勒索軟件一次次破防，我們拿什么“守城”？

科技云報(bào)道原創(chuàng)。

近年來勒索軟件攻擊甚囂塵上，大有愈演愈烈之勢。

國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）發(fā)布的《2020年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》顯示，2020年勒索軟件持續(xù)活躍，全年捕獲勒索軟件78.1萬余個(gè)，較2019年同比增長6.8%。

勒索軟件攻擊猖獗多數(shù)人傾向不支付贖金

來自CybersecurityVentures的相關(guān)調(diào)查數(shù)據(jù)顯示，2021年勒索軟件造成的損失預(yù)計(jì)將超過200億美元，而到2031年將上升至2650億美元。

此前美國燃油管道公司Colonial Pipeline遭受勒索攻擊事件受到全世界關(guān)注，該事件的意義不僅僅在于勒索軟件的猖獗，更揭示出勒索軟件帶來的危害遠(yuǎn)遠(yuǎn)超出了普通的網(wǎng)絡(luò)安全事件。

有消息稱，最終Colonial Pipeline公司向黑客支付了440萬美元的贖金。該行為帶來的負(fù)面影響也是顯而易見的，至少它向其他攻擊者表明了——勒索軟件是有效的。

這一點(diǎn)非常糟糕。

企業(yè)在面對勒索軟件攻擊時(shí)是否應(yīng)支付贖金，這取決于各個(gè)用戶的具體情況。但許多網(wǎng)絡(luò)安全專家都呼吁不要支付贖金。

微軟檢測和響應(yīng)小組（DART）的高級網(wǎng)絡(luò)安全顧問奧拉·彼得斯表示，微軟方面不鼓勵(lì)受害者滿足各種形式的勒索要求。

美國聯(lián)邦調(diào)查局也呼吁不要支付贖金，以免助長攻擊行為。埃森哲在一份報(bào)告中也保持了類似的態(tài)度。

Menlo Security在針對勒索軟件的一項(xiàng)調(diào)查中發(fā)現(xiàn)，在遭受勒索軟件攻擊時(shí)，79%的受訪者認(rèn)為不應(yīng)支付贖金。

Sophos的調(diào)查顯示，只有8%的組織在支付贖金后設(shè)法取回了所有數(shù)據(jù)，29%的組織取回了不超過一半的數(shù)據(jù)。

勒索軟件也有了“新業(yè)態(tài)”防范仍是最佳之選

Menlo Security公司網(wǎng)絡(luò)安全戰(zhàn)略高級總監(jiān) Mark Guntrip 表示，“勒索軟件在短時(shí)間內(nèi)不會(huì)消失，隨著勒索軟件即服務(wù)的興起，勒索軟件攻擊的門檻也在降低，網(wǎng)絡(luò)犯罪分子越來越容易發(fā)起有利可圖的攻擊?！?/p>

勒索軟件即服務(wù)（RaaS）作為一種商業(yè)模式，通過“合作伙伴”的形式對受害者進(jìn)行勒索攻擊，得手后與勒索軟件的開發(fā)者共同分享贓款。這使得勒索軟件的危害大大加深。

勒索形式在不斷進(jìn)化，“雙重勒索”也開始興起：攻擊者會(huì)首先竊取大量的敏感商業(yè)信息，然后對受害者的數(shù)據(jù)進(jìn)行加密，并威脅受害者如果不支付贖金就會(huì)公開這些數(shù)據(jù)。

面對勒索軟件攻擊，防范是最佳選項(xiàng)。及時(shí)備份數(shù)據(jù)始終是絕對必要的，特別是企業(yè)的關(guān)鍵資產(chǎn)，這甚至關(guān)乎到企業(yè)的生死存亡。

針對勒索軟件的防范，國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）在發(fā)布的《勒索軟件防范指南》中提出“九要、四不要”：

要做好資產(chǎn)梳理與分級分類管理，要備份重要數(shù)據(jù)和系統(tǒng)，要設(shè)置復(fù)雜密碼并保密，要定期安全風(fēng)險(xiǎn)評估，要常殺毒、關(guān)端口，要做好身份驗(yàn)證和權(quán)限管理，要嚴(yán)格訪問控制策略，要提高人員安全意識(shí)，要制定應(yīng)急響應(yīng)預(yù)案；

不要點(diǎn)擊來源不明郵件，不要打開來源不可靠網(wǎng)站，不要安裝來源不明軟件，不要插拔來歷不明的存儲(chǔ)介質(zhì)。

勒索軟件的“天敵”，零信任

有數(shù)據(jù)表明，勒索軟件從感染到竊取或加密企業(yè)數(shù)據(jù)以勒索贖金的時(shí)間平均不到兩個(gè)小時(shí)。因此，及時(shí)檢測并發(fā)現(xiàn)勒索軟件攻擊是至關(guān)重要的，在發(fā)現(xiàn)后以最快速度阻止勒索軟件的傳播，可以有效減小數(shù)據(jù)損失程度。

