Everything you care about in one place
Follow feeds: blogs, news, RSS and more. An effortless way to read and digest content of your choice.
Get Feederwechat2rss.xlab.app
青藤技术服务
Get the latest updates from 青藤技术服务 directly as they happen.
Follow now 19 followers
Latest posts
Last updated 30 days ago
应用数据安全:数字化时代的重要“战场”
about 2 months ago
原创 网安人的智囊团 2025-03-20 17:59 北京 应用程序是数字时代的业务基础。业务应用不仅仅是企业运营的工具,更是企业与客户互动、数据交换的平台。对于攻击者来说,应用就好比金库,其中包含重要的业务和用户数据,虽然金库使用了最坚固的材料和武装齐全的安保,但是只要正常开展业务,就一定会出现安全漏洞。在巨大的收益诱惑下,攻击者会不惜一切代价去寻找抢劫金库的方法。据报道,84%的安全事件发生在应用程序层。因此,保护业务应用和数据安全成为企业数字化过程中的重要任务。数字化发展带来的变化数字化发展正深刻改变着各行业企业的运营模式和业务流程,带来了业务应用的倍增,同时也使得应用数据安全成为关注的焦点。01数字化业务应用倍增在当今数字化时代,不论开展怎样的工作、完成什么样的任务,都离不开数字化应用的支撑与实现,应用程序已经成为企业业务不可或缺的一部分。一项完善的数字化业务,通常是由多个不同功能的应用程序通过API来进行配合构成的。然而,随着应用程序规模的不断扩大和攻击手段的不断演化,应用安全问题愈发凸显,越来越多的攻击事件不断威胁企业业务运行和数据安全。整体来看,数字化发展给企业主要带来以下变化。应用数量暴增:根据咨询机构IDC预测,到2025年全球将创建7.5亿个云原生应用程序。海量数据产生:根据咨询机构IDC预测,2027年全球新产生的数据量将达到291ZB,近乎2022年的3倍。运维形态变迁:企业上云与大量中间件产品的采用,管理对象呈现出类别多样、虚实融合的新现象。随着云计算、移动互联网和物联网等新技术的发展,应用程序面临的攻击面也在不断扩大。此外,近年来恶意软件、零日漏洞等高级威胁的兴起,对应用程序安全提出了更高要求。02安全也逐步适应变化随着数字化业务的快速发展,安全领域也在不断适应新的变化。企业通过综合运用多种安全技术并不断增加安全投入,构建了一个多层次、全方位的安全防护体系,以应对不断演变的安全威胁。1.在安全技术方面在安全技术方面,安全防御逐步从传统的网络边界安全,深入到终端设备安全和业务应用安全,确保了企业能够在数字化时代中安全地运营和发展。网络边界安全:防火墙、IPS等产品构筑了网络网关侧的第一堵墙。终端设备安全:EDR、HIDS等产品提供了工作负载层面的安全指标监测。业务应用安全:RASP、IAST等产品补足了安全治理在业务层的视角缺失。随着企业安全建设的不断深入,应用安全可以让企业更好的从业务视角看待安全问题,守护攻击者触及业务时的最后一道防线。图1 应用安全在整体安全中的位置在整体安全架构中,应用安全是最贴近业务的安全,它直接关联到业务运营。应用安全不仅关注技术层面的防护,更注重从业务角度出发,识别和治理安全风险。它保护的是企业的核心资产——业务应用和数据,确保它们在遭受攻击时能够保持安全和稳定。因此,应用安全对于维护企业的整体安全运营至关重要。2.