信息化觀察網(wǎng)

近年來勒索軟件攻擊甚囂塵上，大有愈演愈烈之勢。

國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）發(fā)布的《2020年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》顯示，2020年勒索軟件持續(xù)活躍，全年捕獲勒索軟件78.1萬余個，較2019年同比增長6.8%。

1、勒索軟件攻擊猖獗  多數(shù)人傾向不支付贖金

來自CybersecurityVentures的相關(guān)調(diào)查數(shù)據(jù)顯示，2021年勒索軟件造成的損失預(yù)計將超過200億美元，而到2031年將上升至2650億美元。

此前美國燃油管道公司Colonial Pipeline遭受勒索攻擊事件受到全世界關(guān)注，該事件的意義不僅僅在于勒索軟件的猖獗，更揭示出勒索軟件帶來的危害遠(yuǎn)遠(yuǎn)超出了普通的網(wǎng)絡(luò)安全事件。

有消息稱，最終Colonial Pipeline公司向黑客支付了440萬美元的贖金。該行為帶來的負(fù)面影響也是顯而易見的，至少它向其他攻擊者表明了——勒索軟件是有效的。

這一點非常糟糕。

企業(yè)在面對勒索軟件攻擊時是否應(yīng)支付贖金，這取決于各個用戶的具體情況。但許多網(wǎng)絡(luò)安全專家都呼吁不要支付贖金。

微軟檢測和響應(yīng)小組（DART）的高級網(wǎng)絡(luò)安全顧問奧拉·彼得斯表示，微軟方面不鼓勵受害者滿足各種形式的勒索要求。

美國聯(lián)邦調(diào)查局也呼吁不要支付贖金，以免助長攻擊行為。埃森哲在一份報告中也保持了類似的態(tài)度。

Menlo Security在針對勒索軟件的一項調(diào)查中發(fā)現(xiàn)，在遭受勒索軟件攻擊時，79%的受訪者認(rèn)為不應(yīng)支付贖金。

Sophos的調(diào)查顯示，只有8%的組織在支付贖金后設(shè)法取回了所有數(shù)據(jù)，29%的組織取回了不超過一半的數(shù)據(jù)。

2、勒索軟件也有了“新業(yè)態(tài)”   防范仍是最佳之選

Menlo Security公司網(wǎng)絡(luò)安全戰(zhàn)略高級總監(jiān)Mark Guntrip表示，“勒索軟件在短時間內(nèi)不會消失，隨著勒索軟件即服務(wù)的興起，勒索軟件攻擊的門檻也在降低，網(wǎng)絡(luò)犯罪分子越來越容易發(fā)起有利可圖的攻擊。”

勒索軟件即服務(wù)（RaaS）作為一種商業(yè)模式，通過“合作伙伴”的形式對受害者進行勒索攻擊，得手后與勒索軟件的開發(fā)者共同分享贓款。這使得勒索軟件的危害大大加深。

勒索形式在不斷進化，“雙重勒索”也開始興起：攻擊者會首先竊取大量的敏感商業(yè)信息，然后對受害者的數(shù)據(jù)進行加密，并威脅受害者如果不支付贖金就會公開這些數(shù)據(jù)。

面對勒索軟件攻擊，防范是最佳選項。及時備份數(shù)據(jù)始終是絕對必要的，特別是企業(yè)的關(guān)鍵資產(chǎn)，這甚至關(guān)乎到企業(yè)的生死存亡。

針對勒索軟件的防范，國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）在發(fā)布的《勒索軟件防范指南》中提出“九要、四不要”：

要做好資產(chǎn)梳理與分級分類管理，要備份重要數(shù)據(jù)和系統(tǒng)，要設(shè)置復(fù)雜密碼并保密，要定期安全風(fēng)險評估，要常殺毒、關(guān)端口，要做好身份驗證和權(quán)限管理，要嚴(yán)格訪問控制策略，要提高人員安全意識，要制定應(yīng)急響應(yīng)預(yù)案；

