勒索软件攻击的复杂性和频率继续增长。根据 Akamai 首席技术官 Robert Blumofe 的说法,勒索软件已经成为“一种可重复、可扩展、赚钱的商业模式,彻底改变了网络攻击格局。”
例如,网络犯罪巨头 Conti 的运营方式与它所针对的企业非常相似——拥有人力资源部门和月度最佳员工——不仅旨在赚钱,而且还进行出于政治动机的攻击。(在2022 年上半年勒索软件威胁报告中了解更多信息。)
另一个令人担忧的发展:虽然勒索软件仍然主要针对大型组织,但越来越多的中小型组织成为受害者。伊利诺伊州林肯学院于 2022 年 5 月宣布,它将在 157 年后关闭大门,理由是勒索软件攻击是一个促成因素。
如何避免勒索软件灾难
对于组织来说,采取强有力的措施来阻止勒索软件访问其 IT 环境(通常称为南北移动)具有良好的安全意义。但日益复杂的流量加上分散的劳动力让许多安全团队迎头赶上,并在权衡取舍上做出艰难的决定。
在这个入侵后的世界中,专注于实施微分段以确保组织能够阻止勒索软件攻击——除了预防攻击之外——可能是确保没有灾难的最佳方法。
微分段的力量
微分段完成了组织现在迫切需要的两件事。首先是能见度。执行零信任政策——这是最终目标——首先要了解受保护的资产以及它们如何(以及应该如何)相互通信。
微分段有助于实现这一目标:使用人工智能 (AI) 和机器学习,微分段可以对流量进行分类并标记数据,从而加快策略创建的速度。然后,安全团队可以确信这些规则将执行所需的操作:在不中断业务的情况下防止恶意操作。
其次,微分段支持细化策略,限制横向移动并禁止恶意行为。这是勒索软件的致命一击。如果它不能在您的 IT 环境中横向(东西向)传播,它就无法访问您的宝贵数据并对其进行加密。
人工智能辅助
从微分段开始防御策略的另一个好处是,人工智能正在帮助我们所有人组织、保护和理解我们用来开展业务的大量数据。因此,无论您身处哪个行业,使用 AI 映射所有数据和信息流都可以让您更有机会在日益复杂的网络攻击中保持领先地位。
为什么微分段是限制勒索软件损害的最佳方式?
正如我们从泄露的 Conti 文件中了解到的那样,威胁行为者在获得网络控制权之前不会开始加密机器,而网络控制权是通过在整个环境中横向传播来实现的。
他们最初访问网络通常不是通过特别有价值的设备,而是经常通过被网络钓鱼电子邮件欺骗并点击在他们的设备上下载勒索软件的链接的用户。加密那台机器对威胁行为者来说几乎没有价值;他们必须横向移动以发现更有价值的资产,这些资产包含有价值的信息,例如客户详细信息、信用卡信息、健康记录和其他个人身份信息。
为了防止这种移动发生,基于代理的微分段在逻辑上将企业网络和资产划分为多个部分,每个部分都有自己定义明确的安全控制。它还允许在细分市场内制定策略,具体到单个机器、流程和服务。这些控制确保每个进程只与执行其功能所必需的其他进程通信。
强大的勒索软件防御策略的五个方面
强大的防御不仅是阻止横向移动,还包括检测威胁的存在。构建强大的勒索软件防御策略有五个方面,微分段解决了所有五个问题。
为确保您的组织不成为勒索软件的受害者,您需要:
- 准备您的 IT 环境
- 防止移动
- 检测尝试访问
- 补救攻击
- 恢复和还原操作
准备您的 IT 环境
识别其中运行的每个应用程序和资产。微分段为您提供了这种级别的精细可见性,可帮助您快速映射关键资产、数据和备份,并更好地识别漏洞和风险。有了您的网络环境的全貌,您可以快速响应,激活可以阻止违规的规则。
防止移动
创建规则以阻止常见的勒索软件传播技术。软件定义的分段围绕关键应用程序、备份、文件服务器和数据库创建零信任微边界。分段策略还可以限制用户、应用程序和设备之间的流量,以阻止任何恶意横向移动的尝试,而不会触发误报。
检测尝试访问
通过警报检测任何被阻止的对分段应用程序和备份的访问尝试。这可以与基于信誉的检测协同工作,提醒您已知恶意域和进程的存在。快速发现未遂攻击可最大程度地减少停留时间并增加捕获攻击者的几率。
补救攻击
您可以使用微分段的自动威胁遏制和隔离措施来补救攻击。当检测到攻击时,隔离规则允许快速断开受影响的网络区域,而分段策略则阻止对关键应用程序和系统备份的访问。
恢复和还原操作
当网络的不同区域被确定为完全畅通时,使用可视化功能逐渐恢复连接。