零信任阻斷 Akamai支招勒索軟件攻擊的防御路徑

  • 人閱讀
  • 2022-09-30 10:29:34

  • 來源:太平洋電腦網(wǎng)

  • 相關(guān)關(guān)鍵詞

為了規(guī)范移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù),保護(hù)公民、法人和其他組織的合法權(quán)益,國家互聯(lián)網(wǎng)信息辦公室早在2016年就發(fā)布了《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》(以下簡稱“《舊規(guī)定》”)。但隨著《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等法律相繼生效并實(shí)施,為了實(shí)現(xiàn)與相關(guān)法律法規(guī)的有效銜接,《舊規(guī)定》也需要進(jìn)行相應(yīng)的修訂。

因此,國家互聯(lián)網(wǎng)信息辦公室近日發(fā)布了《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》(以下簡稱“《規(guī)定》”),并已于2022年8月1日起施行,《舊規(guī)定》同時(shí)廢止?!兑?guī)定》在銜接現(xiàn)有數(shù)據(jù)安全和個(gè)人信息保護(hù)的相關(guān)法律規(guī)范的基礎(chǔ)上,進(jìn)一步明確了應(yīng)用程序提供者和應(yīng)用程序分發(fā)平臺(tái)的義務(wù)和責(zé)任。

《規(guī)定》要求,應(yīng)用程序提供者和應(yīng)用程序分發(fā)平臺(tái)應(yīng)當(dāng)履行信息內(nèi)容管理主體責(zé)任,建立健全信息內(nèi)容安全管理、信息內(nèi)容生態(tài)治理、數(shù)據(jù)安全和個(gè)人信息保護(hù)、未成年人保護(hù)等管理制度,確保網(wǎng)絡(luò)安全,維護(hù)良好網(wǎng)絡(luò)生態(tài)。

從2017年的WannaCry全球攻擊開始,勒索軟件攻擊者襲擊了學(xué)校、政府、醫(yī)療保健和基礎(chǔ)設(shè)施等目標(biāo),其中關(guān)鍵基礎(chǔ)設(shè)施組織占比12%;針對(duì)商業(yè)服務(wù)的攻擊占比13%,勒索軟件和供應(yīng)鏈攻擊互相推波助瀾。

勒索軟件在網(wǎng)絡(luò)安全攻擊中無處不在,2021年在全球造成的損失超過200億美元。與此同時(shí),備受矚目的勒索軟件攻擊的出現(xiàn)也大大提高了企業(yè)防御勒索軟件的意識(shí)。

為應(yīng)對(duì)層出不窮的勒索軟件攻擊,《Akamai 2022上半年勒索軟件威脅報(bào)告》于近期重磅發(fā)布。報(bào)告重點(diǎn)討論了Conti這類勒索軟件即服務(wù)(RaaS)組織的運(yùn)作方式,并分享了相關(guān)攻擊趨勢(shì)、工具以及緩解措施。

零信任阻斷勒索軟件攻擊

Akamai安全研究人員對(duì)意外泄露的Conti內(nèi)部文檔和聊天記錄全盤審查、分析后,發(fā)現(xiàn)該組織并非僅是大公司的安全殺手,同時(shí)也會(huì)通吃中小企業(yè)。有備而來的Conti專業(yè)化非常強(qiáng),不僅鋪開了立體、多層面的攻擊場景,而且注重細(xì)節(jié)、攻擊持久。

Conti外泄文檔介紹了網(wǎng)絡(luò)攻擊方法及其傳播目標(biāo),攻擊方法可以概括為“收集憑據(jù)、傳播、重復(fù)”。假設(shè)黑客可以訪問網(wǎng)絡(luò)中的某臺(tái)計(jì)算機(jī),具體操作可分為以下步驟:

