华为多层联动勒索攻击防护技术MRP能否有效对抗勒索？

admin

988
文章

2
评论

2023年3月6日14:20:23 评论

分析观察：华为多层联动勒索攻击防护技术MRP能否有效对抗勒索？

2022年，我国某大型家电制造商、某著名电动车制造商遭勒索攻击，要求的赎金高达数百万美元到一千万美元。之前全球某头部IC代工厂、某头部电子设备代工企业等都曾遭到过勒索攻击。国内医院因为收入好、对业务持续性要求高、对勒索攻击买单意愿强，也成为勒索攻击的重点目标。

勒索攻击如今已是政企客户最头疼的网络威胁之一，遭到攻击的客户不仅面临因信息系统数据被加密而导致业务中断的风险，在《数据安全法》《个人信息保护法》已生效的今天，还面临着因数据被泄露（双重或多重勒索攻击的特点之一是攻击者会将拒付赎金的受害者的数据公开）而被监管机构处罚的风险。

勒索攻击，是典型的易攻难守。攻击者可以凭借系统漏洞、应用层漏洞、密码暴露破解、社会工程学攻击、供应链攻击等几乎任何攻击手段进行入侵，而防御者被迫要对整个攻击面做防御，百密一疏就会被攻破。但企业用于做网络安全的资源是有限的，对抗勒索攻击必须要讲策略：在网络安全总体防御的基础上，针对勒索攻击的特点做针对性防御。

勒索攻击的攻击者以获利为目的，会考虑投入产出比：

攻击的成本：最好找软柿子捏；
受害者的付费意愿：最好找业务中断损失大，数据泄露后果严重，不支付赎金系统恢复困难的受害者；
受害者的付费能力；

而对抗勒索攻击的思路就是纵深防御，建立战略纵深，通过多层防御机制，增加攻击者的难度，让自己成为“不那么软的柿子”，同时建立数据的备份/恢复机制，即使被勒索也能相对快速恢复业务，这样不仅可以对抗勒索攻击，同时也会让攻击者因为ROI原因而失去对这样目标的攻击兴趣。华为在2023世界移动通信大会上发布的MRP（Multilayer Ransomware Protection）防勒索技术就是这种防御思想。

纵深防御体系的第一层依旧是网络边界，如同古代战争中的城墙防御。不管是漏洞攻击、密码暴力破解攻击，还是钓鱼攻击，攻击者首先要接触被攻击目标，如果在网络边界处检测及阻断攻击是最理想的，拒敌于城墙之外肯定是第一选择，防火墙+沙箱检测就是华为MRP技术的第一道防线。

分析观察：华为多层联动勒索攻击防护技术MRP能否有效对抗勒索？

这道防线的主要任务是检测和阻断漏洞利用、阻断已知攻击源的网络访问、检测和拦截已知恶意代码、尽可能检测出未知的恶意代码，并为安全态势感知等安全运营系统提供安全态势信息。

防火墙依靠特征检测发现及阻断攻击，拼的是IPS特征的数量和质量、威胁情报的数量及质量，以及病毒木马样本数量和新鲜度，对于已知威胁，华为以2.5万IPS特征，50万威胁情报，3亿病毒木马样本领先同行。对于未知病毒和木马，则依靠沙箱的检测能力，华为采用的FireHunter沙箱，可以对超过2000个Windows API进行监控，发现样本的异常行为，并联动防火墙进行过阻断。针对密码暴力破解攻击，结合暴力破解的行为特征，使用AI检测引擎，通过机器学习分类算法，可检测出99%以上的密码暴力破解攻击行为。

防火墙是华为所擅长的安全产品之一，其HiSecEngine AI防火墙产品在众多专业评测中多年都保持很好的成绩，在数说安全2021年发布的《中国网络安全顶级供应商评估报告：防火墙》中以4A4B的评价，名列防火墙产品的头部。

如果不幸被攻击者突破了网络边界，攻击者下一步的动作就要通过横向移动，控制更多的资产，寻找攻击目标。如同古代战争中城墙失守，入侵者一定开始寻找城中的重要目标，而防守者这时候的主要任务就是要在入侵者找到最终攻击目标前识别出入侵者、孤立入侵者、消灭入侵者。这是华为MRP解决方案的第二道防线所要做的事情：由安全态势感知系统、SecoManager与网络出口防火墙、存储边界防火墙联动，实现对恶意代码对C&C的检测和阻断完成，并且要快速响应。