不要點擊來源不明郵件，不要打開來源不可靠網(wǎng)站，不要安裝來源不明軟件，不要插拔來歷不明的存儲介質(zhì)。

3、勒索軟件的“天敵”   零信任

有數(shù)據(jù)表明，勒索軟件從感染到竊取或加密企業(yè)數(shù)據(jù)以勒索贖金的時間平均不到兩個小時。因此，及時檢測并發(fā)現(xiàn)勒索軟件攻擊是至關(guān)重要的，在發(fā)現(xiàn)后以最快速度阻止勒索軟件的傳播，可以有效減小數(shù)據(jù)損失程度。

從勒索軟件攻擊方式上來看，Claudian一項相關(guān)調(diào)查數(shù)據(jù)顯示，網(wǎng)絡(luò)釣魚仍然是勒索軟件最直接的攻擊途徑之一，24%的勒索軟件攻擊都是從這種方式開始的。此外，公有云也是勒索軟件最常見的切入點。

但不要過于依賴響應(yīng)式的安全技術(shù)，很多企業(yè)都部署了針對網(wǎng)絡(luò)釣魚或云安全方面的安全工具，但在防止勒索病毒上無濟于事。安全專家建議，企業(yè)應(yīng)采用一種積極的安全方式來限制訪問，例如零信任安全。

零信任模型是阻止勒索軟件的一種有價值的防御機制。分布式零信任安全架構(gòu)的優(yōu)勢顯而易見：

不依賴絕對信任區(qū)域、靜態(tài)帳戶和防火墻規(guī)則；

每個身份（用戶、設(shè)備、應(yīng)用、數(shù)據(jù)）可以形成自己的邊界防御；

根據(jù)身份、角色和策略控制訪問權(quán)限；

所有交互都啟用了“最少時間”和最小訪問權(quán)限；

使用TLS會話代理，避免不安全協(xié)議及其漏洞；

不同于VPN，遠(yuǎn)程用戶設(shè)備上的惡意威脅在零信任安全架構(gòu)下無法滲透進入目標(biāo)網(wǎng)絡(luò)；

控制用戶對設(shè)備、設(shè)備對設(shè)備、應(yīng)用對設(shè)備和應(yīng)用對數(shù)據(jù)的交互，并保護OT、IT和云中的文件和數(shù)據(jù)傳輸；

南北和東西向訪問管理；

由中央策略管理驅(qū)動并使用分布式節(jié)點（任何資產(chǎn)、任何位置）強制執(zhí)行；

覆蓋現(xiàn)有的OT/IT架構(gòu)，無需更改網(wǎng)絡(luò)或系統(tǒng)（與現(xiàn)有部署的基礎(chǔ)架構(gòu)兼容）。

安全廠商Illumio以優(yōu)秀的自適應(yīng)安全平臺著稱，其產(chǎn)品Illumio Core通過引入SaaS零信任分段平臺，可實現(xiàn)在云、容器、混合和本地環(huán)境中執(zhí)行10多萬個工作負(fù)載。

Illumio Core的創(chuàng)新之處在于：快速部署自動化安全策略，實現(xiàn)智能可見性，在攻擊一開始就可立即啟動大規(guī)模零信任分段，以保護工作負(fù)載。Illumio Core通過快速部署零信任策略，在幫助用戶防御勒索軟件攻擊方面獨樹一幟。

但像零信任這種主動安全的策略，當(dāng)前也不是完美無缺。

啟明星辰認(rèn)為，當(dāng)前零信任在實際落地過程中存在著技術(shù)層面、管理層面、投入與落地周期等困境：分散的身份數(shù)據(jù)異構(gòu)體難以形成統(tǒng)一管理，權(quán)限管理難度大，動態(tài)授權(quán)落地難，多種安全產(chǎn)品和體系融合難度大，傳統(tǒng)管理制度不匹配，落地周期長，成本消耗高等。

完整的零信任是一個理想的愿景。作為眾多安全威脅的其中之一，勒索軟件防范難度大，通過零信任來徹底解決此類威脅依然需要漫長的過程。

因此，用戶在落地零信任安全時，也要切忌一步登天，而應(yīng)當(dāng)步步推進、逐步完善。