《企业勒索软件防护应用指南》发布-佰倬信息科技有限责任公司

微信图片_20220421162615

报告关键发现

日前，佰倬信息科技公司与安全牛、深信服、奇安信等公司联合发布《企业勒索软件防护应用指南》。指南报告中有如下关键发现：当前勒索攻击数量总体上升，普通勒索攻击比例下降，定向勒索攻击上升，攻击以攻击高收入地区、以关键信息基础设施为主。数据窃取、DDOS等双重甚至三重勒索比例不断提升，黑客完成数据窃取之后，对重要数据进行加密、勒索，并删除或加密备份系统中的数据。同时在互联网上发布泄漏数据，给受害者施压（面临海量的数据泄露，还有相关的法规、财务和声誉影响）。定向勒索的攻击手法与高级威胁趋同，可以依照高级威胁模型进行勒索防护能力构建。勒索软件防护能力不足、防勒索产品没有很好使用、员工安全意识薄弱是主要的勒索防护难点。

佰倬防勒索方案优势

现在常见的防勒索解决方案存在如下不足：

备份系统：不防数据泄露、不防黑客破坏；文件加密：不防二次被加密；防病毒、EDR：只能防已知勒索软件，不能防未知勒索软件，不防黑客停服务、杀进程，更新不及时防护效果打折扣；防火墙、IPS防勒索软件传播：只能防已知勒索软件，不能防未知勒索软件，更新不及时防护效果打折扣。

佰倬数安解决方案通过“后量子密钥管理”和“强制访问控制”的智能集成，实现数据自保，使服务器和终端上的数据文件能够抵御勒索软件、网络钓鱼、恶意软件、内鬼等已知、未知威胁而实现自我免疫。

佰倬采用“计算执行环境内的加密隔离”防勒索核心理念：

其OS加密增强系统按需从计算执行环境中加密划分出安全隔离的活动空间来进行数据活动；超强访问控制与进程指纹的结合使之不同于现有其他的访问控制技术；海量密钥管理支撑“一文一密”的能力；实现数据自保-无论网络和系统状况如何，数据都能对已知和未知的威胁免疫。

佰倬的方案做到真正的对勒索软件的防护，无需更新签名库、分析规则库来确保防护效果，无惧未知勒索软件，防勒索软件窃取数据文件，防勒索软件加密数据文件或二次加密已被加密保护的数据文件，防黑客攻击正常应用来运行勒索软件攻击数据文件，防勒索软件去保护手段（停服务、杀进程、卸载）

佰倬的防勒索解决方案具备以下特点：

·覆盖面广

佰倬的防勒索产品可以覆盖您位于任何地方的各类服务器和各类型终端。

·不依赖于签名库、行为分析规则库的更新

因此对未知勒索软件的防护极佳，且在各个环境中的防护效果一致。

·低资源消耗

以保护数据库为例，佰倬的数据保护软件在同时开启强访问控制与加密时对数据库吞吐量的影响低于 5%。

·强制访问控制和加密智能相结合

对需要保护的数据进行自动加密保护，基于进程指纹信息和加密数据的保护标识，建立岗哨白名单，在系统驱动层设置安全岗哨，只授权合法进程访问被加密保护的数据，拒绝非法进程访问被加密保护的数据。即使非法或恶意内部人员将强制访问控制强行关掉，数据仍一直保持被加密状态，无明文泄漏。

·操作系统内核层的文件系统数据透明加密与数据访问控制紧密结合

在操作系统内核层的文件系统中实现数据加密，此加密机制对合法进程透明，即加密机制不改变合法进程对数据的访问方式。同时，文件系统使用强制访问的授权判定信息决定是否对数据进行加解密，从而保证在系统漏洞/系统后门被利用时数据仍不会泄露。

·零知识数据保护

作为数据保护服务的提供者，不收集关于用户的网络、系统和数据的任何信息。在提供保护的同时对用户的网络、系统和数据一直保有零知识。

·数据防泄漏、防破坏

能够保证在非易失性存储介质(如服务器硬盘)由于种种可能而脱离数据保护系统控制后，所存储的数据内容仍然安全而不会被窃取或泄露。

·抵御已知未知的外来恶意软件攻击(防勒索软件对数据的窃取、破坏等)

