专家个人简介
一、 漏洞可利用信息
基于华为卓越的入侵防御能力、设备遥测能力及防火墙市场占有率,可以持续地感知到现网真实被用于入侵攻击的漏洞、攻击的时间、攻击的次数等信息。根据该信息,企业可以根据其资产暴露位置、漏洞状态、漏洞实际被利用情况,优先处理处于互联网边界、且已经被攻击者利用的漏洞。 漏洞可利用信息的生产原理如下图所示。二、威胁IP信息
互联网上充斥着各类攻击,据统计39%的流量来自于恶意攻击者。相应的,在安全设备上每天可以检测到数以万计、百万计,甚至亿级的攻击日志,很容易造成安全人员的告警疲劳。另一方面,网络入侵距离勒索或许仅仅一步之遥,其区别仅仅是漏洞利用后投递的载荷链接是否为勒索软件。因此,谨慎地对待每一次攻击十分有必要。如果可以阻断任何一次攻击尝试,那么就可以大幅度地提升攻击的成本,降低勒索软件的攻击概率。 在华为乾坤边界防护与响应服务中,基于规则、智能算法和威胁IP信息,华为实现了99%的告警自动化,对每一个确定为恶意的IP进行封堵,极大地提升攻击成本。 威胁IP信息生产的核心原理如下图所示。三、 文件信誉
一旦入侵成功执行,恶意软件通过网络传输到目标设备,在流量或者主机这两个检测点均可以利用威胁信息的已知检测能力,快速地基于文件HASH进行勒索软件的检测。 华为文件信誉的关键能力包括:
1.累计PB级恶意文件数据积累,支撑对各类恶意文件检测能力研究和开发,如基于人工智能的检测、基于行为的检测等。
2.累计十亿级恶意文件威胁信息数据,支撑设备快速识别勒索软件。
四、 失陷检测指标IoC部分勒索软件通过钓鱼或者botnet传播,或者从另外角度,即使有些钓鱼或者具备命令与控制能力的恶意软件没有传播勒索软件,企业也必须切断C&C控制通道,否则,攻击者通过具备命令与控制的恶意软件可以在任何时候安装勒索软件,它使得企业始终处于可能被勒索攻击的风险之下。华为提供的IoC类威胁信息中不仅包含了远控类恶意软件的C&C地址,还包括了钓鱼、挖矿、勒索攻击相关的IoC。它们集成到天关或者华为乾坤中的恶意域名检测能力中,帮助企业快速发现失陷主机。
失陷检测指标IoC生产的核心原理如下图所示。
核心能力包括:
1.千万级IoC,包括DGA、挖矿、恶意下载站地址、钓鱼、C&C等。
2.日均千亿级DNS日志分析及智能计算,发现高可疑域名;累计百亿级PDNS数据积累,可持续研究发现各类恶意地址。
3.基于沙箱的大规模恶意样本分析及人工研判,及时发现新的C&C地址。
结束语勒索攻击技术在不断的演进,威胁信息技术通过嵌入到纵深防御的各个阶段,发挥“一点发现,全局使能”的重要作用,持续地提升防御的效率,增加攻击的成本。不仅如此,在攻击前,通过宏观的攻击洞察,威胁信息技术还指导防守者如何集中资源,解决重点的安全问题。攻击后,通过其他的观测指标还可以帮助进行攻击响应,攻击溯源等。
原文标题:揭秘勒索第7期丨Threat Intelligence对抗勒索攻击的能力大盘点
文章出处:【微信公众号:华为数据通信】欢迎添加关注!文章转载请注明出处。
全部0条评论
快来发表一下你的评论吧 !