在安全投入方面在安全投入方面,市场提供了各种解决方案帮助企业提高其应用程序的安全性并确保其跟上不断变化的威胁形势。应用安全主要分为两个细分市场:应用程序安全扫描工具和运行时保护工具。统计发现,随着数字化发展,应用数量迅速增长,安全威胁不断演进,企业在应用安全支出方面也在不断上升。图2 2017-2023年全球应用安全投入据Gartner预测,到2025年生成式人工智能(GenAI)将促使企业网络安全投入激增,其中应用程序和数据安全支出将增加15%以上。03应用数据安全受关注在数字化业务中,应用与数据安全的关系变得尤为紧密,它们共同构成了企业信息安全的核心。应用层面的安全措施直接关系到数据的安全与完整性,而数据层面的保护策略也影响着应用的稳定性与可靠性。图3 应用与数据安全的关系近年来,应用与数据安全备受关注,各种政策措施不断出台。2022年12月,《中共中央 国务院 关于构建数据基础制度更好发挥数据要素作用的意见》(简称“数据二十条”)对外发布。2023年10月国家数据局正式揭牌,这标志着我国对于数据的重视与保护进入全新阶段,数据要素市场制度进一步完善,是中国数据领域的一项重大改革。2024年4月1日召开的首次全国数据工作会议,强调了数据标准化实施的重要性。会议提出了数据标准化的流程和方法,旨在解决标准从制定到落地的全过程管理。这不仅包括标准的制定和发布,更重要的是确保这些标准能够在实际工作中得到有效执行。应用与数据安全的关系是相辅相成的。应用层面的防护是确保数据安全的关键,而数据安全的政策和标准则为应用防护提供了指导和支持。确保应用安全不仅能够保护企业和个人的数据资产,还能够促进数字经济的健康发展。-完- 阅读原文...
基于杀伤链的勒索软件控制框架
about 2 months ago
原创 网安人的智囊团 2025-03-11 17:57 北京 【40s说清楚勒索软件如何工作】基于杀伤链的勒索软件控制框架开发了4种缓解策略(预防、阻止、检测&响应、重建),覆盖18个控制域90项控制措施,以正确管理与勒索软件攻击杀伤链各阶段相关的风险。注:本文节选出自《基于杀伤链的勒索软件防御指南》扫描二维码,即可下载完整版报告-完- 阅读原文 跳转微信打开
基于杀伤链的勒索软???控制框架
about 2 months ago
原创 网安人的智囊团 2025-03-11 17:57 北京 【40s说清楚勒索软件如何工作】基于杀伤链的勒索软件控制框架开发了4种缓解策略(预防、阻止、检测&响应、重建),覆盖18个控制域90项控制措施,以正确管理与勒索软件攻击杀伤链各阶段相关的风险。注:本文节选出自《基于杀伤链的勒索软件防御指南》扫描二维码,即可下载完整版报告-完- 阅读原文 跳转微信打开
正式发布:《基于杀伤链的勒索软件防御指南》
2 months ago
原创 网安人的智囊团 2025-03-06 17:58 北京 近日,青藤云工作负载安全平台凭借其卓越的技术实力和领先的防勒索解决方案,成功通过赛可达实验室新一代勒索病毒防护能力测试系统V2.0认证,中国工程院院士倪光南为青藤颁发了首批“东方之星Starcheck”勒索病毒防护能力证书。当前,勒索软件仍然是最具影响力的网络攻击形式。为了让企业能快速落地防勒索能力,青藤基于多年勒索软件研究积累,发布了《基于杀伤链的勒索软件防御指南》,报告提供了实战化的勒索攻击防御技术方案,让有效的安全能力快速发挥效果。同时,本报告提出一个系统框架,指导组织采取具体步骤和方法路径,提高对勒索软件攻击的网络弹性。勒索软件控制框架基于勒索软件攻击杀伤链,分析攻击者端到端的攻击步骤与相互关系,同时我们将ATT&CK策略整合到杀伤链模型中,描述攻击者特定的战术、技术和程序(TTP)。