本文來自嘶吼網(wǎng),作者/小二郎。
隨著云計(jì)算的興起,企業(yè)可以在線存儲(chǔ)大量數(shù)據(jù),并在任何時(shí)間任何地點(diǎn)訪問這些數(shù)據(jù)。然而,這種便利是有代價(jià)的。網(wǎng)絡(luò)犯罪分子始終在云計(jì)算中尋找漏洞,其中最令人擔(dān)憂的威脅之一就是云勒索軟件。
云勒索軟件是一種惡意軟件,它針對(duì)基于云的存儲(chǔ)系統(tǒng),并加密保存在云中的數(shù)據(jù),使其無法訪問,除非受攻擊方同意支付贖金以換取解密密鑰。雖然一些專家認(rèn)為云勒索軟件是一個(gè)神話,但其他人堅(jiān)持認(rèn)為這是一個(gè)真實(shí)的威脅,企業(yè)必須認(rèn)真對(duì)待。
這篇文章探討了云勒索軟件的現(xiàn)實(shí),并揭穿了圍繞這種威脅的最常見的誤解。
云勒索軟件概念
云勒索軟件的工作原理很像傳統(tǒng)的勒索軟件。首先,網(wǎng)絡(luò)犯罪分子會(huì)感染受害者的系統(tǒng),通常是通過網(wǎng)絡(luò)釣魚電子郵件等社會(huì)工程策略,或者利用云提供商安全系統(tǒng)中的漏洞。一旦進(jìn)入內(nèi)部,云勒索軟件就會(huì)擴(kuò)散到整個(gè)基礎(chǔ)設(shè)施,感染所有連接的設(shè)備和云存儲(chǔ)系統(tǒng)。
攻擊者會(huì)使用加密算法擾亂受害者的文件,使它們在沒有解密密鑰的情況下無法讀取。這個(gè)密鑰通常是由攻擊者持有的私鑰,攻擊者提出在受害者支付贖金后將其提供給受害者。此外,威脅行為者還會(huì)試圖竊取數(shù)據(jù),以進(jìn)一步利用這些數(shù)據(jù),這種策略被廣泛稱為“雙重勒索”。
云勒索軟件與Kubernetes相關(guān)嗎?
全球企業(yè)對(duì)云勒索軟件攻擊的擔(dān)憂持續(xù)增長,特別是隨著越來越多的企業(yè)開始實(shí)施數(shù)字化轉(zhuǎn)型項(xiàng)目,并將其數(shù)據(jù)和應(yīng)用程序遷移至云端。隨著Kubernetes(K8s)容器編排平臺(tái)的崛起,許多組織懷疑自己是否有可能成為云勒索軟件攻擊的受害者。
簡單的回答是“是的”。由于k8s的分布式特性,它們特別容易受到勒索軟件攻擊,這使得檢測和遏制攻擊變得極具挑戰(zhàn)性。
勒索軟件對(duì)k8s的攻擊可以通過幾種不同的方式實(shí)現(xiàn)。常見的方法包括Kubernetes API服務(wù)器漏洞,允許攻擊者未經(jīng)授權(quán)訪問集群及其資源。一旦進(jìn)入,攻擊者就可以發(fā)起勒索軟件攻擊,加密文件并要求支付贖金以換取解密密鑰。
勒索軟件攻擊k8s的其他潛在入口點(diǎn)是漏洞和錯(cuò)誤配置。如果攻擊者可以訪問不安全的容器映像,他們就可以在映像中插入勒索軟件,然后在映像部署到K8s集群時(shí)發(fā)起攻擊。
為了防止k8s受到云勒索軟件的攻擊,實(shí)施全面的安全策略非常重要,其中包括定期的漏洞評(píng)估和滲透測試。此外,還必須確保K8s集群的所有組件都得到適當(dāng)?shù)谋Wo(hù),并且訪問權(quán)限僅限于需要它的人。
防止k8受到云勒索軟件攻擊的其他最佳實(shí)踐包括:
實(shí)現(xiàn)嚴(yán)格的訪問控制,包括多因素身份驗(yàn)證和基于角色的訪問控制(RBAC);
確保掃描所有容器映像以查找漏洞,并且只使用可信映像;
定期監(jiān)視K8s集群的可疑活動(dòng),例如不尋常的文件訪問或?qū)ε渲梦募母模?/p>
使用最新的安全補(bǔ)丁和更新所有K8s組件;
實(shí)施災(zāi)難恢復(fù)計(jì)劃,包括定期備份關(guān)鍵數(shù)據(jù)和應(yīng)用程序。
