演练背景
勒索病毒是一种极具传播性、破坏性的恶意软件,主要利用多种密码算法加密用户数据,恐吓、胁迫、勒索用户高额赎金。勒索病毒加密信息难以恢复、攻击来源难以追踪,且其攻击直接影响与生产生活相关信息系统的正常运转。
在全球范围内,勒索病毒攻击事件爆发的数量和频率持续升高,造成的影响范围日渐扩大,并呈现出向关键信息基础设施领域蔓延的趋势。2023年11月,中国工商银行在美子公司亦遭勒索软件攻击,致美债结算业务中断。同时,随着Darkside、Lazarus、Dark Halo 等APT组织陆续将矛头转向我国,国内金融、能源、医疗、新型制造业等支付能力强的行业纷纷遭遇“针对性勒索”攻击,勒索金额从几百万到几千万不等,成为企业网络安全面临的最大威胁之一。
演练价值
尽管勒索病毒的攻击形式日趋复杂,但仅从入侵方式和渗透手法来看,勒索病毒依然是“可防、可控、可阻断”的,且会在攻击发起后短时间内呈现出较明显的特征。因此,如何在遭受攻击后的“黄金救援期”及时、正确开展应急处置,就成为了企业面对勒索病毒时至关重要的能力。
公安部三所网研基地通过对大量实战勒索应急案例的跟踪分析,结合在国家和各地市大型网络安全攻防演习行动中的丰富实战经验,协助企业组织和开展针对勒索病毒攻击的专项安全演练活动,“以演代练、以练促防”,提高企业对勒索攻击风险的发现能力,强化数据安全保障能力和应急响应能力。
演练方案的特点包括:
Ø高针对性,强实战化:切实发现企业安全防御的薄弱点
勒索病毒的安全防御具有木桶效应。尤其是在主机层面,单个主机的脆弱性极易造成单点失陷从而导致内部扩散。同时高复杂度的业务系统也使得安全防御薄弱点很难发现。
同时,企业应急机制的有效性往往难以验证。绝大部分的应急措施未经过实践考验,应急措施执行是否及时、沦陷系统隔离是否得当、事后恢复处置是否完善,各项应急措施有效性需要经过实战化的检验和评估。
专项演练服务将结合企业资产布防情况和所属行业网络攻击特点设计勒索场景,根据企业实际业务及安全建设情况高度定制和模拟攻击进程,专项专验;同时,由安全专家协助指导,重点开展攻防演练中的应急处置工作。
Ø高仿真度,强可视化:有力提升全体员工安全意识
在企业网络安全建设工作中,安全措施可以通过技术手段弥补,但非安全运维人员的安全意识以及领导对于安全意识方面的重视程度往往难以触达。专项演练服务在实施中全方位模拟实际勒索病毒攻击链,由资深安全专家现场指导,病毒投递、扩张、爆发100%仿照真实攻击事件,为企业带来最真实的演练体验。
同时,专项演练将部署自研的在线勒索演练平台,实时展示勒索病毒感染传播情况,方便相关领导直观感受勒索病毒危害以及相关措施有效性,提升企业全员的安全意识重视程度。
演练流程
勒索病毒专项演练流程分为准备阶段、正式演练、清理复盘共三个阶段。
1.准备阶段
Ø确定演练目的、时间、范围
整个演练过程一般约五个工作日。沟通明确演练的时间、范围及企业基本的业务和安全建设情况。
Ø组建勒索演练项目团队
由企业安全部门与网研基地安全专家和工作人员共同组建指挥部、专家组、防守组、保障组。
Ø部署自研的在线勒索演练可视化平台
为指挥部现场实时指挥以及后续评估总结提供可视化依据。
2.正式演练阶段
主要工作分为以下四个阶段:
3.清理阶段
Ø木马清除
通过勒索演练总控平台一键对所有感染主机实时清理和恢复。
Ø人工检查
通过人工的方式检查勒索病毒的清除完成情况。
Ø总结复盘
演练结束后,协调企业对接人完成资源回收,对演练数据进行统计分析。根据演练数据分析内容与演练过程状态进行应急效果评估,综合演练数据、应急效果、演习成果以及安全防护措施建议形成最终的评估报告。
原文始发于微信公众号(公安部第三研究所网研基地):以练促防:勒索病毒专项演练,检验企业安全防御实效
