通过数据加密方案阻止勒索攻击

      6月2日上午10：00开始，安策信息技术的专家李金海，在线为大家分享勒索病毒相关的防护问题。

       大家可能都有一个疑惑，公司花费了大量的人力物力财力对企业内网络进行加固防护以及对人员安全意识进行培训，但是为什么还会频频中招，导致勒索病毒成功入侵并使得业务中断，甚至导致数据信息泄露呢？所以，本次的安策的会议主题就是如何在勒索病毒攻击下仍然能保护好数据的安全？                     

    

防勒索研讨会主题图

       会议介绍了勒索病毒常见的入侵方式，列举了一些常见的入侵方式，不一定全面，有软件捆绑、水坑攻击、高危漏洞、已知漏洞、暴力破解、垃圾邮件、网络文件共享、组合拳、供应链等等如图：

勒索病毒常见的入侵方式图

        相信大家在安装软件的时候，经常会莫名的被安装不相关的软件，这是软件捆绑，如果这些捆绑软件具备攻击性和传染性，就形成攻击事件，在这个方式中涉及到员工操作问题，当然传统的方式会限制员工下载软件，以及限制系统不允许安装软件等，但这些操作落地的难度完全依赖于员工的安全意识和水平，但在现实中人员水平是最难评估和保障的安全隐患。

        又如高危漏洞和已知漏洞，这里会涉及到企业漏洞管理的解决方案，但是0day的威胁，对于现有的防御体系却可以无视。在我参加的cisp_DSG培训时，老师参加过多次护网行动中的红方(红方一般进行攻击)，老师说一个黑客能力的体现，主要看他手里有多少0day。因为国内现有的网络安全防护已经很完善，靠传统的入侵方式已经行不通了，有手握多个0day漏洞的攻击人员才有更大可能入侵，而企业对于0day的防御能力几乎为0。

         会议对如何从根本上防御勒索病毒进行了思考，安策工程师觉得通过分析勒索病毒运行过程的行为和目的入手，比从入侵阻断方式入手更有易于落地。

        首先，来分析下勒索病毒运行过程中的行为。

        勒索病毒具有很强的隐藏特性并且具有多种变种，但勒索病毒的关键行为却不会改变。例如读取远程服务器上的文件，并窃取；搜集计算机信息，遍历文件，调用加密算法对数据进行加密等。在这里，大家可以思考下，勒索病毒具有很多变种和隐藏特性，而咱们企业上线的安全防护措施和人员安全意识是否能够cover掉所有的病毒入侵方式呢？答案可能已经显而易见的了。

        其次，再列举了几种传统的防御勒索病毒的方式。

        主要从安全技术和安全管理两方面入手：不要打开陌生人或来历不明的邮件，防止通过邮件附件的攻击；尽量不要点击office宏运行提示，避免来自office组件的病毒感染；需要的软件从正规（官网）途径下载，不要双击打开.js、.vbs等后缀名文件；升级到最新的防病毒等安全特征库；升级防病毒软件到最新的防病毒库，阻止已存在的病毒样本攻击；定期异地备份计算机中重要的数据和文件，万一中病毒可以进行恢复等。

       大家应该都看到了上面对人员安全意识以及对运维人员要求特别高，而这一块对企业来说恰恰是薄弱环节，还有对人的行为管理恰恰是最难的。

       

     然后，我们看看有没有容易落地的就解决方案？

     基于上面对勒索病毒的入侵以及运行过程行为分析，我们在想有没有一种方式？无需太多人员参与，不需要考虑太多漏洞以及攻击方式，基于勒索病毒攻击的行为和目的进行限制，保护勒索病毒攻击的目标，让攻击者没有授权无法对数据进行读写和加密操作呢？

 

常见网络安全架构图

       这副简单的图画出了一个企业内部的网络架构图，相信很多企业都上线了如防火墙、入侵检测、入侵防护、漏洞扫描、态势感知、防病毒等系统。但对当前企业数字化转型最重要的数据中心区域的防护却是薄弱环节，一旦病毒入侵成功，数据对于病毒就是到嘴的肥羊。

今天给大家介绍的我们安策的解决方案就是基于数据中心区域数据的安全防护。

透明加密方案：一种对当前业务影响最小,能够有效遏制勒索病毒对数据操作的一种解决方案；这个方案的框架为一个管理中心+多个透明加密代理；

数据中心数据防勒索架构图

请特别注意几个特点；

1. 管理中心即可信加密管理系统，统一管理透明加密代理的策略，注册的终端和终端受保护文件操作行为的日志信息。

2.这里的透明加密代理的策略是指，对授权那个用户对什么数据进行什么样的操作，注册终端包括大数据中心、容器、云环境、数据库集群和os/文件系统的服务器；

3.日志信息可以搜集在受保护的终端上的数据是否有异常阻断，对接SIEM和报警系统，对数据状态进行监控预警，方便运维人员和管理人员及时处理异常。

那么这套系统到底是如何实现数据保护的呢?大家可以看一看这张图；

实现数据加密控制流程图

对于落地的数据通过代理进行加密和授权控制，只有授权的进程和用户才能访问数据,而没有授权的是无法访问。也可以独立授权对数据做备份的人员，只运行备份，但不能修改和查看明文。

另外，上面2张图都提到了可信密钥管理系统。这个系统可以作为一个基于安全密钥技术的数据加密平台。可以作为企业的核心基础设施。对企业内各种环境中基于密钥的应用进行集中化管理。

 

可信密钥管理系统图

下面基于上述介绍,最后给大家演示一下安策这套透明加密的防御勒索病毒的实际效果。如图：

 

勒索病毒演示加防御效果图