雖然k8s可能容易受到云勒索軟件攻擊,但組織可以采取措施保護(hù)自己,并將成為受害者的風(fēng)險(xiǎn)降至最低。通過實(shí)施全面的安全策略并遵循保護(hù)k8s的最佳實(shí)踐,組織可以降低勒索軟件攻擊成功的可能性,并確保其數(shù)據(jù)和應(yīng)用程序保持安全。
關(guān)于云勒索軟件的常見誤解
誤解1:“云勒索軟件并非真實(shí)的威脅”
現(xiàn)實(shí):云勒索軟件是一個(gè)真實(shí)的、日益增長的威脅。隨著越來越多的企業(yè)將數(shù)據(jù)轉(zhuǎn)移到云端,網(wǎng)絡(luò)犯罪分子開發(fā)了新的技術(shù)來攻擊基于云的系統(tǒng)。
根據(jù)Gartner在云計(jì)算方面的最新預(yù)測,全球企業(yè)在云服務(wù)上的支出將增加20.7%。如今,云服務(wù)和應(yīng)用程序?qū)τ谌粘_\(yùn)營和安全越來越重要。
威脅行為者已經(jīng)遵循了云采用的這些趨勢,現(xiàn)在正在針對(duì)這一攻擊面,專門設(shè)計(jì)了新一代勒索軟件,以通過云基礎(chǔ)設(shè)施傳播并加密存儲(chǔ)在其中的數(shù)據(jù)。由于云支持大量用戶和敏感信息,它們已經(jīng)成為威脅行為者的高價(jià)值目標(biāo)。
誤解2:“云服務(wù)提供商全權(quán)負(fù)責(zé)保護(hù)您的數(shù)據(jù)”
現(xiàn)實(shí):雖然云服務(wù)提供商有適當(dāng)?shù)陌踩胧?,但最終用戶同樣有責(zé)任保護(hù)他們自己的數(shù)據(jù)。云提供商通常會(huì)提供基本的安全措施(如防火墻),但具體效果還要取決于用戶正確配置這些設(shè)置,并實(shí)現(xiàn)額外的安全措施,如多因素身份驗(yàn)證(MFA)和加密。
云服務(wù)提供商負(fù)責(zé)確保其基礎(chǔ)設(shè)施和提供給客戶的應(yīng)用程序的安全性。這包括實(shí)施安全措施,如防火墻、防病毒軟件和加密協(xié)議,以保護(hù)其系統(tǒng)免受網(wǎng)絡(luò)威脅。它們還提供安全的存儲(chǔ)、網(wǎng)絡(luò)訪問和數(shù)據(jù)傳輸。然而,他們并不承擔(dān)保護(hù)企業(yè)數(shù)據(jù)的全部責(zé)任。
云共享責(zé)任模型
云安全是云服務(wù)提供商和客戶之間的共同責(zé)任。提供商確?;A(chǔ)設(shè)施的安全性,包括物理數(shù)據(jù)中心、網(wǎng)絡(luò)和服務(wù)器硬件。同時(shí),客戶負(fù)責(zé)保護(hù)他們的數(shù)據(jù)??蛻舻呢?zé)任包括保護(hù)他們的帳戶訪問、配置他們的安全設(shè)置、管理他們的數(shù)據(jù)和監(jiān)視他們的活動(dòng)。
云共享責(zé)任模型已經(jīng)成為云安全的關(guān)鍵工具,因?yàn)樗鼛椭髽I(yè)和云服務(wù)提供商明確誰負(fù)責(zé)什么,并確保有效的云安全。如果沒有這樣的模型,責(zé)任往往會(huì)被誤解和混淆,導(dǎo)致出現(xiàn)安全覆蓋缺口和工作重疊。
客戶保護(hù)其云數(shù)據(jù)的責(zé)任
客戶負(fù)責(zé)在數(shù)據(jù)存儲(chǔ)、傳輸和使用期間保護(hù)其數(shù)據(jù)。這包括實(shí)現(xiàn)訪問控制、加密和監(jiān)控任何未經(jīng)授權(quán)的活動(dòng)。客戶還應(yīng)確保其數(shù)據(jù)已備份并存儲(chǔ)在安全的位置。數(shù)據(jù)保護(hù)失敗可能導(dǎo)致數(shù)據(jù)丟失、被盜或數(shù)據(jù)泄露。
誤解3:“備份數(shù)據(jù)就足以抵御云勒索軟件”