分析观察：华为多层联动勒索攻击防护技术MRP能否有效对抗勒索？

恶意代码通常通过域名建立与C&C的连接，通过聚类、分类等算法对恶意程序的C&C域名进行检测，并联动防火墙对到这些域名的连接进行阻断，从而使攻击者无法实施工具安装、横向移动、数据回传等后续进攻动作。华为声称其恶意域名识别算法能识别出超过99%的恶意域名。

通过自动化响应编排，可将单事件响应闭环时间由一天降低到分钟级，快速的响应意味着攻击者进行横向移动的时间被大大压缩，防御者会有更大的概率阻断攻击者的后续攻击。

如果攻击者突破了第二道防线，意味着攻击者已经接触到了勒索攻击的目标，下一步就是对目标数据进行加密，或在加密的同时窃取数据（双重勒索或多重勒索攻击），这时候拼的就是数据是否有备份，备份是否能不被攻击者加密，以及备份的恢复时间。

华为的MRP技术在第三道防线主要利用华为存储类产品的优势，依靠存储加密和数据快照两种技术对抗勒索攻击。数据加密技术对抗信息窃取，让攻击者偷走了数据却看不懂；数据快照技术，可从快照中快速恢复被勒索攻击所加密的数据来恢复业务，避免业务中断或缩短业务中断时间。

分析观察：华为多层联动勒索攻击防护技术MRP能否有效对抗勒索？

为了进一步提高攻击者的攻击难度，存储又划分为生产域、备份域与隔离域，在备份域与隔离区域之间还采用Air Gap进行隔离，以避免备份数据也被攻击者加密的情况发生。

在存储层的防护策略上，华为MRP解决方案的亮点一是多域划分，二是Air Gap隔离，三是恢复速度快。

综合来看，华为的MRP技术由以下产品提供支撑：

USG6000E/F，USG12000系列防火墙，实现网络基本隔离及威胁实时防护能力；
SecoManager与防火墙配套，满足防火墙策略统一管理及日志收集、报表能力；
FireHunter6000沙箱，实现对未知样本的检测能力，联动防火墙进行阻断，同时负责文件检测结果等信息发送给HiSec Insight安全态势感知平台；
HiSec Insight：安全态势感知平台，是MRP技术的“大脑”，负责全网威胁监控、智能关联分析、高级威胁分析、联动SecoManager NCE ，联动防火墙、交换机阻断威胁。
OcenProtect专用备份存储、OceanStor Dorado 18500/18800 V6 高端智能全闪存存储系统、面向数据中心存储的智能统一管理平台：这是构成华为MRP技术的最后一道防线，也是有别于业内其它防勒索技术的亮点，因为有先进存储技术的支撑，可以实现数据多级备份、备份之间的隔离以及快速恢复，成为MRP的“托底”技术，即使前两道防线被突破，数据的备份与恢复技术依然可以保证用户业务的快速恢复。

总结来说，华为的MRP网存联动防勒索技术采用三层纵深防护体系，从勒索攻击的防御逻辑上是一个不错的设计，通过多层防线逐层衰减勒索攻击：通过HiSecEngine系列防火墙识别并拦截掉大部分的密码暴力破解、钓鱼攻击、木马攻击、漏洞攻击，通过FireHunter沙箱检测大多数的恶意攻击代码并联动防火墙进行阻断，通过安全态势感知系统检测和阻止攻击者的横向移动，与防火墙联动切断恶意程序与C&C控制端的联系，让恶意程序变成断线的风筝。最后，用存储产品、存储管理产品的数据备份与恢复、数据快照能力来兜底，即使攻击者成功加密了部分数据，也可以通过快速恢复数据缩短系统服务中断时间。

在这个勒索攻击是网络安全主要威胁的时代，与传统单纯网络防勒索、存储防勒索技术相比，华为的多层联动勒索攻击防护技术MRP通过多种网络安全产品围绕防勒索的目的协同联动，是一种非常值得期待的防勒索技术。

（本文作者：谭晓生数说安全发布）