腾讯云-如何破解勒素攻击难题？80%的企业管理者认为对网络安全的最大威胁难题

BD%的企业管理者认为对网络安全的最大威胁难题腾讯云腾讯云勒索病毒现状与危害勒索软件的攻击手法和趋势应对未来勒索病毒攻击的防御策略现为腾讯安全玄武实验室高级研究员，具有较为全栈的安全研究能力和多年的漏洞和攻防研究经验。曾发现过多个关键基础设施和具有攻防实战价值的漏洞，曾在ACNCC5、IEEES&P、DEFCON等国际顶级安全会议发表相关研究成果。勒索病毒的危害加密勒索：导致业务停摆，平均恢复周期三周。数据窃取：窃取数据作为勒索筹码，传统基于备份的防御手法无法防御此类攻击数据拍卖：导致业务数据泄漏。datawithoutdatawithout勒索攻击者会在支付赎金后拍卖Yes,andwe数据，以达到利益最大化wereableYes,but勒索病毒的经济模型的。。勒索软件赎金趋势_“CloP和其他以大型企业为目标的攻击者大幅拉升了全球平均薪酬水平，尽管中位薪酬水平小幅上升[中位赎金金额：190,424美元[较2023年第一季度增长20%]。CloP集团很可能从MOVEit活动中赚取7500万至1亿美元”教育医疗金融&贸易软件&互联网服务业勒索病毒的行业分布勒索病毒的行业分布勒索病毒的攻击手法1.暴力破解、弱口令、网页挂马等“低级手法”仍然是攻击的主流手法2.钓鱼、投毒、漏洞攻击等高级手法也占有一部分比例勒索病毒的攻击手法增长增长勒索攻击手段日趋成熟、攻击目标越发明确，模式多种多样，攻击愈发隐蔽，更加难以防范，危害也日益增大。入点精准攻击趋势明显”反勒索病毒的挑战_勒索病毒的攻击手法逐渐高端化，APT化，且造成损失较大系统存活率随着勒索软件的存活时间随指数级下降，因此对勒索病毒响应速度有较高要求因此，需要科学防范，提前预防[攻击面管理],及时发现[部署多维度的检测系统],及时处理[部署响应系统]防御策略：攻击面管理+纵深防御+自动处置防御策略：攻击面管理+纵深防御+自动处置腾讯安全玄武实验室腾讯安全玄武实验室034950万测试数据中，加密样本568,676条，正常样本48,931,308条误报率[FPR]=FP/N为0,漏报率[FNR]=FN/P为0.0028%“中小企业”在线学堂玄武实验室高级威胁防护引擎产品定义及特性针对高级威胁包括(但不限于)—B腾讯云腾讯安全腾讯云腾讯云腾讯云云原生安全防勒索病毒攻击场景最佳实践周佳宇腾讯云原生安全产品中心高级工程师云上常见的勒索病毒攻击场景特点云上勒索病毒攻击特点用户资产用户云上租户数量庞大，安全水平参差不齐。云上资产云上租户数量庞大，安全水平参差不齐。点也较多，容易攻击。攻击方式云上勒索绝大多数为广撒网式攻击，并不针对特定用户，但存在少量对高价值“中小企业”在线学堂其他其他…云上勒索病毒攻击场景防护痛点及策略防护痛点问题1.攻击来源广，持续不断>不同来源黑客针对云上资产进行攻击全天候不间断的攻击。>不清楚自身组件、账号、端口、文件等各类资产使用情况。>资产较多的情况下，依靠人力很难全面掌握。>存在非必要的资产暴露公网的情况。3.无法100%防御所有勒索攻击>基于规则的检测，无论是勒索病毒文件还是异常行为，始终存在漏报和误报的可能。4.勒索加密文件很难解密>通常情况下，被勒索加密的文件无法被解密还原。“中小企业”在线学堂公公交岁分企业资产快照备份+诱饵文件-端口-Jar包-账号-数据库-环境变量主机概况趋势图①近30天2023-10-12～2023主机标签TOP5——离线台数—风险台数一总台数一在线台数C印三Q·检测规则Q·检测规则←编辑策略×基线检测设置×检测策略设置检测规则说明检测策略设置检测规则说明忽略规则设置自定义弱口令e√Unux系统弱口令检测☑Rsyne无密码访问■国大事前：漏洞风险收敛内部漏洞情报系统获取信息外部公开渠道获取信息安全运营人员评估漏洞响应价值发布漏洞预警信息进行提示总结漏洞引入原因梳理自有资产漏洞情况，全面修复编写漏洞检测规则输出云主机资产影响面发送漏洞告警确立资产影响面，并提供漏洞详情和修复指引提供部分漏洞的自动