会去通过蜜罐或者说实践的人工分析这种方式去拿到它常用的一些弱口令,然后会定期更新这种弱口令库。然后再一块是事前的那个漏洞风险,漏洞风险的一个收敛,其实可以看到这个漏洞像我们做应急漏洞应急的一个流程来说的话,它首先是你的漏洞的发现,然后去添加检测规则,然后再去进行一个漏洞修复,再到事后的一个漏洞总结。这是一整套的闭环流程,然后平台侧其实像现在漏洞发现这些都是有完善的一个监控体系去去进行监控,然后基本上像新出的那些漏洞,都会要求在比较短的时间内去进行漏洞规则的一个覆盖,然后会然后也会对就是企业和用户去发动相应的一些漏洞的风险告警。
- 51:18然后再去,呃,我们提供的那个漏洞检测之后,可以拿到那个修,呃检测的一个结果去跟业务进行进行一个沟通去。呃,推业务侧进行一个漏洞的一个修复,形成一个相应的闭环,再后边就是漏洞总结的功能,呃漏洞总结需要,呃需要企业跟用户这边去确定,我比如说这个漏洞是怎么引进的,是由于第三方逐渐的引入,还是说我进行了一个。呃呃,引入了一个新的组件,或者是说我的业务上产生的一个漏洞导致的。然后这一块的话,就可以用那个像漏洞管理这块功能来实现它的一个发现到检测,然后就是漏洞管理,这里也是可以提供一些像Windows系统漏洞,然后Linux漏洞,应用类等等这些漏洞的检测,然后就像刚才介绍的,我们这个态势引擎就属于现在的一个功能,可以在攻击的适中对它利用的一些漏洞进行阻断。
- 52:23然后这块是现在Java类的已经发布了上百个,然后PHP的现在正在正在进行中。然后的话,还有一块就是我们对部分的漏洞也是可以实现一个自动修复的,这种可以帮助企业去快速收敛漏洞的一个风险。然后再到攻击的适中来说的话,呃,勒索病毒,它被投放到投放到。呃,用户的服务器资产之后,我们可以对勒索病毒进行一个检测跟阻断,首先勒索病毒这个检测来说的话,腾讯这边积累了积累了十多年的这种海量的恶意样本文件,以及我们这边的TU的TV的这种检测引擎,可以去及时发现这种勒索病毒,以及它的一些新的病种,去进行快速的一个响应,然后形成策略。
- 53:14然后具体到像乐色病毒投放到机器上去之后,就可以对呃病毒进行一个自动的阻断,阻断然后防止自动隔离。呃,防止它对机器上的文件进行加密,然后还有一些异常行为的。一些阻断也是可以用来降低被勒索成功的概率,就是可以在这里进行,比如说进行定时的一个。病毒木马的检测,还有一些像实时监控这种设置,还有自动隔离的这种这种这种设置。然后另外一块就是前面提到的,像你要设置一些勒索防御的一个策略,就是可以在这里去选择一些重要的一些资产进行数据备份。然后这里其实嗯,因为防守来说的话,他也是有成本的,其实也并并不建议,并不建议企业这一测说不管什么样的资产或者服务器上的一些,呃,数据这种都去对它进行一个。
- 54:17像这种数据备份这种其实也是不太建议的,还是建议是说去做好事前的一个预防,然后对重要的资产进行一个进行一个资产的数据备份,然后。然后第二块的话是增加那个像设置诱饵的一个监控目录。像我们这里是根据一些市面上它现在出来的那些我们观察到的勒索勒索勒索病毒的一些样本去,它会有一些一些默认的目录,我们会在这些目录下面去投放诱饵文件去监控。呃,这台机器是不是有被勒索病毒进行文件加密?然后的话,这里企业也可以根据自身的一些业务,因为企业肯定是最了解自身业务的,可以对一些呃重要的目录去进行新增,然后我们就可以对这里进行去投放一些诱饵文件。
- 55:14去监控,然后再一块的话就是可以在这里设置自动备份。你可以选择是时间日期,然后或者哪些磁盘去进行定期的一个数据备份,防止被就是加密勒索后没有任何手段去进行恢复,这样。然后再一块到后面的话,就是这个事情已经发生了之后,就需要一些事后的一个总结,你需要去整理,通过那个资产管理的功能,还有云防火墙这种去进行一个资产的暴露面的一个收敛,以及了解更了解自身的资产情况。然后再一个是入侵点与攻击手法的这种。总结,具体到像入侵点可能就是组建安全,这里可以提供的两个比较重要的功能嘛,一个是说我们这边现在是有像入侵的自动化溯源这种功能,然后另外还有刚刚介绍的像那个网络攻击检测这种可以结合呃网络攻击流量去实锤,你是被哪个漏洞打进来的。
