国庆75周年之际,安天CERT将安全事件处置、重大事件研判、高级威胁分析等方面的历史工作进行汇聚梳理。以总结经验、提炼规律、改善不足,让我们后续的分析和响应工作,能更有效的支撑国家安全斗争。
威胁分析响应,是安天重要的能力频谱。安天面向攻击活动、攻击装备和威胁行为体,展开威胁感知、捕获、分析、处置、溯源、报送、曝光等系列工作,持续推动核心引擎和产品与服务能力迭代改进,有效支撑公共安全治理和国家安全斗争。
2004年,安天以病毒分析组为基础,组建了安天应急处理小组,后更名为安天安全研究与应急处理中心,即安天CERT。按照“第一时间启动,同时应对多线威胁,三体系联动,四作业面协同”的工作原则,构建了工作机制。面向重大安全事件和高级威胁响应处置,形成了整体战备动员机制。安天已经连续八届(十六年)蝉联国家互联网应急中心国家级(甲级)支撑单位。
今天带来,安天应急处置与威胁分析工作轨迹的第二部分——勒索攻击等黑产活动分析响应处置篇。
经济获利一直是网络攻击活动的主要动力来源之一,围绕侵害信息系统、信息资产和用户形成了网络黑灰产的犯罪体系。由此产生了勒索攻击、商业窃密、构造僵尸网络进行DDoS攻击、挖矿等多种威胁形势。
其中勒索攻击是网络犯罪中当前危害最大的一种形势,勒索攻击的早期模式,是通过勒索病毒或内置勒索代码的软件,感染扩散或分发,发作后用户数据被加密或系统瘫痪,交付赎金后完成的。但今天勒索攻击的主要形式已经以RaaS(勒索即服务)+定向攻击为主,攻击者对受害者实施定向入侵、数据窃取、数据加密和破坏系统等活动,之后以用户系统数据无法使用、数据贩卖、数据公开、关联举报等为要挟,要求用户支付大量赎金。
提升用户应对勒索攻击等黑灰产活动的感知和防御能力,一直是安天引擎和政企产品和服务能力的重要频谱,而跟进分析相关重大安全事件、提供公共安全知识、提升用户意识和防护水平则也是安天在应急响应处置中重要的支撑能力频谱,通过开展攻击活动感知、样本捕获分析、漏洞机理和缓解研究、威胁情报生产、发布专杀处置工具、公布分析报告等工作,为客户和公众提供安全赋能。