修复能力，形成响应闭环漏洞应急响应流程漏洞管理泰石引擎会漏洞定时扫描漏洞自动防御漏洞自动修复☑漏洞扫描一键扫描已停止立漏洞设置立漏洞设置漏洞防御防御主机资产防护今日新增▲资产防护今日新增▲◎功能说明防御设置漏洞概览个网络攻击事件(近1月)⑥次已支持漏润■今日新增0今日新增今日新增今日新增漏洞名称/标签检测方式威胁等级全网攻击热度TcvssCAtlassianConfluenceDataCenter…版本对比2023-10-04①已扫描，发现漏洞查看详情立即扫描三四已扫描，未发现漏洞漏洞发现→漏洞检测→漏洞修复/防御→总结速收敛漏洞风险。>勒索病毒检测能力基于腾讯数十年积累的海量恶意文件和TAV等检测引擎的能力，可以及时发现勒索病毒及其新变种，快速响应。>勒索病毒自动隔离一旦检测到勒索病毒文件，可自动隔离病毒，阻止其运行后加密机器上的文件。检测模式①检测模式①VV>异常行为阻断可对机器上执行的一些高危命令进行拦截，降低被勒索成功的概率。创建策略基本信息生效主机范围(已选择0台)请输入主机名称/实例IDMP地址进行搜索Q⊙C印=创建策略备份周期设置*备份周期创建策略备份周期设置*备份周期按周每周-☑☑C/1页三■1创建策略创建策略诱饵防护设置☑默认目录⑥设置诱饵监控-设置诱饵监控目录，可根据实际业务情况增加投放目录-设置快照自动备份，可按日期、时间、磁盘等进行定期数据备份，防止被勒索加密后无法恢复数据取消腾讯云腾讯云腾讯云毒攻击最佳实践办公终端上的勒索攻击场景特点腾讯办公安全防勒索优秀实践腾讯办公安全实践分享勒索攻击事件的种类：针对设备加密开机密码勒索：删除原来的账户，创建一个新的账户，并勒索MBR加密：对MBR进行加密，使得需要密码2tkordSSHsgabx?KOa!IB1T³Vcb⁹UFXGe;LsJHoJ2RsBUS⁵YeNHEdkrenLDr3voYeyThHonUPREx2BrrHnha9sHiloSLzahhaSrnUq/901EUk95sciEAdRHryXAuOuhqmHEH2zztkeiR?btECONNPEnOxBGSpitqsOsbGxPYuLEkO1oftjFiZkJ1TqHUAGRs3jS⁹LUHvir2SeqHlostThhg--lrendygotthopassvord,plenseentoritbolot.BestCryptBestCryptVolumeEncrypA□Useremovabedevcetostoreen系统保图(Mountft血腥耶稣制作的软件哦!!!不要在费劲了，加下面的aQ吧!血腥耶稣QQ:525512435要退出怎么做?加aa:525512435帮你解开!23时59分53秒后手机可以正常使用!血腥耶稣制作!aQ:525512435随着数字货币的兴起，以WannaCry为代表的，使用匿名数字货币为赎金，使用非对称加密算法[RSA]针对数据[文档]加密的成为主流的新型勒索病毒。x您的一些重要文件被我加密保存了。骗你的。对你不利·ACCEPTEDHERE2.pngWNCRY3.doc.WN5.doc.WNCRY5jpgWNCRY5.png.WNCRY6.doc.WNCRY6jpg.WNCRY6.png7.pngWNCRY8.doc.WNCRY8jpg.WNCRY8.pngWNCRY9.doc.WNinlibrary22人工入侵式人工入侵式△△ms+ms+病毒传播式病毒传播式水坑、钓鱼、漏洞利用横向移动水坑、钓鱼、漏洞利用办公终端上的勒索攻击场景特点腾讯办公安全防勒索优秀实践腾讯办公安全实践分享O账密被破解也不能一一iOA进程被强退后个X行为识别病毒被运行，也无爆破前端口隐藏密码加固爆破后爆破防护RDP二次认证EDREDR:行为关联端口隐藏(基础)密码加固(基础)爆破中(高级)情报关联(基础)行为关联(高级)用Ring3级破坏全阻断客户端自保护策略进程性能应用历史记录启动用户详细信息服务名称名称79207920正在运行×●对病毒文件落地和执行，分别从文件监控、行为检测、部署诱饵文档捕获加密行为部署三层防御行为检测智能诱饵防加密行为：智能部署诱饵，主动诱捕勒索行为●对病毒文件落地和执行，分别从文件监控、行为检测、部署诱饵文档捕获加密行为部署三层防御，实际测试防御效果业内领先。