组织通过映射勒索软件杀伤链,了解威胁和风险节点,对其进行层层阻断,建立更加全面有效的防护体系。图 1:基于杀伤链的勒索软件控制框架通过“勒索攻击杀伤链”可以发现,应对勒索攻击的关键在于预防,重点在于检测响应,“绝杀手段”为阻断约束,最后底线为恢复重建。由于不同的安全防护措施在勒索软件攻击的不同阶段发挥不同程度的作用,通过梳理勒索软件典型安全防护措施,与勒索攻击过程形成映射,围绕勒索软件攻击预防、检测响应、阻断约束、恢复重建四个阶段,打造全链路的勒索软件攻击防护技术方案,防范化解勒索软件攻击风险。图2:端侧勒索软件攻击防御技术方案按照勒索病毒攻击“事前、事中、事后”三个阶段,从预防、检测响应、阻止约束、恢复重建四个方面防范化解攻击风险,典型勒索病毒攻击安全防护技术措施主要包括以下几个方面。PART 01勒索攻击预防阶段在勒索攻击预防阶段,主要从资产管理、高风险漏洞管理等方面采取措施,如实现常态化、动态化业务资产管理,进行高危漏洞与弱口令治理等。1. 建立高价值软件资产清单建立常态化资产台账和动态化更新机制,覆盖总部和境内外分支附属机构的各类互联网应用系统。构建软件资产自动化收集能力与资产信息及时更新能力,为开展7×24威胁监测和事件处置,常态化开展资产及互联网暴露面管理、漏洞发现及修复工作提供数据资产基础。图3:常态化&动态化业务资产同步2. 勒索专项风险检测公安部启动了“两高一弱”专项行动,旨在检测并修复高风险漏洞、高风险端口及弱密码问题。因此,该方案针对勒索专项风险,实现企业攻击面持续检测、弱口令智能分析、修复进度闭环管理等安全能力,全面治理企业高危漏洞和弱口令风险,减少攻击机会。图4:高危漏洞与弱口令治理PART 02勒索攻击检测响应阶段威胁检测在实战中一般分为已知特征检测、已知行为检测、未知行为检测三个层次,复杂度逐步增加,该方案威胁检测逐层递进,覆盖各类常见威胁攻击场景。图5:层层递进的完备勒索检测体系1.已知特征检测已知特征的勒索检测主要利用多检测引擎实现防病毒查杀,并实现动态落盘查杀+静态扫描查杀,同时针对家族型勒索样本,通过AI函数片段深度识别引擎进行深度识别排查。病毒木马多检测引擎:整合多个杀毒引擎,并包括自研杀毒引擎,查杀率高,对挖矿木⻢、蠕虫病毒、黑客工具等都能进行有效的检测。动态落盘查杀+静态扫描查杀:支持对所有可疑落盘文件进行落盘查杀,扫描是否存在勒索样本的常见特征。同时也支持常规杀软的全盘扫描功能,发现未安装Agent前潜伏的勒索病毒。AI函数片段深度识别引擎:在一些定向勒索或APT级定向攻击中,有很大比例不再是传统意义上的恶意代码,导致传统基于代码片段特征的检测方式效率及准确率极低。该方案通过勒索样本的识别,将整个程序的所有函数,进行向量分析。通过加密意图及文件异常指标,综合判断勒索攻击样本,检测能力比传统检测方式成功百倍以上。图6:家族型勒索AI函数片段深度识别2.已知攻击行为检测通过勒索家族软件已知攻击行为的分析,以及大量常规攻击检测能力的积累,针对经常出现的行为提供专项深度检测,基于ATT&CK攻击框架在整个攻击路径中的已知攻击位置设置检测锚点,有效识别和响应勒索攻击行为。基于ATT&CK攻击框架覆盖已知检测场景:参考ATT&CK对恶意行为模式的定义,针对整个攻击路径中的已知攻击位置设置检测锚点,或对某类已知攻击链路设置连续检测点,所有检出的威胁均提供详细的攻击原理,攻击方式,攻击信息,修复建议等内容。图7:基于ATT&CK攻击框架覆盖已知检测场景恶意行为识别特定勒索攻击:在一些定向勒索或APT级定向攻击中,攻击样本通常会对系统中本身存在的备份、卷影机制等进行删除,避免业务恢复。