能够做到服务器、终端系统对恶意软件的性质种类毫不知情的情况下，保护数据不被窃取、破坏、劫持及勒索。被保护数据免疫已知和未知威胁，可抵御已知和未知的外来恶意攻击，不惧怕系统漏洞和后门，防勒索、破坏、和泄漏。

·抵御内部人员对数据的蓄意窃取(防内鬼)

支持禁止操作系统用户及系统管理员使用未授权程序对被保护数据文件进行复制、移动、删除、或修改，防内部攻击。

·用户对加解密过程无感知

运行在操作系统的内核层，用户无需关注加解密的过程。在防范勒索软件时，我们建议您开启加密功能，以确保无数据泄漏风险。

·对系统计算性能进行实时监测

安全岗哨对系统的关键计算性能指标实时做出完整的记录，并上传至中央岗哨平台。

·对软件自身的运行情况的监察

对软件自身的运行情况和工作状态做出完整的记录，从而保证整体系统的安全性。

·边缘安全自保与中央管控监察的完美结合

各个服务器、终端上的数据保护软件自动与中央岗哨平台连接，将数据保护记录和系统性能实时汇总到中央岗哨平台。

佰倬防勒索技术解析

从核心的角度来讲，佰倬的方案针对关键的、重要的数据的保障出发，并且假设主机已经被攻破的前提下进行的原型设计，通过在主机上按需从计算执行环境中加密划分出安全隔离的活动空间来进行数据活动，对需要保护的数据进行内核级加密存放，同时通过对合法应用程序的进程进行授权的方式来对访问安全隔离活动空间进行访问控制，来避免非授权进程或者恶意进程对数据文件的访问与修改。

在企业遭受勒索攻击时，假设黑客通过其他攻击手段已经拿到系统的root权限，此时最常见的做法就是通过文件备份先将数据文件打包存储一份，然后将数据文件向外部进行传送达到窃取的目的，当传送完成之后，则会拿勒索软件对数据文件进行加密，或者对数据文件进行删除或者破坏。如果黑客此时使用的是其他工具/进程来完成数据文件的打包、上传、加密、删除、破坏等操作，佰倬的方案可以有效阻止这些进程对数据文件的访问，从而防止窃取与泄漏、勒索、删除与破坏的发生；当然黑客也可以通过其他攻击方式来替换合法的应用进程，例如通过替换动态链接库或者程序运行脚本等方式，并重启相关的进程，尝试通过已授权进程来访问数据。由于佰倬的方案在开始授权进程的时候就通过智能学习将程序、软件库、配置脚本、配置文件、运行参数、运行环境变量结合起来并生成了进程的生物特征指纹，一旦黑客对以上各个环节进行替换、修改、恶意代码注入、进程劫持等动作之后，则授权进程生物特征指纹就会发生变化，有效的阻止原已授权的进程对数据的访问，达到防窃取与泄漏、防勒索、防恶意删除与破坏的目标。

同时佰倬的产品还拥有防卸载等多种自我保护机制，使得勒索软件/黑客的破坏性手段无法实现。通过安全活动空间的机制以及多种自我保护机制，佰倬的防勒索软件方案可以做到无论网络和系统状况如何，数据都能对已知和未知的勒索软件免疫，从而实现真正的数据自保。对黑客拿到操作系统最高权限并成功投放勒索软件后对数据文件进行的常见攻击动作都可以被阻挡。

佰倬建议在存放企业重要数据的任何位置都应该进行保护。如上图所示，通过集中部署防勒索客户端，佰倬的解决方案可以覆盖传统数据中心的各类服务器、各类云环境上的各类服务器、备份数据中心的各类服务器、各类型终端（包括桌面电脑、移动笔记本电脑、智能手机/平板电脑），佰倬中央岗哨平台可以管理位于各类服务器与终端上的佰倬的数据保护软件，推送防勒索策略、接收日志与告警。