- 56:19然后另外一块就是漏洞的一个漏洞跟安全的这种风险收敛跟加固,然后还是对口令之类的这种进行退休。改进的话就是对针对上述提到的这些漏洞的风险去做,像资产暴露面的一些收敛啊,然后入口令的进行退休修复,然后数据的一些定期备份,嗯,大概是这样,我的分享就到这里了,谢谢大家。谢谢老师的专业分享,有想和讲师交流问题的朋友,请在问答区留言。接下来我们将开启第二轮的抽奖环节。温馨提醒还没有进入直播间微信群的观众们,赶紧扫描屏幕中的二维码,加入此次直播官方交流群。
- 57:06请大家在社群小助手发出的抽奖小程序内输入口令云原生安全防勒索即可参与抽奖。口令是云原生安全防勒索。接下来有请到的是腾讯安全零信任高级产品经理刘宪磊。刘老师在安全行业从业十年以上,有丰富的企业安全建设经验,曾参与国内金融、互联网、高端制造等头部企业的安全规划及落地建设,曾在行业权威杂志发表文章,授权发明专利多项。多次受邀在eis等网络安全行业会议上发表演讲,目前在腾讯的主要工作方向是零信任终端安全、开发安全等相关的产品运营。
- 58:01欢迎刘老师带来基于零信任理念的腾讯办公安全防勒索病毒攻击场景最佳实践主题分享。好,谢谢主持人。大家好,我是腾讯安全的刘宪磊,今天我带来的这个主题主要是聚焦在办公终端安全,因为前面两位同学已经详细的分享了啰,索攻具的形成趋势,以及基于在云上的一个防护,那我这一块呢,可能补充嗯三页啊,主要是针对在办公终端上的一个攻击的形态,最左边的话呢,呃,所谓的这个勒索攻击呢,可能有两种方式,一种是针对设备的,就是我把这个设备呢去做加密,你这个呃是操作系统就启动不了,或者是说我像这个屏幕里面呢,我修改你的这个呃,账号密码啊,这样的话呢。你的系统进不去,然后针对移动设备也是一样,这种呢可能会稍微少见一点,第二种最常见的就是左边这个图,就是鼎鼎大名的wanna cry啊,他当时在一七年的时候基本上波及全球啊,大家可能知道勒索病毒啊,基本上也是从这个咱们国家的主流媒体上去展示的这张图片,右边的话呢,是加密后的一个效果啊,这个大家可能啊,就是有一个直观的一个印象,那么呃,我们认为呢,就是呃,如前面第一位那个同学分享的那样,所谓的勒索攻击呢,其实已经从当年的wanna cry无差别的攻击到。
- 59:28今天已经分成了一个本质上的一个这个改变,就是已经从勒索病毒改变成了勒索攻击,这个的变化呢,是来自于说勒索病毒呢,它本质上就像下面一样,我不差别的去做扩散,反正我就能够。嗯,能够进去,我就是那个搞搞一下,但是上面的话呢,如果是说它是一个攻击事件,那它一定是会有一个这个组织方,就是有一个黑产组织,然后去某去通过一种方法,比如说给你发邮件,通过I'm给你发一个这个钓鱼的文档,当你的这个终端首先是被控制后,它会把你的数据先窃取,注意这个是跟勒索病毒的一个区别,它会先窃取,然后窃取掉之后呢,在内网里面,然后再慢慢的横移,把所有你高价值的业务服务器全部找到之后,然后包括你的终端上的数据全部窃取完之后再给你加密,这样的话呢,它有两种方式,第一个你本地的数据已经被加密,第二个如果是说你不交赎金,我就可以对你进行点名,那我就会公布这个数据,这个是近些年来大家可能看到的一个明确的趋势,这也是为什么赎金,为什么大家可能这个在,呃,这个正式的。
