据媒体报道,2021年5月7日,美国最大输油管道公司Colonial Pipeline遭勒索软件攻击,导致其被迫关闭管道系统。
截至发稿前,Colonial称已通报了联邦当局,并雇用了FireEye公司进行事件调查。在管道关闭的第三天,Colonial表示正在制定系统重启计划,同时使其四个主要输油管线保持离线状态。该公司表示,只有在确保完全安全且符合所有联邦法规的批准后,才会将其系统重新上线。
美国交通运输部发布紧急状态的消息一出,全球的网络安全领域都在关注此事。据报道称,Colonial公司每天向美国东部运输25亿桶石油,并与30座炼油厂和近300个分销终端相连。它从德克萨斯州向东北部运送天然气和其他燃料,约占东海岸消耗燃料的45%。石油管道被切断,对全美造成的经济损失难以估量。
近年来,勒索病毒威胁日盛,即便如此,Colonial Pipeline公司此次遭受如此攻击,也仍显现出了其网络安全工作的严重不足。面对这样的重大勒索软件攻击事件,也给国内关键信息基础设施建设保护及相关从业者敲响了警钟。这启发我们不仅需要完善的关键信息基础设施,更需要对关键信息基础设施的安全给予实时全面的监测保护,这其中EDR无疑是破局非常重要的一环。
东软终端安全产品(EDR),对于勒索病毒防护有独到的破解方法,从勒索病毒攻击链出发,基于Gartner倡导的PPDR模型覆盖预防、防护、检测与响应四个阶段,利用特征识别,诱捕技术,行为分析三大技术手段,对勒索病毒进行全面纵深防护。
四个阶段:
预防:通过安全基线检查、漏洞检测等预先识别系统脆弱面,并封堵勒索病毒攻击入口。
防护:开启暴力破解、无文件防护、勒索诱捕等主机加固安全策略,对勒索病毒的各种攻击手段进行针对性的对抗与防护。
检测与响应:通过特征识别引擎和行为检测引擎进行文件实时检测、威胁定位、云安全中心联动等对勒索病毒进行全网快速发现、处置与阻断,阻止威胁爆破。
三大技术手段:
特征识别:实时更新的本地静态特征库,覆盖已知勒索病毒,快速全面检测勒索病毒,并利用机器学习技术,识别勒索病毒变种,高效便捷。
勒索诱捕:开启该功能后,东软EDR件会在系统盘符下创建一些具有隐藏属性的随机名文件目录,文件目录里会有若干常见文件格式的随机文件,EDR防护系统实时检测这些随机文件状态来诱捕勒索病毒,以达到增强防护的目的。
行为分析:EDR代理全面采集终端主机行为,与云端安全中心和威胁情报中心联动,通过大数据人工智能方式进行异常行为分析、勒索攻击行为检测识别,一旦发现到可疑进程和威胁,第一时间下发EDR代理进行主机隔离或进程阻止等响应手段保护客户网络,免受勒索病毒入侵。
东软NetEye终端安全EDR产品目前已经在医疗,军工,教育,电力等行业进行全面的部署,涵盖物理主机,虚拟机,工控机,云桌面以及主流云平台主机,已经帮助众多客户成功抵御各类攻击,成为终端安全的坚实防护屏障。