近年來(lái),利用勒索軟件進(jìn)行網(wǎng)絡(luò)攻擊的事件屢見(jiàn)不鮮。ColonialPipeline攻擊事件更是為企業(yè)機(jī)構(gòu)敲響了警鐘。針對(duì)勒索軟件的防護(hù),Akamai安全技術(shù)團(tuán)隊(duì)副總裁兼首席技術(shù)官CharlieGero提供了如下分析和見(jiàn)解。
Akamai安全技術(shù)團(tuán)隊(duì)副總裁兼首席技術(shù)官CharlieGero
企業(yè)如何防范勒索軟件攻擊?
勒索軟件防護(hù)策略的類(lèi)型大致可以分為預(yù)防/感染前和修復(fù)/感染后。我認(rèn)為目前最引人注目的勒索軟件防護(hù)技術(shù)是在修復(fù)/感染后階段。
這些解決方案一般都是圍繞智能備份和恢復(fù)。例如領(lǐng)先的EDR公司SentinelOne可以將終端用戶機(jī)器上的時(shí)間倒退到感染前的狀態(tài),這對(duì)于企業(yè)而言是一個(gè)巨大的福音。另一種方法是使用帶有備份策略的管理型共享存儲(chǔ),這種方法至少能夠提供相等的保護(hù),甚至更加重要的保護(hù)。這種存儲(chǔ)可以位于云端(并具有彈性),也可以在本地管理。
當(dāng)使用這種存儲(chǔ)時(shí),機(jī)器上的本地信息就變得不那么重要了。如果機(jī)器被感染,只需要簡(jiǎn)單地將其清除干凈、重新映射并重新給予網(wǎng)絡(luò)共享訪問(wèn)權(quán)即可。如果共享被有權(quán)限的攻擊者破壞,那么云存儲(chǔ)系統(tǒng)可以如同具有有效的快照和備份一般,輕松地將數(shù)據(jù)回滾到之前的狀態(tài)。聽(tīng)上去很振奮人心,不是嗎?這樣勒索軟件也就成為了一種容易補(bǔ)救的網(wǎng)絡(luò)威脅。當(dāng)被感染的系統(tǒng)中有重要的數(shù)據(jù)時(shí),如果沒(méi)有像SentinelOne這樣的應(yīng)用,那么企業(yè)就只能向犯罪分子支付贖金。
最后,感染所造成的另一個(gè)嚴(yán)重后果往往是如果企業(yè)不支付贖金,那么企業(yè)不僅將失去對(duì)數(shù)據(jù)的訪問(wèn),而且數(shù)據(jù)還會(huì)遭到公開(kāi)。對(duì)許多企業(yè)而言,由于可能使商業(yè)秘密和知識(shí)產(chǎn)權(quán)被盜,因此這一威脅比恢復(fù)運(yùn)行所帶來(lái)的運(yùn)營(yíng)負(fù)擔(dān)更大。針對(duì)此類(lèi)情況,由于上述解決方案并不能阻止信息暴露(它們只能讓企業(yè)更快啟動(dòng)和運(yùn)行),因此最重要的無(wú)疑是把重點(diǎn)放在首先不被感染上。為此,SASE(安全訪問(wèn)服務(wù)邊緣)類(lèi)別的產(chǎn)品具有巨大的優(yōu)勢(shì)。
其中的兩個(gè)最大支柱產(chǎn)品是:
1.SWG(安全網(wǎng)絡(luò)網(wǎng)關(guān)):阻止對(duì)危險(xiǎn)網(wǎng)站的訪問(wèn)并在下載時(shí)進(jìn)行惡意軟件掃描。
2.ZTNA(零信任網(wǎng)絡(luò)訪問(wèn)):減少資源訪問(wèn),只有具有特定需求的人才能訪問(wèn)。這能夠減少可以被利用的攻擊面。
反黑客網(wǎng)絡(luò)安全軟件/固件是唯一的防御手段嗎?
鑒于目前的桌面操作系統(tǒng)性質(zhì),我們還難以完全阻止這種情況。但隨著操作系統(tǒng)獲得更多在功能上與移動(dòng)設(shè)備更加等同的保護(hù),這些威脅面自然會(huì)逐漸減少,但我們目前還沒(méi)有到達(dá)這一階段。雖然未來(lái)可能會(huì)始終存在一些使這些漏洞可以被利用的表面,但可以通過(guò)其他途徑來(lái)切斷這些攻擊——只需降低它們的經(jīng)濟(jì)回報(bào)率即可。
備份、管理型存儲(chǔ)和先進(jìn)EDR系統(tǒng)的使用使勒索軟件攻擊的補(bǔ)救工作變得相當(dāng)繁瑣。企業(yè)機(jī)構(gòu)越是能夠單純地通過(guò)重新映射終端用戶機(jī)器并將數(shù)據(jù)回滾到最近的備份來(lái)阻止攻擊,犯罪分子就越難以通過(guò)造成足夠大的破壞從企業(yè)這里得到贖金。犯罪分子獲得報(bào)酬的次數(shù)越少,他們使用這種方法的次數(shù)就會(huì)越少。
在此之前,企業(yè)機(jī)構(gòu)可以運(yùn)用積極的防御措施顯著降低勒索軟件攻擊成功的可能性。目前,企業(yè)可以使用的兩個(gè)主要的安全系統(tǒng)是安全網(wǎng)絡(luò)網(wǎng)關(guān)(SWG)和零信任網(wǎng)絡(luò)訪問(wèn)(ZTNA)。
SWG能夠控制最終用戶的內(nèi)容訪問(wèn)權(quán)限,甚至對(duì)正在下載的軟件進(jìn)行沙盒化和病毒掃描。在某些情況下,它們還會(huì)采用遠(yuǎn)程瀏覽器隔離(RBI)將風(fēng)險(xiǎn)最大的網(wǎng)絡(luò)操作完全轉(zhuǎn)移至云端,從而減少感染幾率。ZTNA系統(tǒng)可以限制資源訪問(wèn)者的身份和資源訪問(wèn)內(nèi)容。通過(guò)減少可以訪問(wèn)風(fēng)險(xiǎn)基礎(chǔ)設(shè)施的人員和機(jī)器,就可以避免被攻擊者當(dāng)作立足點(diǎn)的“橋頭堡”。
這兩項(xiàng)預(yù)防技術(shù)加在一起將有助于顯著減少威脅。通過(guò)將它們與之前所述的補(bǔ)救技術(shù)相結(jié)合,企業(yè)就可以擁有一個(gè)十分強(qiáng)大和安全的環(huán)境。