- 60:45官方报道里面可能会少一些,但是在暗网的交易上面,这种情况会非常非常多,所以这种的应该是这个如果。有黑产组织参与的,一般是这种,像这种纯病毒式的,像那个CRY那种,他虽然影响力很大,但他其实并没有那个,呃,就是病毒的制作者并没有拿到很多,所以呢,现在更多的是第一个,但是从上个的过程当中,其实大家能够明显的感觉到,今天我们讲的主题并不是防勒索病毒,因为防勒索病毒可能市面上的产品非常多,每个人都说它可以防,但质上难点是防勒索攻击。
- 61:21这种呢其实是非常非常难的,为什么呢?因为前面的同学也说了,取决于企业防御的一个水位,说的很直白一点,就是说你不是一个点就能搞定,而是说你整个的防御体系里面最好没有明显的薄弱点,那在这个下面,腾讯的这个防御的一个最佳实践是什么样的呢?这个IA呢,一会儿后面我会详细讲I的个个个程,那么你可以理解为每个腾讯的上面都会去装这个IIV,我们内部的定位就是办公的一个助手,就是每个人都会去装IV,然后去做办,装了后有什么用呢?第一个就是我们知道这个设备是谁在用,第二个的话呢,没有这个一个完整的身份,就比如说你我们内部是要用我们的一个终端上的手机,类似于微信或者企微这个东西去做扫码,去校验你的身份,这样的话,因为手机是一个天然的跟个人属性和身份属性非常强的一个终端,它比你远比你输入这个呃账号密码要安全的多,这样的话呢,我就能知道这个设备是谁在要用,即使是你要远程工作,我依然要求你去做这个二次身份的验证,这个是我们LV独有的,同时呢,你从外部扫描,比如说你从这个外部的这个互联网去扫描这个资产,你一个,呃,这个端口你都扫描不到,也就是说在互联网。
- 62:42访过程当中,你完全找不到你这个企业里面是不是存在对外的这个安全服务,除非你装了LV,并且得到了这个认证,OK,第二个的话呢,是说。自身有非常强的安全对抗的能力,一般情况下面只要是你的这个,呃,这个就是这个勒索这个程序,它还是在应用层啊,它基本上跟我是在处于同一个这个权限的范围内,它是没办法把我给杀死的,而且是我有卸载退出的一个验证密码,同时呢,我呃这个腾讯安全从零六年开始做QQ医生,到一零年,我们到这个阶段就是持续运营20多年,基于这20多年呢,其实我们对病毒的样本有持续大量的一个运营,尤其是勒索病毒,我们有非常精准的一个这个样本库,然后即使是说它真的发生了一些这个呃对终端数据的一些加密,那么我们有两种方式去做还原,第一个呢,呃,如果你开启了我们的文档守护,我们可以直接还原,第二种呢,就是说我们也支持对常见100多种这种勒索病毒进行这个解密。
- 63:50最后一个就是说这个数据呢啊,就就是这个终端一旦沦陷之后,我们也有很多种方法防止它向另外的终端去做这个横移和这个扩散,就比如说在这个企业里面,他可能共下了一个终端,那这个终端呢,他要想在内网里面,在跳板到另外一个机器,我们也有办法去捕捉到,那这样的话呢,是完全对照了刚才那个呃第一个这个呃,做安全研究的同学,他整个的一个防御体系,那呃,第一个呢,就是我们R。
- 64:27大部分的这个。呃,这个攻击呢,就是他没有说用非常非常这种超前的零,对啊,或者说是这种大家这个高价值的漏洞,基本上就是啊,用非常简单的手法,我先上来去做热口令的探测啊,对吧,我发现你映射了3389端口,然后去扫描一轮,那这种呢,其实你只需要在这个这个层面,我们再加一次这个二次的身份认证,比如说即使你输入了这个呃操呃这个电脑的账号密码,我依然要求你再做一次这个呃微信或者说是这个企微的这个扫描,那这样的话呢,其实你必须有。