從勒索軟件攻擊方式上來看，Claudian一項(xiàng)相關(guān)調(diào)查數(shù)據(jù)顯示，網(wǎng)絡(luò)釣魚仍然是勒索軟件最直接的攻擊途徑之一，24%的勒索軟件攻擊都是從這種方式開始的。此外，公有云也是勒索軟件最常見的切入點(diǎn)。

但不要過于依賴響應(yīng)式的安全技術(shù)，很多企業(yè)都部署了針對網(wǎng)絡(luò)釣魚或云安全方面的安全工具，但在防止勒索病毒上無濟(jì)于事。安全專家建議，企業(yè)應(yīng)采用一種積極的安全方式來限制訪問，例如零信任安全。

零信任模型是阻止勒索軟件的一種有價(jià)值的防御機(jī)制。分布式零信任安全架構(gòu)的優(yōu)勢顯而易見：

不依賴絕對信任區(qū)域、靜態(tài)帳戶和防火墻規(guī)則；

每個(gè)身份（用戶、設(shè)備、應(yīng)用、數(shù)據(jù)）可以形成自己的邊界防御；

根據(jù)身份、角色和策略控制訪問權(quán)限；

所有交互都啟用了“最少時(shí)間”和最小訪問權(quán)限；

使用TLS會(huì)話代理，避免不安全協(xié)議及其漏洞；

不同于VPN，遠(yuǎn)程用戶設(shè)備上的惡意威脅在零信任安全架構(gòu)下無法滲透進(jìn)入目標(biāo)網(wǎng)絡(luò)；

控制用戶對設(shè)備、設(shè)備對設(shè)備、應(yīng)用對設(shè)備和應(yīng)用對數(shù)據(jù)的交互，并保護(hù)OT、IT和云中的文件和數(shù)據(jù)傳輸；

南北和東西向訪問管理；

由中央策略管理驅(qū)動(dòng)并使用分布式節(jié)點(diǎn)（任何資產(chǎn)、任何位置）強(qiáng)制執(zhí)行；

覆蓋現(xiàn)有的OT/IT架構(gòu)，無需更改網(wǎng)絡(luò)或系統(tǒng)（與現(xiàn)有部署的基礎(chǔ)架構(gòu)兼容）。

安全廠商Illumio以優(yōu)秀的自適應(yīng)安全平臺(tái)著稱，其產(chǎn)品Illumio Core 通過引入SaaS零信任分段平臺(tái)，可實(shí)現(xiàn)在云、容器、混合和本地環(huán)境中執(zhí)行10多萬個(gè)工作負(fù)載。 Illumio Core的創(chuàng)新之處在于：快速部署自動(dòng)化安全策略，實(shí)現(xiàn)智能可見性，在攻擊一開始就可立即啟動(dòng)大規(guī)模零信任分段，以保護(hù)工作負(fù)載。Illumio Core通過快速部署零信任策略，在幫助用戶防御勒索軟件攻擊方面獨(dú)樹一幟。

但像零信任這種主動(dòng)安全的策略，當(dāng)前也不是完美無缺。

啟明星辰認(rèn)為，當(dāng)前零信任在實(shí)際落地過程中存在著技術(shù)層面、管理層面、投入與落地周期等困境：分散的身份數(shù)據(jù)異構(gòu)體難以形成統(tǒng)一管理，權(quán)限管理難度大，動(dòng)態(tài)授權(quán)落地難，多種安全產(chǎn)品和體系融合難度大，傳統(tǒng)管理制度不匹配，落地周期長，成本消耗高等。

完整的零信任是一個(gè)理想的愿景。作為眾多安全威脅的其中之一，勒索軟件防范難度大，通過零信任來徹底解決此類威脅依然需要漫長的過程。 因此，用戶在落地零信任安全時(shí)，也要切忌一步登天，而應(yīng)當(dāng)步步推進(jìn)、逐步完善。

來源：科技云報(bào)道

生成海報(bào)

免責(zé)聲明：此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評論性文章，所有文字和圖片版權(quán)歸作者所有，且僅代表作者個(gè)人觀點(diǎn)，與極客網(wǎng)無關(guān)。文章僅供讀者參考，并請自行核實(shí)相關(guān)內(nèi)容。投訴郵箱：editor@fromgeek.com。

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。