通过大量的勒索、挖矿等应急的实例,对攻击者常用的备份删除机制配置监测点,当有攻击者或攻击软件对这些锚点进行劫持时会触发探针的防御机制,对该软件进行拦截,防止进一步的攻击行为。图8:勒索恶意行为识别3.未知威胁行为检测未知行为检测主要通过智能诱饵精准定位文件加密阶段行为,并利用行为白名单构建数据库勒索专项模型有效发现异常入侵行为。静态/动态诱饵双管齐下:纯动态诱饵无法让探针自动化的理解业务信息,实现诱饵的精准投放,纯静态诱饵部署难度又很大。该方案通过静态诱饵+动态诱饵两种方式结合,将静态诱饵投放在业务关键目录中进行文件混淆,动态诱饵动态暴露在遍历目录的行为中,极大程度的增加诱饵文件的曝光率。图9:静态诱饵+动态诱饵结合方案行为白名单与数据库勒索专项模型构建:防勒索软件通过监测并学习主机上的进程创建、文件执行和外部连接等行为数据,利用科学算法对大量行为数据进行聚合与分析,从而形成精确的可信行为画像。基于资产清点的相关优势,自动识别数据库进程位置,学习正常进程对数据库文件的操作行为,从而更精准的捕获服务端数据库勒索行为。图10:行为白名单与数据库勒索专项模型构建PART 03勒索攻击阻断恢复阶段当发现勒索攻击事件时,首先需要进行勒索攻击阻断,通过文件隔离、进程阻断、网络隔离等手段,层层加码精准隔离,防止威胁进一步扩散。在确认勒索事件发生后,可通过勒索加密数据还原,避免企业缴纳高额赎金。1.勒索攻击阻断在勒索攻击阻断阶段,企业应强化突发事件应急处置能力,将攻击造成的影响降到最低。企业一旦发生勒索软件攻击事件,立即按照网络和数据安全事件应急处置管理要求和应急处置流程,启动勒索软件攻击应急响应预案,断开网络连接,隔离被感染主机,阻断网络传播途径,修复网络安全漏洞,尽快利用备份系统进行数据恢复,有效降低勒索软件攻击造成的影响。图11:勒索攻击阻断精准隔离2.勒索攻击恢复在勒索攻击恢复阶段,该方案可通过密钥截取和解密,实现勒索加密数据还原。通过安全研究团队对近百种勒索家族的样本分析,在病毒程序启动时进行行为劫持,捕获加密操作或生成秘钥的操作行为,结合安全研究团队维护的勒索家族规则(已知病毒的加密规律、加密位置、加密算法)或加密行为(加密大小、二进制数据等推测加密位置),对已加密的文件进行解密还原。图...
企业级EDR实施技术指南:十大关键要素深度解析
3 months ago
原创 网安人的智囊团 2025-02-18 18:00 北京 一场价值2.3亿美元的“生死时速”在Black Hat 2023大会上,某跨国企业披露:其EDR系统通过AI行为分析,在30秒内拦截异常进程链,成功阻止勒索攻击。而同期,国内某制造业巨头却因终端防护滞后,???致核心图纸遭窃,直接损失超5亿元。这背后折射出一个残酷现实:全球EDR技术已进入“毫秒级响应”时代,而很多中国企业仍在传统杀毒软件的“舒适区”中艰难挣扎。全球EDR博弈:中国市场的三大“断层”1. 技术代差:从“规则匹配”到“行为基因分析”国外趋势:EDR技术已进化至“无规则检测”,通过进程行为基因图谱(Process DNA)预判未知威胁,误报率低于0.1%。国内现状:80%企业仍依赖特征库比对,面对无文件攻击、供应链投毒等新型威胁束手无策。2. 架构鸿沟:云原生VS“伪上云”国际标杆:SentinelOne的“云原生EDR”实现全球百万终端实时关联分析,威胁追溯效率提升20倍。本土困境:多数国产EDR仍沿用传统批处理机制,海量日志需经多级归集后才能启动分析,威胁溯源的时效性停留在"天级"水位。3. 生态短板:国产化适配的“最后一公里”信创浪潮下,统信UOS、华为欧拉等系统装机量激增,但90%的EDR产品对国产芯片、非标API接口的兼容性不足,甚至出现“蓝屏式防护”。中国EDR的“生死命题”:从被动防御到智能反制1....