- 65:04强的这个身份,呃,你才能够去做这个远程,然后第二个的话呢,就是我自身有很多的这个保护机制,就是说你,呃正常的话,你是退是退不掉的,除非我做策略允许你退,或者是你知道我的这个特权密码,第三层呢,就是我可以对关键的一个动作,比如说。在你这个样本落地的时候,我会检查你是不是我在跟踪的病毒家族里面的这种样本文件,同时呢,对你一些关键的行为进行这个检测,比如说你落地之后,然后首先它会删除系统的业文件,然后这个进程呢,全企业里面只有你有,而且你启动之后呢,会注入其他的进程,会写一些这个启动项等等,只有这种啊,这个自我保护或者做后渗透的一些动作,就是正常的这个软件不会做的这些动作,然后同时呢,我会部署这种诱饵文件,因为你始终要做加密对不对,那加密的话呢,每个这个勒索病毒的软件可能有自己的习惯,那基于这些习惯呢,我们会在每个它常见的这种文件夹里面去掺杂我们的这个,呃,假的,这个文件它加密的时候呢,我们会让他去优先加密我们的这些文件,当他加密这些文件的时候,很明显它一定是一个索病毒,因为正常的用户根本就不知道这些文件。
- 66:20那呃,针对这个呃部署幼儿的一个这个呃这个有效性呢,其实我们是做过一个测试,当时呢,我们是拿了啊非常多的这个呃这个病毒勒索的一个这个样,这个样本,那我们的检出率呢是100%,然后呃最后一个呢,就是我们可以做到文档的一个守护,那么啊有两种方式,第一种呢,就是我们有一个文档守护者,那在这个里面呢,就是凡是有任何进程去尝试去读取修改这个文档的时候,我们就会对这个原始文件先进行这个备份,这个备份呢,也不是像咱们嗯这个理解的那样,把这个文件拷贝到另外一个地方,或者修改下后缀,并不是我们把这个数据呢,做一下拆分成好几个文件,最后呢,只有通过我才能够恢,这有什么好处呢?就是勒索病呢,它在攻击的时候,它一般是枚举,你是不是这个常见的office文件或者数据文件,这个时候通过这种方式呢,他判断并不是他要的目标文件,他也不会再做二次的加密啊,这样的话呢,也是规避。
- 67:21这种方式同时呢,我们也可以是利用Windows系统的这种圈引机制,我们首先会去申请圈影的服务,然后同时呢,保护圈影系统不被别人去做这个修改,那这个时候呢,所有的这个文件写新为呢,都会被Windows自身的一个机制去做一个捕获,捕获完之后呢,会一直去做备份,如果你真的是这个数据被加密,那么就可以通过这个,然后去做这个恢复,这个是Windows。那这个的话呢,是我们的一个这个功能效果图啊,其实这个文档守护者只要你装电脑管家,那么其实你并不能你并不陌生,如果是说这个时候你真的出现了啊这个加密的情况,那就可以在这里勒索病毒中的这个急救啊,在点这里就可以去做这个文件的一个这个或这个恢复,然后如果是说你前面就已经开开启过这个文档守护者,那么可以在这个文档找回里面尝试去把你以前备份过的文件全部做做这个恢复,这里面其实大家呃可能有一点好奇,就是说呃前面也说过了,那所谓的这个勒索病毒有一个前提是说它这种加密是不可恢复的,那你这里能恢复是怎么做到的呢?其实这里面的恢复呢,根据历史的经验,有两种,一种呢是说。
- 68:36呃,这个呃,这个勒索病毒的这个,呃,团体被警方抓获之后呢,密钥被公开,那这种人呢是一种方式,那第二种呢,是勒索软件的设计呢,本身它是存在一定缺陷,比如说你在研究这个病毒的时候,它可能就直接把这个密钥放到了本地,那这个时候你找到之后呢,你就可以去做这个恢复,这里面可能大家要有一个基本概念,就是说如果用这种加密的技术,你加密之后,目前的话呢,你想解密基本上能。
- 69:06不大啊,至少是说如果你用非增值加密那种方法,而且是你要用啊,这个层层加密这种这个直接还原的话,是难度是非常大的,它之所以能解密取决于前面这两个。那最后一个呢,就是说一旦是像咱们讲的这个终端确实存在了这个被的这种情况,那我们也可以去。尽快的把它给隔离掉,就是他想通过这条终端作为跳板,再在内网里面去做横移,比如说我从这个电脑,然后去连接我同事的另外一个电脑,那这个时候他常见的这个技术,我们都可以去做到一个这个实时的一个检测,那这种呢,就是你可以理解为只要是他用到,只要他想基本上都可以被我们检测出来,这个检出率呢,也可以达到100%那。