勒索病毒攻击逐渐形成产业化自WannaCry(永恒之蓝勒索蠕虫)大规模爆发以来,勒索病毒已成为对政府及企事业单位主要受威胁的一类木马病毒。尤其之后爆发的Globelmposter、GandCrab、Crysis等勒索病毒,攻击者更是将矛头对准服务器,并形成产业化链条。近年来,勒索病毒让大中小企业都头痛不已,麻烦不断。
其中比较典型的是日本汽车制造商本田,本田表示,其服务器受到Ekans勒索软件攻击。Ekans是Snake勒索软件的一种变体,该勒索软件拥有相对较新的攻击模式,它具有锁定工厂中的工业控制系统和机械的功能。此问题正在影响其访问计算机服务器,使用电子邮件以及使用其内部系统的能力。此外对日本以外的生产系统也有影响。在大多数工厂都恢复生产时,仍怀疑勒索软件在该公司的生产系统,因此其位于俄亥俄州,土耳其,印度和巴西的主要工厂仍处于停工状态。
不仅仅是本田汽车,近几年,台积电、豆瓣、国内多家医院信息系统均遭黑客入侵,但是现今市场上常见的勒索病毒防护方案都只能挽回一定损失,却并不能真正防止勒索病毒对文件的破坏。核心的问题是应该思考的是如何从底层防御勒索病毒,防止数据文件被病毒加密。
勒索病毒加密文件,首先需要有文件访问的权限,举个例子如果针对word文档做保护,我们只需要限制只有office或者wps等合法办公软件可以访问doc和docx后缀名的文件,其余未授权软件无法访问其即可达到保护目的,也就是勒索病毒的程序想访问word等文件无法访问,因为它没有授权。如果我们设计一个访问控制的模型从访问控制的角度描述安全系统,主要针对系统中主体对客体的访问及其安全控制。这个访问控制安全模型中一般包括主体、客体,以及为识别和验证这些实体的子系统和控制实体间访问的参考监视器。通常访问控制可分自主访问控制(DAC)和强制访问控制(MAC)。自主访问控制机制允许对象的属主来制定针对该对象的保护策略。DAC通过授权列表(或访问控制列表ACL)限定主客体的执行操作,这样我们可以允许只有合法授权的程序才能访问被保护的文件,这样我们就可以从底层防御勒索病毒,从而达到保护文件对勒索病毒免疫的效果。
这种解决方案我们可以叫做抵御勒索病毒的文件防火墙,如果对文件防火墙需要进一步了解,请联系蓝盟IT外包获取免费咨询。
文/上海蓝盟 IT外包专家
中文
电话咨询
微信咨询
公众号