現(xiàn)實(shí):備份敏感數(shù)據(jù)是防止任何類型的服務(wù)中斷的第一步,包括來自惡意軟件(如勒索軟件)的惡意攻擊。然而,至少從2020年開始,勒索軟件威脅行為者開始轉(zhuǎn)向使用“雙重勒索”技術(shù)來對(duì)抗試圖從備份和安全軟件恢復(fù)數(shù)據(jù)的受害者,這些軟件可能會(huì)將受感染的機(jī)器回滾到感染前的狀態(tài)。威脅泄露或出售被盜數(shù)據(jù)現(xiàn)在是許多勒索軟件團(tuán)伙普遍使用的策略。
此外,如果企業(yè)成為攻擊的受害者,安全負(fù)責(zé)人和技術(shù)團(tuán)隊(duì)必須從干凈的備份中恢復(fù)數(shù)據(jù),這可能很耗時(shí)。根據(jù)攻擊的嚴(yán)重程度,從備份中恢復(fù)數(shù)據(jù)可能需要幾天、幾周甚至幾個(gè)月的時(shí)間。在此期間,組織可能無法正常運(yùn)作,導(dǎo)致生產(chǎn)力和收入損失。
在不同的位置擁有多個(gè)備份并定期測試它們,這對(duì)于確保它們在需要時(shí)能正確運(yùn)行至關(guān)重要。如果備份過程不全面,或者沒有定期進(jìn)行備份,則可恢復(fù)的數(shù)據(jù)中可能存在空白。在這種情況下,一些數(shù)據(jù)可能會(huì)永久丟失。
網(wǎng)絡(luò)犯罪分子的戰(zhàn)術(shù)正在不斷演變,新形式的勒索軟件也可以針對(duì)備份或破壞備份。在這種情況下,即使有備份,數(shù)據(jù)也可能無法恢復(fù)。
誤解4:“云勒索軟件只影響大公司”
事實(shí):云勒索軟件可以影響任何在云中存儲(chǔ)數(shù)據(jù)的組織,無論其規(guī)模大小。事實(shí)上,一些網(wǎng)絡(luò)犯罪分子更青睞于選擇以中小型企業(yè)(SMB)為目標(biāo),因?yàn)樗鼈兺狈?jīng)驗(yàn)豐富的安全態(tài)勢和專門的安全資源。
中小企業(yè)同樣持有有價(jià)值的數(shù)據(jù),例如客戶數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)和潛在的大量本地客戶的知識(shí)產(chǎn)權(quán)。勒索軟件運(yùn)營商知道,如果他們能成功地加密這些數(shù)據(jù),他們就可以索要贖金來解密這些嚴(yán)重影響業(yè)務(wù)正常運(yùn)行的數(shù)據(jù)。
由于鎖定了快速支付的潛力,勒索軟件運(yùn)營商通常將中小企業(yè)視為更容易攻擊的目標(biāo),因?yàn)樗鼈兏锌赡苎杆僦Ц囤H金,以避免業(yè)務(wù)中斷。相比之下,較大的企業(yè)和全球性企業(yè)可能有更多的資源從勒索軟件攻擊中恢復(fù),而無需支付贖金。
誤解5:“支付贖金能100%確保你的數(shù)據(jù)返回”
事實(shí):為了幫助應(yīng)對(duì)勒索軟件事件的風(fēng)險(xiǎn),CISA發(fā)起了一項(xiàng)名為“終止勒索軟件”(Stop Ransomware)的持續(xù)全面運(yùn)動(dòng),為企業(yè)提供關(guān)鍵的最佳實(shí)踐和關(guān)于他們面臨的威脅的知識(shí)。
這場運(yùn)動(dòng)最重要的提醒之一是,在遭遇攻擊時(shí),要堅(jiān)決勸阻企業(yè)支付贖金。CISA警告稱,由于支付勒索軟件并不能完全確保數(shù)據(jù)將被解密,或者系統(tǒng)及數(shù)據(jù)將不再被破壞,因此聯(lián)邦執(zhí)法部門不建議受害組織支付贖金。此外,美國財(cái)政部也警告說,這些付款有遭受美國外國資產(chǎn)控制辦公室(OFAC)制裁的風(fēng)險(xiǎn)。因此,預(yù)防仍是關(guān)鍵。
