2021年5月8日,美国燃料管道公司ColonialPipeline在其官网宣布,7日获悉黑客攻击事件,并联系了第三方网络安全专家、执法机构其他联邦机构启动了紧急响应,并确定涉及敲诈勒索。5月10日,美国联邦调查局(FBI)新闻办公室更新声明,确认DarkSide勒索软件是ColonialPipeline网络受损的原因。近年来,使用勒索软件的网络攻击已经司空见惯。ColonialPipeline攻击给企业组织敲响了警钟。Akamai安全技术团队副总裁兼首席技术官CharlieGero对此进行了分析。CharlieGero,Akamai安全技术团队副总裁兼首席技术官企业如何防御勒索软件攻击?勒索软件保护策略的类型可大致分为预防/感染前和补救/感染后。我认为目前最引人注目的勒索软件保护技术处于补救/感染后阶段。这些解决方案通常围绕智能备份和恢复展开。例如,领先的EDR公司SentinelOne可以将最终用户机器上的时间倒回到感染前的状态,这对企业来说是一个巨大的福音。另一种方法是使用具有备份策略的托管共享存储,它提供至少同等(如果不是更重要的话)保护。此存储可以在云中(并且是弹性的)或在本地管理。使用此存储时,机器本地信息变得不那么重要。如果一台机器被感染,它可以简单地被清除干净,重新映射,并再次获得网络共享的访问权限。如果共享被特权攻击者破坏,云存储系统可以轻松地将数据回滚到之前的状态,就好像它有有效的快照和备份一样。听起来很刺激,不是吗?这使得勒索软件成为一种易于补救的网络威胁。当被感染系统中有重要数据时,如果没有像SentinelOne这样的应用程序,那么商家只能向不法分子支付赎金。最后,感染的另一个严重后果往往是,如果不支付赎金,企业不仅会失去对数据的访问权限,而且数据也会暴露。对于许多企业而言,由于可能会窃取商业机密和知识产权,这种威胁比重新启动和运行更像是一种运营负担。在这种情况下,由于上述解决方案不能防止信息泄露(它们只会让企业更快地启动和运行),因此首先要注意不要被感染是绝对重要的。为此,SASE(安全访问服务边缘)类别中的产品具有巨大的优势。它的两个最大支柱产品是:SWG(安全Web网关):阻止访问危险网站并在下载时扫描恶意软件。ZTNA(零信任网络访问):将资源访问减少到只有那些有特定需求的人。这减少了可以被利用的攻击面。反黑客网络安全软件/固件是唯一的防御手段吗?鉴于当今桌面操作系统的性质,很难完全避免这种情况。但随着操作系统获得更多功能上与移动设备相当的保护,这些威胁面会随着时间的推移自然减少,但我们还没有做到这一点。虽然可能总有一些表面可以使这些漏洞在未来被利用,但还有其他途径可以阻止这些攻击——只需降低它们的经济回报率。使用备份、托管存储和高级EDR系统会使勒索软件攻击的补救措施变得相当麻烦。越多的组织可以简单地通过重新映射最终用户机器并将数据回滚到最近的备份来阻止攻击,犯罪分子就越难造成足够的损害以从组织那里获得赎金。犯罪分子获得报酬的次数越少,他们就越不会使用这种方法。在此之前,组织可以通过采用主动防御来显着降低勒索软件攻击成功的可能性。目前,企业可用的两种主要安全系统是安全网络网关(SWG)和零信任网络访问(ZTNA)。SWG能够控制最终用户的内容访问,甚至沙盒和病毒扫描软件的下载。在某些情况下,他们还采用远程浏览器隔离(RBI)将风险最高的网络操作完全转移到云端,从而降低感染机会。ZTNA系统可以限制资源访问者的身份和资源访问的内容。通过减少可以访问有风险的基础设施的人员和机器的数量,您可以避免攻击者用作立足点的“桥头堡”。这两种预防技术将共同帮助显着减少威胁。通过将它们与前面描述的补救技术相结合,组织可以拥有一个非常强大和安全的环境。
