守护数据安全: 零信任视角下的勒索病毒防范之道

本文涉及的产品
访问控制,不限时长
全局流量管理 GTM,标准版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介: 京鼎科技遭黑客勒索100万美元,全球勒索软件攻击增长,2023年涨幅37.75%。企业应采取零信任策略防止攻击:包括软件定义边界隐藏资产、颗粒度授权认证、持续信任评估和微隔离。德迅云安全提出零信任安全体系解决方案,通过网络隐身、IAM、流量控制和应用隔离保护企业免受勒索软件威胁。

一、前言
就在近日,鸿海集团旗下半导体设备大厂——京鼎精密科技股份有限公司(以下简称“京鼎”)遭到了黑客的入侵。黑客在京鼎官网公布信息直接威胁京鼎客户与员工,如果京鼎不支付赎金,客户资料将会被公开,员工也将因此失去工作。同时还表示如果京鼎不想支付100万美元的费用,就会公布高达5TB的客户资料。

图片.png


近几年,勒索软件已经逐渐成为了企业面临的主要安全威胁之一,就在Freebuf前段时间发布的文章2023年度全球勒索赎金排行榜TOP10可以看到,全球每年因遭受勒索带来的损失达到数十亿美元,那么,作为企业,应该采取哪些手段,来避免遭受勒索病毒攻击呢?

二、什么是勒索病毒
勒索软件又称勒索病毒,是一种特殊的恶意软件,又被归类为“阻断访问式攻击”(denial-of-access attack),与其他病毒最大的不同在于攻击手法以及中毒方式。勒索软件的攻击方式是将受害者的电脑锁起来或者系统性地加密受害者硬盘上的文件,以此来达到勒索的目的。

几乎所有的勒索软件都会要求受害者缴纳赎金以取回对电脑的控制权,或是取回受害者根本无从自行获取的解密密钥以便解密文件。勒索软件一般通过木马病毒的形式传播,将自身掩盖为看似无害的文件,通常假冒普通电子邮件等社会工程学方法欺骗受害者点击链接下载,但也有可能与许多其他蠕虫病毒一样利用软件的漏洞在互联网的电脑间传播。

三、勒索软件威胁趋势
刚刚过去的2023年,勒索软件活动迎来了堪称“大爆发”式的增长,根据Zscaler发布的《2023 年全球勒索软件报告》,仅截至2023年10月,全球勒索软件攻击数量同比增长37.75%,勒索软件的有效攻击载荷激增了 57.50%。

该报告显示,年收入和遭受勒索软件攻击的可能性之间存在明显的相关性,被勒索软件攻击的组织的百分比随着收入的增加而逐渐增加。去年,收入在1000万至5000万美元的组织中,56%的组织经历了勒索软件攻击,而收入在50亿美元以上的组织中,这一比例上升到了72%。

图片.png


相反,遇到勒索软件和组织中的员工数量之间几乎没有明确的关系。在1,001~3,000名的员工区间外,勒索软件攻击的比率非常一致:

100-250 employees 62%
251-500 employees 62%
501-1,000 employees 62%
1,001–3,000 employees 73%
3,001–5,000 employees 63%

漏洞攻击是勒索软件攻击最常见的手段(36%),其次是受损凭证(29%)。这些发现几乎与安全公司Sophos对152次攻击的回顾分析完全一致,分析显示其中37%的攻击源于被利用的漏洞,30%的攻击开始于受损的凭证,18%来源于恶意电子邮件,13%来源于网络钓鱼,3%是暴力破解,只有1%是下载。

图片.png

四、10大勒索软件常见攻击手段
恶意电子邮件附件:
攻击者通过发送看似合法的电子邮件,附件中包含勒索软件。
这些邮件可能会伪装成发票、快递通知、简历、办公文档等,诱导用户打开附件。

恶意网站和广告:
用户访问被感染的网站或点击恶意广告后,可能会触发勒索软件的下载。
这种攻击通常利用浏览器或插件的漏洞来安装恶意软件。

软件漏洞利用:
攻击者利用未打补丁的软件或操作系统中的安全漏洞来安装勒索软件。
这些漏洞可能存在于广泛使用的软件中,如Java、Flash Player、Adobe Reader等。