呃,我们在那个对互联网上也开放了勒索病毒的一个搜索引擎,就是说如果大家感觉自己是不是存在这个勒索病毒,你可以去在这个上面,就是我下面的这个网址这里去做一下这个搜索和这个检查,右边的话呢,是我们的一个文档守护者的一个成功的经验啊,就是当时我们的有个有很多的这种企业在被这个出现logo之后,就是成功用我们的这个,呃,文档守护者去做了一个这个恢复,并且呢,我们也会去针对性的去做这个排查,尽快的给出这个计划。我印象最深的去年有一个体验就是出现勒索病毒的时候,我们给他排查花了有一个小时就锁定了这个终端,他是怎么进来的,已经扩散了14台终端,并且把这14台全部找出来,并且全部给他做到这个处置,当然了,他当时是没有,嗯,买我们这个功能功能模块,那如我们前面讲的这一整套的这个功能,那部署或者说是这个,呃,这个实施起来复不复杂呢,其实大家。
- 70:56呃,其实并不复杂,呃,您的这个体验呢,其实就跟。
- 71:02安装腾讯电脑管家的体验一模一样,就是在腾讯云的工作台啊,就是在腾讯云的这个官网上面,我们会有一个外部控制台啊,你用腾讯云账号登录之后,在上面就可以下载这个客户端,下载这个客户端之后呢,就可以给他下发这些访问勒索的一些策略,那你的终端上只要装了IA这个软件,你可以简单的理解为它就是跟装电脑管家一样,装了之后剩下的事情全部是它后台的这个运行啊,这种是非常非常方便的。那么在呃,这这里面呢,我在对腾讯安全和腾讯LV的一个历程再做一个简短的一个介绍,因为前面更多的是说我们如何去落地做这个网络锁,那么腾讯安全呢,可能大家啊。有点陌生,因为一说腾讯可能大家更多的是说微信QQ对吧,但其实呢,腾讯安全从零六年开始就有啊,可能那个时候大家印象比较深的是Q电个啊等到是当时整个互联网进入到移动互联网的一个火热期,而且从一一从那个移动互联网已经开始逐渐网这个产业互联网转型,那个时候呢,我们推出了一个口号是互联网新生态的一个推动者,那个时候像TK啊等等,这是国内的顶尖的黑客都来到了我们这里,并且是我们把所有国内和国际上的这个攻防大赛全部这个第一名全部拿了一个遍,然后在一八年的时候呢,在那个。
- 72:34产互啊,就是完全有一的合,就是是的一级是面向业的时候,增加了很多的这种全体系的这个提下啊,然后底层呢,它的一个端测的这个能力和安全攻防和防病毒的能力,适用的这个统性电的国家基本上就是这个关系,那说到这儿呢,其实就是大家可以理解为就是在一六,就是在一九年之前,大在大家可以简单的理解为就是呃,现在的LV就是这个腾讯电脑管家的一升级,或者说是企业版的一个这个啊这个啊就是面向对象的不同,那么在一九年的时候就是啊,就是在一九年底,就是那个疫情期间啊,就是疫情爆发来的时候呢,腾讯是为数不多的可以做到全员远程办公的这么一家企业,大家有印象的话,应该是说那个时候大家都。
- 73:34只能困在家里面,哪都去不了,那个时候工作呢,都要去做这个远程,那个时候大家的P都登录不了,等等等等,但是腾讯并没有受到障碍,但是呢,腾讯会议我记得三个月了,100多个版本,为什么呢?因为大家都在可以正常的去做这个上班后面呢。嗯,就是我们是把这个零信任啊,就是你可以简单的理解为就是远程工作啊,就就是远程访问的一种安全机制,跟我们的这个啊,这个电脑管家如何在一个地方,就是我们内部的一个最佳实践,正式的去对外去做这个输出啊,这是整个IV的一个发展历程,那么在个人终端这一块儿呢,其实腾讯电脑管家呢,已经是每年都能够达到国际一流的这种政策的啊,最好的水平,这个应该是我们已经是连续有12年以上都是这样的一个这个这个名次,然后在这个B端呢,就是我们自己在实践的过程当中,就是LV现在是支撑了我们,呃10万以上的这个终端,就是每个腾讯员工每天工作至少要先打开LV去做这个登录,然后去做这个访问,然后所有的办公终端的安全全部是由IV来去做这个防护。