EDR技术革命:从被动防御到智能反制的进化之路
3 months ago
原创 网安人的智囊团 2025-02-11 18:00 北京 在WannaCry勒索病毒瘫痪英国医疗系统的72小时后,某跨国制药集团EDR系统成功拦截了第37次横向移动攻击。这个真实场景揭示了现代网络安全战争的残酷本质——当传统防御体系在现代化攻击前节节败退时,智能化的端点检测与响应技术正在重塑攻防规则。表 1 展示了 EDR 技术的时间演进,呈现出近年来越来越倾向于采用机器学习和人工智能等先进方法的趋势。这一趋势为未来 EDR 研究中选择技术提供了有价值的参考。01从"特征库时代"到"行为基因解码"早期EDR系统如同拿着通缉令的巡警,依赖特征码匹配进行威胁识别。这种基于签名的检测机制在2017年Mirai僵尸网络攻击中暴露致命缺陷——超过60%的IoT设备因无法识别变异代码而沦陷。转折发生在行为分析技术的突破,安全工程师开始从"查户口"转向"测DNA"。卡内基梅隆大学的研究表明,将进程树演化、API调用序列等200+行为特征纳入机器学习模型后,未知威胁检出率提升4.2倍。通过内核级行为监控,实现了平均87ms的勒索软件阻断响应,这相当于在子弹击发瞬间完成弹道计算与拦截。02AI双刃剑:安全领域的"奥本海默时刻"当BlackBerry...
ATT&CK实践进入深水区 ---不要再迷信ATT&CK覆盖率
4 months ago
程度 2025-01-14 18:00 北京 引言ATT&CK除了版本更新的常规内容外,研究机构、学术界和产业界都有更深入的实践,检测方面的内容有了更多深入的实践和检验,从实际情况“祛魅”了ATT&CK覆盖率这个数字。除了检测工程之外,在威胁预测和威胁情报方面也有亮眼的进展。ATT&CK更像是一个“活框架”,它的源头是各种威胁情报和攻击方法的更新,比如勒索软件的猖獗;也有科技进展带来新的威胁也是ATT&CK可以覆盖的方向,比如ATT&CK的矩阵也扩展到AI安全领域、汽车安全、无人机和卫星安全领域。ATT&CK在检测工程中的应用CISA关于云安全和紫队测试的实践紫队测试的基本原理,遵循"知己知彼"的战略思想,结合两个关键方面:"了解敌人":模拟攻击者工具、战术和程序,获取可观察数据;"了解自己":开发和测试检测机制,识别技术差距和局限性。图1 紫队的定义紫队的意义在于大多数攻击者缺乏原创性,主要使用:1.N-day CVEs(已知漏洞)2.漏洞利用概念验证(POC)3."安全审计"工具防御者需要避免自满:1.可能缺失关键取证数据2.SIEM和分析模型可能过度调优3.EDR/MSSP性能可能存在差异根据云环境安全事件案例分析1.Storm-0558 (2023年案例)(1) 利用了多种技术:私钥窃取、Web凭证伪造、云账户访问等(2)展示了复杂的攻击链条2.NOBELIUM (2024年案例)(1)使用密码喷洒、云账户访问、应用程序访问令牌等技术(2)影响到联邦机构系统紫队的知识来源于ATT&CK(红队)和D2FEND(蓝队)的相关内容。图2 紫队的工作过程紫队测试流程详解1.ATT&CK计划制定(1)利用威胁情报和案例研究(2)构建红队行动手册2.模拟环境要求(1) 网络基础设施(2)用户角色设置(3)应用和服务配置3.取证需求确定(1)主机级别日志(2)网络级别数据(3)应用程序日志4.对抗性模拟(1)红队执行技术(2)跟踪IOC和C2活动5.蓝队响应(1)使用现有工具和流程进行威胁狩猎(2)追踪发现和检测方法6.紫队测试(1)...