突破密碼層:攻擊者嘗試轉(zhuǎn)儲(chǔ)和解密密碼,或者暴力破解密碼

擴(kuò)大攻擊面:在下一臺(tái)計(jì)算機(jī)上使用憑據(jù),再重復(fù)第一個(gè)步驟

獲取主導(dǎo)權(quán):加強(qiáng)控制,在獲取網(wǎng)絡(luò)主導(dǎo)權(quán)后才開始進(jìn)行加密

事實(shí)上,Conti的套路并不新穎,使用有效的工具和持久化技術(shù)便可實(shí)現(xiàn);但由于Conti側(cè)重于“觸摸鍵盤”網(wǎng)絡(luò)傳播,因此企業(yè)更需要用強(qiáng)有力的防御措施來阻止橫向移動(dòng)。

Akamai認(rèn)為緩解攻擊的最佳實(shí)踐是以微分段等技術(shù),進(jìn)行全生命周期的應(yīng)對(duì)防護(hù)。

去年,Akamai通過收購Guardicore及其一流的網(wǎng)絡(luò)微分段解決方案,具備了提供這種保護(hù)的能力。Guardicore補(bǔ)充了Akamai行業(yè)領(lǐng)先的零信任安全解決方案,為勒索軟件和其他形式的惡意軟件攻擊提供多道防線。

Guardicore的微分段技術(shù)在邏輯上將企業(yè)劃分為不同的安全部分,直至單個(gè)軟件和工作負(fù)載級(jí)別,每個(gè)部分都有明確定義的安全控制。這種方法解決了惡意軟件通過東西向移動(dòng)在整個(gè)企業(yè)中擴(kuò)散的問題。

面對(duì)勒索軟件攻擊的防御路徑

面對(duì)有組織的RaaS團(tuán)伙攻擊,更需有預(yù)案、有針對(duì)性的最佳安全實(shí)踐。從初始攻擊跳板、橫向移動(dòng)肆虐到備份加密勒索,Akamai 建議您采取以下防御路徑,加固企業(yè)安全:

抗擊初始感染載體:建議減少RDP、數(shù)據(jù)庫、DC等應(yīng)用程序的網(wǎng)絡(luò)可見性,并使用Akamai Guardicore Segmentation 技術(shù)全面檢測(cè)漏洞。

預(yù)判滲透:由于勒索攻擊是多層面的,面對(duì)魚叉攻擊與暴力窮舉破解等威脅,防御者需要預(yù)先設(shè)置緩解措施。

檢測(cè)并斬?cái)鄼M向移動(dòng):阻截勒索攻擊的橫向移動(dòng),可使用微分段技術(shù)實(shí)現(xiàn)應(yīng)用程序隔離,并嚴(yán)格限制跨網(wǎng)絡(luò)的橫向移動(dòng)。

控制通信路徑:可采取協(xié)議限制規(guī)則,提高安全性,對(duì)WinRM、RPC、SSH等可被濫用于橫向移動(dòng)的協(xié)議予以禁用。

保護(hù)備份:在備份服務(wù)器上應(yīng)用微分段技術(shù),進(jìn)一步將備份與其它網(wǎng)絡(luò)隔離,阻止勒索軟件進(jìn)行備份加密。

隔離關(guān)鍵數(shù)據(jù)服務(wù):使用微分段技術(shù)精細(xì)化防護(hù)數(shù)據(jù)庫和文件服務(wù)器等關(guān)鍵區(qū)域,盡可能減少數(shù)據(jù)服務(wù)暴露面。

周全布局應(yīng)對(duì)計(jì)劃:為加速安全響應(yīng),可基于切斷文件服務(wù)器、SMB協(xié)議和強(qiáng)化限制橫向移動(dòng)為準(zhǔn)則來創(chuàng)建緩解預(yù)案。

結(jié)語

為應(yīng)對(duì)當(dāng)今的網(wǎng)絡(luò)威脅,最小化企業(yè)外部和內(nèi)部的潛在攻擊面是減輕勒索軟件威脅的務(wù)實(shí)和整體戰(zhàn)略。

Akamai提供全面、有效的解決方案,結(jié)合Web應(yīng)用程序防火墻、零信任網(wǎng)絡(luò)訪問、DNS防火墻、安全Web網(wǎng)關(guān)、多因素身份驗(yàn)證和微分段,打造南北向和東西向流量的端到端零信任縱深防御,而不會(huì)產(chǎn)生額外的網(wǎng)絡(luò)管理負(fù)擔(dān)。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )