勒索软件已经存在了几十年,但其流行程度直到最近两年才出现爆炸式增长。这些攻击由一些专门的攻击组织发起,并通过相互买卖专业的勒索工具和服务包,不断降低勒索攻击的准入门槛。在此背景下,勒索软件攻击已经成为企业数字发展最大的威胁。但好消息是,有一种安全可靠的技术能够帮助组织最大限度地缓解勒索软件威胁,它就是零信任。
在勒索软件攻击中,攻击者必须完成一系列目标才能取得成功。首先,它们需要通过恶意勒索软件有效载荷成功感染系统来进入目标组织的环境;其次,攻击者会进行广泛的侦察,发现高价值资产进行窃取和加密;最后,攻击者会窃取数据并以此索取赎金。而零信任是一种基于“假设违规”原则的安全方法,通过全面的访问控制策略以及监控措施,对资源访问者进行持续性的安全性监控。相比传统的边界防护模式,采用零信任架构能够从以下方面帮助企业增强对抗勒索攻击的能力:
1.可以使应用程序对攻击者不可见,最大限度地减少勒索软件攻击面
当组织所有的应用程序、用户身份在互联网上公开可见时,攻击者就会很容易地找到重要的数据资产,并利用漏洞(例如未打补丁的web服务器软件或可以在暴力攻击中破解的弱密码)在目标环境中获取强大的立足点。
利用专业的零信任解决方案,组织可以将应用程序连接至用户,而不是让用户连接至应用程序。在这种“由内而外”的连接模式下,所有应用程序都是私有的,因此对攻击者是不可见的。如果组织能够有效地将这种方法扩展到组织环境中的所有设备和应用程序,就可以大大增加勒索攻击者侦查的难度。
2.对所有流量(包括加密流量)进行深入彻底的检查
目前,绝大多数互联网流量都利用了加密技术,恶意流量也不例外。调查数据显示,目前超过90%的互联网流量都是加密的,而其中勒索软件的加密流量相比2020年增长了500%以上。因此,检查所有的流量(无论是否加密)已成为企业构建强大防御策略的重要组成部分,而仅仅依赖于下一代防火墙和其他边界防御工具很难胜任这项任务,因为它们无法在不影响业务开展的情况下检查所有SSL加密流量。基于零信任架构的解决方案,则可以确保所有流量(包括加密流量)都经过深入彻底的检查,从而保障所有流量的安全可靠并消除风险盲点。
3.在勒索软件攻击造成实际伤害之前检测发现并采取控制措施
越来越多的勒索软件攻击开始利用定制化的恶意软件。为了防御这种威胁,组织需要能够及时检测并阻止新的勒索软件威胁。借助云原生沙箱和人工智能技术,组织可以依靠异常行为分析来发现未知的勒索软件变体,并在其实际执行之前对其进行隔离和全面分析。
如今,市场上主流的零信任解决方案都能够提前检测出包含勒索攻击在内的未知恶意软件威胁并采取针对性的控制措施。用户甚至可以根据组别、内容类型等自定义零信任策略,从而对隔离操作进行细粒度控制,以最大限度地减少用户影响,同时提高恶意软件检测的准确性。
4.简化访问控制策略,并增强其有效性
微隔离是零信任框架的一个核心理念,主要指通过技术手段限制对应用程序和资源的访问。在此情况下,已经进入系统的勒索攻击者就无法对其他更多应用和资源造成损害。在传统的基于网络的微分段方法中,防火墙通过检查网络地址来强制执行规则。这种方法需要随着应用程序的移动和网络的发展而重新定义和更新策略。
零信任架构所采用的代理架构模式大大降低了实现微隔离会面临的复杂性,同时还能够为各种工作负载提供了更强大的保护。因为策略和权限是在资源标识的基础上进行管理的,所以它们是独立于底层网络基础设施,并且可以自动适应。同时,零信任还可以简化管理,组织可以使用多个基于身份的隔离策略而非基于地址的规则来保护各个被分开的网段。
5.更安全地保护远程设备和外部访问的员工
许多组织开始通过虚拟专用网络(VPN)或远程桌面协议(RDP)让居家办公的员工能够连接到公司网络和资源。不幸的是,勒索软件攻击者们也很快就跟上了这些组织的脚步,发起了新一轮基于RDP和VPN的攻击。而在保护远程用户的零信任方法中,无论用户位于何处,每个连接都会得到相同级别的保护。此外,组织还可以向每个远程用户的设备添加一个轻量级的端点代理,使他们能够获得足够的安全性保障、策略实施和访问控制,同时还能够获得更快速连接,消除VPN延迟带来的不便。
6.防止攻击者恶意利用正规的工作负载
在零信任架构中,安全策略是根据试图相互通信的访问身份来实施的。这些身份不断得到核实;未经验证的工作负载将被阻止与其他工作负载进行通信。这意味着它们不能与恶意的远程命令控制服务器交互,也不能与内部主机、用户、应用程序和数据交互。
在访问组织资源时,零信任架构会自动确保所有流量(无论来自何处)都将遵守所有的安全管理政策,无论这些资源是内部、外部还是第三方SaaS。这是一种比多层策略执行更简单也更有效的网络隔离方法。
7.以主动的方式对抗勒索攻击
如今,勒索软件往往能够轻松绕过提前设置的预防措施。因此,零信任架构还具有一个关键的特点,就是能够采用主动策略在攻击造成损害之前发现并隔离攻击。这种主动防御方法包括在IT环境中填充诱饵,例如假端点、目录、数据库、文件和用户路径。这些诱饵能够模仿高价值的业务资产,但它们对真正的用户是不可见的,其唯一的作用是在被触碰时提醒安全团队。由于诱饵没有合法的流量,使得警报具有极高的保真度,提供了超越其他检测系统的高准确性。
8.提供更加全面的数据丢失防护
随着“多重勒索”攻击策略日益流行,组织有必要将每次勒索软件攻击视为一次“数据泄露”。在这种情况下,不断优化防止敏感数据泄露的策略就显得很有必要。
在零信任架构中,可以使用云访问安全代理(CASB)等解决方案,使组织能够加强对云应用程序实施细粒度控制,保护SaaS平台内的静态数据,并防止意外的过度共享和恶意攻击。另一个好处是,组织将享受云应用程序增强的可见性,使其更容易识别漏洞、错误配置和影子IT。通过更加全面的数据丢失防护,组织将能够自动阻止数据泄露的情况,从而大大降低多重勒索威胁。
参考链接:https://zerotrust.cio.com/wp-content/uploads/sites/64/2023/09/zero-trust-against-ransomware.pdf