- 74:46那么啊,整个的一个这个简单理解呢,你就可以是理解为电脑管家的企业版啊,就是啊,以及腾讯自身的一个IV,你可以把它理解V的个,那在这个里面呢,我们有私有化的版本,就是可以全量部署,比如说您的这个企业规模比较大,或者您的企业不能访问互联网,那就推荐用这个版本,如果说您的企业可能就哦直接可以访问互联网,希望更加轻量化的这种访问,那就推荐您用这个saras版本,Saras版本呢,可能就跟您装一个电脑管家的体验基本上差不多,并且呢,所有的这个策略我们都可以线上去做这个运营,那这样的话呢,就是您要去做一体化的这个办公的时候,可以很轻量的用这个saars版,五分钟你就可以去用起来,那么这个呢,是在二零年之,就是们基本上是引领了整个行业的一个发啊,就是我是为。
- 75:47办公完全的一个这个领导者,在此之前呢,大家一说这个所谓的办公终端上,你至少得装个杀毒,有个VPN,或者有个防新密,或者有个这个桌管,或者有个准入等等。在2020年之后啊,就是大家已经习惯这种混合办公之后,那么腾讯的这种模式,无边界办公的这种啊,这个这个。
- 76:08这个最佳实践基本上是引领了整个的这个办安全的发展,现在呢,大家可能更多的于说办公安全可能不再是局限于以前我一个电脑上要装一堆的东西,现在一个堆啊,现在一个端呢,就可以解决这所有的问题,同时呢,我们也是国内唯一一个啊,只能够连续三年进入for市场指南,而且是同时进入和这个市场指南的这么一家这个单位,那国国内的我就不再阐述,然后到目前为止,我们整个的这个案例呢,也是非常的多,像基本上每个行业的头部客户都是我们的重要的啊,这个大的一个啊,这个最小的一个,呃,适用者,比如说像这个吸音,像顺丰,像这个华润啊,基本上都是我们在2020年就一起合作开始去落地的,也是三年持续都有这种这个推进和产出的,像金融里面的中金和中国银行啊,像证券里面的这个国泰君安,像政务和这个医疗里面的数字,广东还有像咱们的这个渤海大学以。
- 77:08及我们这个南山医院等等,基本上每个行业里面,我们都有典型的这个标杆啊,就是啊这个产品呢,它具有很广泛的一个这个通用性,因为勒索病毒呢,它是非常普适的,那对我我们现在也是有一个针对中小企业的一个活动啊,因为中小企业的话,可能对。哎,这一块呢,可能以前更多的是受限于这个预算啊里边比如说可能买一个私有化的产品,可能它要有初始的这种服务安装调试,它的一个起售价比较高,那么saras的话呢,它的基本模型只根据这个端点,那所以呢,就是说针对中小企业是非常的友好,同时我们也可以提供这种免费试用的机会,你可以先去体验一下这个产品长什么样,它有什么样的功能效果,然后他是不是可以帮助你去解决一些这个问题,然后你再考虑是不是去做这个购买和这个续费,OK,那么左左侧这个下面的这个二维码呢,可以去做这个扫描,然后就可以做申请试用啊,我们可以针对本次参与直播的这个啊,咱咱们这个企业,我们可以给你免费三个月的一个试用期,就是终端安全防漏锁的那个功能,然后右边的话呢,如果是说咱们有其他的这个呃问题或者是需要再交流的,大家也可以加我的微信,然后扫描二维码,咱们再去做线下这个这个呃,再。
- 78:27做后续的一个交流,那这是我整体的一个内容啊,把时间还是交给主持人,谢谢主持人。谢谢老师的精彩分享,接下来我们将开启第三轮的抽奖环节,还没有进入直播间微信群的观众们,赶紧扫描屏幕中的二维码,加入此次直播官方交流群。请大家在社群小助手发出的抽奖小程序内输入口令,零信任办公安全参与抽奖。口令是零信任,办公安全。好的,恭喜中奖的观众们,时间过得很快,本期活动也进入到了尾声,再次感谢大家的参与与关注,我们下期活动再见。
展开
作者
用户9763495
相关推荐
腾讯云开发者
扫码关注腾讯云开发者
领取腾讯云代金券
Copyright ? 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号 | 京公网安备号11010802020287
领券
我来说两句