此外,即便支付了贖金,也不能保證攻擊者會(huì)向受害者提供解密密鑰。在活躍事件期間進(jìn)行數(shù)據(jù)備份并與網(wǎng)絡(luò)安全專家合作,可確保文件恢復(fù)而無需支付費(fèi)用。
誤解6:“云勒索軟件很容易預(yù)防”
現(xiàn)實(shí):如果組織沒有適當(dāng)?shù)陌踩刂?,云勒索軟件很難預(yù)防。一旦攻擊站穩(wěn)腳跟,它可以在整個(gè)組織中迅速傳播,因?yàn)樗ǔT诤笈_(tái)默默地運(yùn)行,加密關(guān)鍵數(shù)據(jù)而不會(huì)破壞日常工作流程。安全團(tuán)隊(duì)必須定期監(jiān)控其基于云的系統(tǒng),以了解云中相關(guān)設(shè)備上的任何異?;顒?dòng)和云工作負(fù)載保護(hù)。
本質(zhì)上,云環(huán)境是高度動(dòng)態(tài)的,資源不斷地被創(chuàng)建、銷毀和移動(dòng)。這使得建立正常活動(dòng)的基線變得困難,更難識(shí)別與勒索軟件相關(guān)的異常行為。
此外,云環(huán)境通過多層抽象工作,這可能會(huì)導(dǎo)致安全團(tuán)隊(duì)在維護(hù)底層基礎(chǔ)設(shè)施的完全可見性方面出現(xiàn)問題。例如,虛擬機(jī)可能運(yùn)行在由云提供商管理的物理服務(wù)器上,因此很難檢測到在虛擬機(jī)中運(yùn)行的勒索軟件。
誤解7:“防止云勒索軟件太過昂貴”
事實(shí):雖然實(shí)現(xiàn)加密和MFA等安全措施可能會(huì)帶來更大的前期成本,但勒索軟件攻擊的成本肯定要高得多。在IBM的《數(shù)據(jù)泄露成本報(bào)告》中,美國數(shù)據(jù)泄露的平均成本為944萬美元,比全球平均成本高出509萬美元。該報(bào)告指出,勒索軟件攻擊的破壞性越來越大,近一半的數(shù)據(jù)泄露發(fā)生在云中。
當(dāng)組織推遲實(shí)施新的安全措施時(shí),通常不會(huì)考慮攻擊后的成本。數(shù)據(jù)泄露后,公司通常會(huì)面臨長期的財(cái)務(wù)損失,這些損失往往是不可逆轉(zhuǎn)的,如果嚴(yán)重到一定程度,可能會(huì)使公司面臨喪失抵押品贖回權(quán)的風(fēng)險(xiǎn)。嚴(yán)重網(wǎng)絡(luò)攻擊后的常見成本包括:
經(jīng)濟(jì)損失——數(shù)據(jù)泄露可能會(huì)給受影響的個(gè)人或組織造成經(jīng)濟(jì)損失。這些損失可能來自財(cái)務(wù)信息被盜,欺詐,或由于組織聲譽(yù)受損而導(dǎo)致的業(yè)務(wù)損失;
聲譽(yù)損害——數(shù)據(jù)泄露會(huì)損害組織的聲譽(yù),導(dǎo)致客戶信任和忠誠度的喪失。這種損害可能是長期的,而且難以修復(fù)。損失還包括任何潛在客戶和未來的商業(yè)機(jī)會(huì);
法律問題——數(shù)據(jù)泄露可能會(huì)導(dǎo)致法律問題,例如受影響的個(gè)人提起訴訟或因不遵守?cái)?shù)據(jù)保護(hù)法規(guī)而受到監(jiān)管罰款;
增加安全成本——數(shù)據(jù)泄露后,組織可能需要增加安全措施,以防止未來的泄露。這可能會(huì)增加安全人員、軟件和硬件的成本;
身份盜竊——如果個(gè)人信息,如社會(huì)安全號(hào)碼或信用卡信息在數(shù)據(jù)泄露中被盜,受影響的個(gè)人可能在未來幾年面臨身份盜竊的風(fēng)險(xiǎn)。
本文翻譯自:ttps://www.sentinelone.com/blog/a-myth-or-reality-debunking-misconceptions-surrounding-cloud-ransomware/