本文來(lái)自微信公眾號(hào)“安全牛”。
勒索軟件已經(jīng)存在了幾十年,但其流行程度直到最近兩年才出現(xiàn)爆炸式增長(zhǎng)。這些攻擊由一些專門的攻擊組織發(fā)起,并通過(guò)相互買賣專業(yè)的勒索工具和服務(wù)包,不斷降低勒索攻擊的準(zhǔn)入門檻。在此背景下,勒索軟件攻擊已經(jīng)成為企業(yè)數(shù)字發(fā)展最大的威脅。但好消息是,有一種安全可靠的技術(shù)能夠幫助組織最大限度地緩解勒索軟件威脅,它就是零信任。
在勒索軟件攻擊中,攻擊者必須完成一系列目標(biāo)才能取得成功。首先,它們需要通過(guò)惡意勒索軟件有效載荷成功感染系統(tǒng)來(lái)進(jìn)入目標(biāo)組織的環(huán)境;其次,攻擊者會(huì)進(jìn)行廣泛的偵察,發(fā)現(xiàn)高價(jià)值資產(chǎn)進(jìn)行竊取和加密;最后,攻擊者會(huì)竊取數(shù)據(jù)并以此索取贖金。而零信任是一種基于“假設(shè)違規(guī)”原則的安全方法,通過(guò)全面的訪問(wèn)控制策略以及監(jiān)控措施,對(duì)資源訪問(wèn)者進(jìn)行持續(xù)性的安全性監(jiān)控。相比傳統(tǒng)的邊界防護(hù)模式,采用零信任架構(gòu)能夠從以下方面幫助企業(yè)增強(qiáng)對(duì)抗勒索攻擊的能力:
1.可以使應(yīng)用程序?qū)粽卟豢梢姡畲笙薅鹊販p少勒索軟件攻擊面
當(dāng)組織所有的應(yīng)用程序、用戶身份在互聯(lián)網(wǎng)上公開可見時(shí),攻擊者就會(huì)很容易地找到重要的數(shù)據(jù)資產(chǎn),并利用漏洞(例如未打補(bǔ)丁的web服務(wù)器軟件或可以在暴力攻擊中破解的弱密碼)在目標(biāo)環(huán)境中獲取強(qiáng)大的立足點(diǎn)。
利用專業(yè)的零信任解決方案,組織可以將應(yīng)用程序連接至用戶,而不是讓用戶連接至應(yīng)用程序。在這種“由內(nèi)而外”的連接模式下,所有應(yīng)用程序都是私有的,因此對(duì)攻擊者是不可見的。如果組織能夠有效地將這種方法擴(kuò)展到組織環(huán)境中的所有設(shè)備和應(yīng)用程序,就可以大大增加勒索攻擊者偵查的難度。
2.對(duì)所有流量(包括加密流量)進(jìn)行深入徹底的檢查
目前,絕大多數(shù)互聯(lián)網(wǎng)流量都利用了加密技術(shù),惡意流量也不例外。調(diào)查數(shù)據(jù)顯示,目前超過(guò)90%的互聯(lián)網(wǎng)流量都是加密的,而其中勒索軟件的加密流量相比2020年增長(zhǎng)了500%以上。因此,檢查所有的流量(無(wú)論是否加密)已成為企業(yè)構(gòu)建強(qiáng)大防御策略的重要組成部分,而僅僅依賴于下一代防火墻和其他邊界防御工具很難勝任這項(xiàng)任務(wù),因?yàn)樗鼈儫o(wú)法在不影響業(yè)務(wù)開展的情況下檢查所有SSL加密流量?;诹阈湃渭軜?gòu)的解決方案,則可以確保所有流量(包括加密流量)都經(jīng)過(guò)深入徹底的檢查,從而保障所有流量的安全可靠并消除風(fēng)險(xiǎn)盲點(diǎn)。
3.在勒索軟件攻擊造成實(shí)際傷害之前檢測(cè)發(fā)現(xiàn)并采取控制措施
越來(lái)越多的勒索軟件攻擊開始利用定制化的惡意軟件。為了防御這種威脅,組織需要能夠及時(shí)檢測(cè)并阻止新的勒索軟件威脅。借助云原生沙箱和人工智能技術(shù),組織可以依靠異常行為分析來(lái)發(fā)現(xiàn)未知的勒索軟件變體,并在其實(shí)際執(zhí)行之前對(duì)其進(jìn)行隔離和全面分析。
如今,市場(chǎng)上主流的零信任解決方案都能夠提前檢測(cè)出包含勒索攻擊在內(nèi)的未知惡意軟件威脅并采取針對(duì)性的控制措施。用戶甚至可以根據(jù)組別、內(nèi)容類型等自定義零信任策略,從而對(duì)隔離操作進(jìn)行細(xì)粒度控制,以最大限度地減少用戶影響,同時(shí)提高惡意軟件檢測(cè)的準(zhǔn)確性。
4.簡(jiǎn)化訪問(wèn)控制策略,并增強(qiáng)其有效性