过部署智能诱饵，拦截加密行为。在文件系统底层部署诱饵文件，映射到系统各个关键目录过部署智能诱饵，拦截加密行为。,并且对用户不可见当勒索病毒执行时，通过文件过滤驱动，确保诱饵文件第当诱饵文档被修改后，识别内容格式是否发生变化，确认有效样本(18)有效保护率“中小企业”在线学堂无文件格式备份卷影备份巧妙的文件存储方式，即便文件系统被破坏的情况下也能恢复被加密的文件数据拆分无文件格式备份卷影备份巧妙的文件存储方式，即便文件系统被破坏的情况下也能恢复被加密的文件数据拆分进程保护卷影系统卷影增量备份卷影修改文件写行为被捕获恢复文件原始文件备份方案文件备份方案文档解续文档找回目实时防护文档找回口文档解蜜进入此时间点的电脑目录2022-09-16(今天)可还原文档目录2022-09-16(今天)曰-计算机由□本地磁盘(D:)由□本地磁盘(F)文档名■方…docx÷返回已选中0个文档，大小共0.00KB被加密还原等将持续跟踪研究解密方案文档找回口文档解族实时护三-×昏文档状回快速解密源文件解密②腾讯iOA腾讯iOA已成功拦截网络攻击远程计划任务、注册表、经过多次实战检验、免费病毒库查询勒索病毒搜索引擎Wannacy勤索病毒事件向丽勒索病毒整体攻击态势立即查询解密勒索病毒产业链文守护管20文守护管20实时防护昏文性铁目白文档续2018.07.20支持Sstan勒索病毒解密护者-文档解密”功能，成功解密被加密的数据文件。目前，该医院被加密的重要数据已完全恢复正今天腾讯都协助排查了撒且病毒并提供了处理建议，并未查杀出来，腾讯企业版查杀到了今天腾讯都协助排查了撒旦病毒，并提供了处理建议，XX并未查杀出来，腾讯企业版查杀到了有没有批量解密工具这个PDF解密了吗这个我们分析后，是可以解密选择文档目录远程办公/内网/合作伙伴远程办公/内网/合作伙伴iOA客户端策略下发--状态收集-加密链接e零信任网关Web应用办公终端上的勒索攻击场景特点腾讯办公安全防勒索优秀实践腾讯办公安全实践分享腾讯安全大事记2006年，推出QQ2006年，推出QQ医生，升级化升级的安全战略官●2011年，推出化升级的安全战略官●2011年，推出QQ安全助手，平台，建设“安全+新生态圈”2019年，打造云管端全栈式安全防护体系●2020年，云安全技术专利累计1500●2020年，云安全技术专利累计1500+项，台作生态，渠道生态建设体系化，客户超●2020年一2021年，二十余次获Gartner专注安全技术研究，覆盖连接、系统、应●2014年，“腾讯安全”品牌战●2014年，“腾讯安全”品牌战略●2015年，手管份额行业第一●2016年一2018年，屡获Pwn2Own冠军●2015年，手管份额行业第一国际荣誉腾讯终端安全发展历程2006年业务规模快速发展，业务特点导致被黑产和专业的黑客团队高度关注，分区分域安全管理、办公电脑安全规范等陆续出台。QQ医生正式推出手机管家移动应用安全加固移动环境检测腾讯零信任安全或ITU-T国际标准立项,推动全球零信任标准化应用2020年腾讯联合零信任产业标准工作组发布《零信任实战白皮书》原终端安全产品升级为零信任解决方案入选Forrest推荐厂商2003年公司准备上市相关的终端安全、合规管控等工作开始PC互联网末端，移动互联网开启,竞争非常激烈，安全提升到公司级战略高度。正式升级为个人电脑管家，装机量过亿腾讯在企业内部开始零信任网络安全的实践和落地，并逐渐扩展到整个集团。推出面向企业的终端安全产品2022年腾讯零信任解决方案应用规模超百万终端；积极向外输出标准和能力，通过被集成方式进行生态建设用户的电脑安全!安全能力全球七大权威机构评测大满贯，100次+最高评级腾讯电脑管家腾讯电脑管家财产安全层层保险，诈骗信息查询、支付环境检测、检出率100%100%,0误报，持续保终端设备接入：总数10w+/天.。防中防中海外分公司各地办事处