企业安全防护技巧｜勒索病毒科普及飞塔的防御应对

企业安全防护技巧｜勒索病毒科普及飞塔的防御应对

什么是勒索病毒？

勒索病毒主要以邮件伪装、网页挂马的方式进入用户PC。这种病毒利用加密算法对文件进行加密，须拿到私钥才能进行解密。如果防护不当，一旦在企业网络内传播，将造成非常大的损失。

2022年12月20日，蔚来遭遇黑客攻击并被勒索225万美元等额比特币。事实上，伴随5G、边缘计算、数字孪生等技术的发展，传统企业迈入数字化转型时代，但与之相对的，是同步进化的勒索病毒的攻击。不少巨头、甚至国家，都曾遭遇黑客的攻击勒索，就在今年，美的、英伟达等巨头也曾遭遇黑客的攻击、勒索。

以下是近3年主要的勒索事件：

一、勒索病毒如何运行的？

① 注入

 通过伪装的程序，或者恶意链接里的木马将多个病毒实体直接系统，如果用户具有管理员权限则直接注入，如果用户没有管理员权限则通过系统漏洞进行权限提升以后注入主体；

② 文件篡改

 注入成功以后将连接黑客的C&C（命令和控制）服务器，从而上传本机信息并下载加密公钥，然后遍历本地硬盘上所有有价值的文件并进行格式篡改（原文件将被深度删除，一般无法恢复）以及加密，完成以后将私钥上传到C&C服务器；

③ 自行运作

最后再自动运行病毒主体，以及利用其他病毒工具扫描网络内其他的PC漏洞（主要是利用SMB\CIFS服务相关的漏洞），并利用漏洞发起病毒主体注入动作，同时删除勒索软件样本。

二、勒索病毒是如何感染的？

① 点击链接

 通过诈骗邮件，用户运行伪装的附件或者点击邮件内的网站链接；

② 下载执行

 伪装的软件，通过网站链接下载执行；

③ 注入恶意程序

黑客扫描获悉发布在Internet上应用或者中间件漏洞，权限提升注入恶意程序；

④ 利用漏洞传染

 企业内网有PC感染，通过恶意工具扫描网络中其他主机的漏洞，并利用漏洞进行传染。

三、如何防御勒索病毒？

勒索病毒都是利用已知漏洞进行攻击，因此构建安全防御体系时需要从以下几个层面进行加固：

① 及时管理漏洞/安装补丁

 无论是终端还是服务器，必需及时评估并安装操作系统层面的安全补丁（微软补丁更新时间为每个月的第2或者第3周）；

② 终端安装病毒防护软件

终端与服务器必需安装相应的病毒防御软件（EPP或EDR，这里不需要针对0Day，因此EPP也是不错的选择）；

③ 终端特权提升管理

制定桌面软件标准化，通过安全管理软件控制终端特权提升，减少用户私自安装软件或高危运行绿色软件的风险；

④ 企业网络隔离与保护

 企业内网采用区域化（模块）的网络，各区域之间通过下一代防火墙提供保护；

⑤ 采用网络准入\零信任

采用网络准入（NAC）或者软件定义边界（SDP），接入企业网络前除用户级别身份验证以外，须对桌面环境以及安全软件进行实时检查和验证；

⑥ 构建检查及响应的服务体系

构建或托管检测及响应服务与流程，将相应系统安全事件进行统一采集及分析，确保企业内发生帐号频繁锁定、特权提升失败、病毒侵入用例时能够准确定位并做出响应。

使用飞塔FortiGate如何防御应对？                          

1.  启用安全特性（需要统一或者高级威胁保护订阅）

2.  启用DNS过滤器功能， 钩选/选择下列选项

3.  启用反病毒，钩选/选择下列选项

4.  创建对应的防火墙策略，调用DNS Filter安全配置、Web Filter安全配置（默认已经屏蔽相应分类）、反病毒安全配置、IPS安全配置（默认保护客户端）