微隔離是零信任框架的一個(gè)核心理念,主要指通過(guò)技術(shù)手段限制對(duì)應(yīng)用程序和資源的訪問(wèn)。在此情況下,已經(jīng)進(jìn)入系統(tǒng)的勒索攻擊者就無(wú)法對(duì)其他更多應(yīng)用和資源造成損害。在傳統(tǒng)的基于網(wǎng)絡(luò)的微分段方法中,防火墻通過(guò)檢查網(wǎng)絡(luò)地址來(lái)強(qiáng)制執(zhí)行規(guī)則。這種方法需要隨著應(yīng)用程序的移動(dòng)和網(wǎng)絡(luò)的發(fā)展而重新定義和更新策略。
零信任架構(gòu)所采用的代理架構(gòu)模式大大降低了實(shí)現(xiàn)微隔離會(huì)面臨的復(fù)雜性,同時(shí)還能夠?yàn)楦鞣N工作負(fù)載提供了更強(qiáng)大的保護(hù)。因?yàn)椴呗院蜋?quán)限是在資源標(biāo)識(shí)的基礎(chǔ)上進(jìn)行管理的,所以它們是獨(dú)立于底層網(wǎng)絡(luò)基礎(chǔ)設(shè)施,并且可以自動(dòng)適應(yīng)。同時(shí),零信任還可以簡(jiǎn)化管理,組織可以使用多個(gè)基于身份的隔離策略而非基于地址的規(guī)則來(lái)保護(hù)各個(gè)被分開的網(wǎng)段。
5.更安全地保護(hù)遠(yuǎn)程設(shè)備和外部訪問(wèn)的員工
許多組織開始通過(guò)虛擬專用網(wǎng)絡(luò)(VPN)或遠(yuǎn)程桌面協(xié)議(RDP)讓居家辦公的員工能夠連接到公司網(wǎng)絡(luò)和資源。不幸的是,勒索軟件攻擊者們也很快就跟上了這些組織的腳步,發(fā)起了新一輪基于RDP和VPN的攻擊。而在保護(hù)遠(yuǎn)程用戶的零信任方法中,無(wú)論用戶位于何處,每個(gè)連接都會(huì)得到相同級(jí)別的保護(hù)。此外,組織還可以向每個(gè)遠(yuǎn)程用戶的設(shè)備添加一個(gè)輕量級(jí)的端點(diǎn)代理,使他們能夠獲得足夠的安全性保障、策略實(shí)施和訪問(wèn)控制,同時(shí)還能夠獲得更快速連接,消除VPN延遲帶來(lái)的不便。
6.防止攻擊者惡意利用正規(guī)的工作負(fù)載
在零信任架構(gòu)中,安全策略是根據(jù)試圖相互通信的訪問(wèn)身份來(lái)實(shí)施的。這些身份不斷得到核實(shí);未經(jīng)驗(yàn)證的工作負(fù)載將被阻止與其他工作負(fù)載進(jìn)行通信。這意味著它們不能與惡意的遠(yuǎn)程命令控制服務(wù)器交互,也不能與內(nèi)部主機(jī)、用戶、應(yīng)用程序和數(shù)據(jù)交互。
在訪問(wèn)組織資源時(shí),零信任架構(gòu)會(huì)自動(dòng)確保所有流量(無(wú)論來(lái)自何處)都將遵守所有的安全管理政策,無(wú)論這些資源是內(nèi)部、外部還是第三方SaaS。這是一種比多層策略執(zhí)行更簡(jiǎn)單也更有效的網(wǎng)絡(luò)隔離方法。
7.以主動(dòng)的方式對(duì)抗勒索攻擊
如今,勒索軟件往往能夠輕松繞過(guò)提前設(shè)置的預(yù)防措施。因此,零信任架構(gòu)還具有一個(gè)關(guān)鍵的特點(diǎn),就是能夠采用主動(dòng)策略在攻擊造成損害之前發(fā)現(xiàn)并隔離攻擊。這種主動(dòng)防御方法包括在IT環(huán)境中填充誘餌,例如假端點(diǎn)、目錄、數(shù)據(jù)庫(kù)、文件和用戶路徑。這些誘餌能夠模仿高價(jià)值的業(yè)務(wù)資產(chǎn),但它們對(duì)真正的用戶是不可見的,其唯一的作用是在被觸碰時(shí)提醒安全團(tuán)隊(duì)。由于誘餌沒(méi)有合法的流量,使得警報(bào)具有極高的保真度,提供了超越其他檢測(cè)系統(tǒng)的高準(zhǔn)確性。
8.提供更加全面的數(shù)據(jù)丟失防護(hù)
隨著“多重勒索”攻擊策略日益流行,組織有必要將每次勒索軟件攻擊視為一次“數(shù)據(jù)泄露”。在這種情況下,不斷優(yōu)化防止敏感數(shù)據(jù)泄露的策略就顯得很有必要。
在零信任架構(gòu)中,可以使用云訪問(wèn)安全代理(CASB)等解決方案,使組織能夠加強(qiáng)對(duì)云應(yīng)用程序?qū)嵤┘?xì)粒度控制,保護(hù)SaaS平臺(tái)內(nèi)的靜態(tài)數(shù)據(jù),并防止意外的過(guò)度共享和惡意攻擊。另一個(gè)好處是,組織將享受云應(yīng)用程序增強(qiáng)的可見性,使其更容易識(shí)別漏洞、錯(cuò)誤配置和影子IT。通過(guò)更加全面的數(shù)據(jù)丟失防護(hù),組織將能夠自動(dòng)阻止數(shù)據(jù)泄露的情況,從而大大降低多重勒索威脅。