数据安全新报告,落实央行等七部门发布的新政策
4 months ago
让云更安全 2025-01-07 18:00 北京 为深入贯彻党的二十届三中全会和中央金融工作会议精神,做好数字金融大文章,11月份,中国人民银行、国家发展改革委、工业和信息化部、金融监管总局、中国证监会、国家数据局、国家外汇局等七部门联合印发《推动数字金融高质量发展行动方案》(以下简称《行动方案》)。《行动方案》在完善数字金融治理体系章节中,详细阐述了加强数据和网络安全防护的相关内容:“(十七)加强数据和网络安全防护。指导金融机构严格落实数据保护法律法规和标准规范,完善数据安全管理体系,强化数据安全的商用密码保护,建立健全全流程数据安全管理机制。组织金融机构定期进行数据和网络安全风险评估,识别潜在风险,接入金融行业相关网络安全态势感知平台,推动相关平台互联互通。开展网络安全相关压力测试,提升网络安全防护体系建设水平。搭建证券业数据和网络安全公共服务平台,加强基础、共性安全支撑。”在七部门联合印发《行动方案》的背景下,青藤推出最新的《业务应用与数据安全防护指南》报告,深入分析数据安全面临的风险困境,探讨数据安全的具体方案能力和实践成功案例,为企业的数据安全建设提供策略和思路参考。报告部分内容如下:扫描二维码,下载完整版报告-完-热门动态推荐 阅读原文 跳转微信打开
抓不完,根本抓不完的0day,青藤RASP已经接连抓了3个0day
9 months ago
原创 网安人的智囊团 2024-08-19 18:02 北京 HVV抓0day神器! 阅读原文 跳转微信打开
勒索软件的防御手段和检测技术
9 months ago
程度 2024-07-29 18:00 北京 青藤,让云更安全 前言基于上篇文章分析LockBit的勒索软件攻击技术,本篇文章研究勒索软件的防御手段和检测技术。一般用户只需要了解防御手段,检测技术原理简单了解即可。针对勒索软件的ATT&CK的攻击阶段技术对应的防御手段,根据自身情况可以进行查漏补缺。同时这篇文章基本涵盖了主流勒索软件的检测技术思路,可以作为目前最为流行的威胁的参考内容。勒索软件的防御手段根据勒索软件的ATT&CK的各个攻击阶段,分析相对应的方式进行防御。图1 勒索软件的ATT&CK的各个攻击阶段(1)初始访问阶段使用隔离的浏览器或者带沙箱的访问环境,这样可以避免一些恶意的钓鱼邮件或者恶意代码。使用邮件安全网关,可以过滤恶意的钓鱼邮件或者阻止一些恶意IP,尤其是针对外部邮件设置特殊警告,同时针对钓鱼开展安全意识培训。使用WAF,防御应用层安全问题。设置账号口令以及口令策略,比如长度,复杂度,定期更改,尝试次数等;对账号权限进行最小权限原则;并对管理员权限账号进行审计;使用账号多因素认证(MFA);限制服务账号和管理员账号对互联网服务的访问;即时对账号权限进行分配,防止权限攀升或保留的情况。保证操作系统、软件及固件更新到最新。尤其是针对一些高危可利用的漏洞要进行修复和升级。对域控进行安全加固和安全监控。禁用不适用的互联网业务。做好网络隔离,配置良好的ACL规则。(2)执行阶段构建内部网络拓扑的架构,可以描绘内部的服务和数据的流向。开启Powershell的日志记录以及脚本执行记录。配置Windows注册表,对于PsExec操作开启UAC机制。(3)提权禁用命令行和脚本执行行为和权限,通常命令和脚本都是提权的重要通道。开启权限保护(Credential Guard),这个机制在Windows 11默认开启,可以防止对LSA凭证转储。使用本地管理员密码解决方案(LAPS),前提是升级到Windows Server 2019和Windows 10以上。(4)防御规避应用本地安全策略来控制应用执行,比如使用SRP,Applocker,WDAC等来去确定白名单和黑名单。(5)凭证访问限制NTLM使用,进行安全加固和防火墙策略。(6)发现禁用不使用的端口。(7)横向移动识别AD的控制路径,为了排除对重要业务资产的访问路径。使用终端安全产品来识别东西向的访问流量,从而可以识别受到勒索软件感染的机器的横向移动行为。(8)C2使用多层网络架构,创建可信区域保护组织的敏感数据。不应该使用VPN来进行可信区域的访问,要考虑零信任架构。(9)渗出阻断跟恶意系统的连接,恶意系统主要使用的是TLS的代理。同时利用威胁情报的订阅内容来阻断C2的服务器连接。使用网关安全等产品来限制和监控对外提供文件服务的相关系统,防止数据外发。(10)影响实施恢复计划,要保存多份备份在不同的隔离的安全的物理位置。维护离线的备份数据,建议3-2-1备份策略:保证3个备份(一份生产,二分备份),在2个媒介上存储,比如磁盘和磁带,1个保存在灾备中心。保证所有的备份数据都是加密的。新西兰CERT对于这些ATT&CK阶段合并为三个大阶段和相关防御手段做了图示。图2...
勒索软件的防御手段和检测技术
9 months ago
程度 2024-07-29 18:00 北京 青藤,让云更安全 前言基于上篇文章分析LockBit的勒索软件攻击技术,本篇文章研究勒索软件的防御手段和检测技术。一般用户只需要了解防御手段,检测技术原理简单了解即可。针对勒索软件的ATT&CK的攻击阶段技术对应的防御手段,根据自身情况可以进行查漏补缺。同时这篇文章基本涵盖了主流勒索软件的检测技术思路,可以作为目前最为流行的威胁的参考内容。勒索软件的防御手段根据勒索软件的ATT&CK的各个攻击阶段,分析相对应的方式进行防御。图1 勒索软件的ATT&CK的各个攻击阶段(1)初始访问阶段使用隔离的浏览器或者带沙箱的访问环境,这样可以避免一些恶意的钓鱼邮件或者恶意代码。使用邮件安全网关,可以过滤恶意的钓鱼邮件或者阻止一些恶意IP,尤其是针对外部邮件设置特殊警告,同时针对钓鱼开展安全意识培训。使用WAF,防御应用层安全问题。设置账号口令以及口令策略,比如长度,复杂度,定期更改,尝试次数等;对账号权限进行最小权限原则;并对管理员权限账号进行审计;使用账号多因素认证(MFA);限制服务账号和管理员账号对互联网服务的访问;即时对账号权限进行分配,防止权限攀升或保留的情况。保证操作系统、软件及固件更新到最新。尤其是针对一些高危可利用的漏洞要进行修复和升级。对域控进行安全加固和安全监控。禁用不适用的互联网业务。做好网络隔离,配置良好的ACL规则。(2)执行阶段构建内部网络拓扑的架构,可以描绘内部的服务和数据的流向。开启Powershell的日志记录以及脚本执行记录。配置Windows注册表,对于PsExec操作开启UAC机制。(3)提权禁用命令行和脚本执行行为和权限,通常命令和脚本都是提权的重要通道。开启权限保护(Credential Guard),这个机制在Windows 11默认开启,可以防止对LSA凭证转储。使用本地管理员密码解决方案(LAPS),前提是升级到Windows Server 2019和Windows 10以上。(4)防御规避应用本地安全策略来控制应用执行,比如使用SRP,Applocker,WDAC等来去确定白名单和黑名单。(5)凭证访问限制NTLM使用,进行安全加固和防火墙策略。(6)发现禁用不使用的端口。(7)横向移动识别AD的控制路径,为了排除对重要业务资产的访问路径。使用终端安全产品来识别东西向的访问流量,从而可以识别受到勒索软件感染的机器的横向移动行为。(8)C2使用多层网络架构,创建可信区域保护组织的敏感数据。不应该使用VPN来进行可信区域的访问,要考虑零信任架构。(9)渗出阻断跟恶意系统的连接,恶意系统主要使用的是TLS的代理。同时利用威胁情报的订阅内容来阻断C2的服务器连接。使用网关安全等产品来限制和监控对外提供文件服务的相关系统,防止数据外发。(10)影响实施恢复计划,要保存多份备份在不同的隔离的安全的物理位置。维护离线的备份数据,建议3-2-1备份策略:保证3个备份(一份生产,二分备份),在2个媒介上存储,比如磁盘和磁带,1个保存在灾备中心。保证所有的备份数据都是加密的。新西兰CERT对于这些ATT&CK阶段合并为三个大阶段和相关防御手段做了图示。图2...