社会工程:
通过欺骗用户下载或执行文件来传播勒索软件。
社会工程攻击可能包括假冒技术支持、诱使用户点击链接或下载文件等。

远程桌面协议(RDP)攻击:
攻击者通过暴力破解或利用弱密码远程登录受害者的计算机,然后手动安装勒索软件。

僵尸网络和恶意下载器:
勒索软件通过其他恶意软件(如僵尸网络或下载器)传播,这些恶意软件已经在受害者的系统上占有一席之地。

受损的或假冒的软件更新:
用户下载并安装看似合法的软件更新,实际上是勒索软件。
这些更新可能会通过假冒的软件更新程序或通过破解软件的非法渠道传播。

网络钓鱼:
通过发送看似来自可信来源的电子邮件,诱导用户点击链接或打开附件,从而下载勒索软件。

USB驱动器和外部设备:
受感染的USB驱动器或其他外部存储设备可以在插入新系统时自动执行勒索软件。

供应链攻击:
攻击者通过破坏软件供应链中的某个环节来传播勒索软件,例如感染合法软件的分发服务器。

图片.png

五、如何防止勒索攻击
零信任视角下的勒索安全防护
在应对以勒索软件为代表的网络威胁时,零信任其实有着很大的优势,和传统安全架构相比,零信任安全摒弃了边界信任模型对于内网“过度信任”的做法,即所有访问敏感信息的请求都应该先经过零信任控制中心,由管控中心对访问进行评估,决定此次访问需要提供什么等级的认证信息,再动态授权访问,从而有效实现对资源的保护。

1.零信任安全“隐藏”
软件定义边界(SDP)是一种零信任网络安全模型,通过验证和授权用户身份,生成动态的网络规则来控制访问和通讯。SDP相比传统VPN更安全且隐身,保护不同的网络资源。防止攻击者从网络通信中获取信息,通过将受信任的通讯双方放置于网络的隐身模式下,使得攻击者无法轻易获取通讯数据。SDP可将设备业务服务隐身,从而解决因资产暴露而被攻击的问题。

隐身服务:SDP技术可以隐藏端口、隐藏服务器地址,防止被扫描和注入,减少病毒勒索的机会。

DDoS攻击防御:SDP技术可以抵御DDoS攻击,通过SPA(单包敲门)技术,在链接建立后,后续收到的数据包如果识别为攻击,可以检测错误包,从而防御DDoS攻击。

终端管理:SDP控制器可以控制哪些设备和应用程序可以访问特定的服务,例如应用程序和系统服务,防止病毒通过终端访问进行勒索。

策略管理:通过SDP的策略管理,设备只能访问策略允许的特定主机和服务,不能越权访问网段和子网,防止内部网络被病毒利用进行勒索。

图片.png

2.颗粒度授权认证
利用身份而非网络位置构建访问控制体系,为人和设备赋予数字身份,设定最小权限。细粒度的风险度量和授权针对可信的终端、应用、身份和报文等进行,实现动态访问控制。

最小权限原则是关键,零信任架构强调除单个实体身份外,还包括网络代理等复合主体。根据主体属性、环境属性和客体属性限制权限。在整个安全可信访问过程中,实现对访问主体的动态监测和风险感知,有效防止越权访问等安全威胁。

用户身份管理:IAM技术对用户身份进行管理,包括用户注册、用户注销、密码策略、会话管理等,防止未经授权的用户访问系统,减少病毒勒索的风险。

访问授权:IAM技术对用户访问进行授权,只有经过授权的用户才能访问特定的资源,如文件、数据库等,防止未经授权的用户访问敏感数据,避免病毒利用关键核心数据进行勒索。

访问控制:IAM技术实现细粒度的访问控制策略,可以定义哪些用户可以访问哪些资源,以及访问的方式等,有效防止未经授权的用户或病毒利用漏洞进行勒索。

安全审计:IAM技术可以对用户访问进行审计,及时发现和记录未经授权的访问和异常操作,及时发现和应对病毒勒索攻击。

图片.png

3.精细化持续信任评估
基于零信任安全模型的持续信任评估技术可以增强企业的安全防护能力,有效避免病毒勒索攻击。

用户和设备信任评估:对用户和设备进行信任评估,根据评估结果确定其访问权限。如果用户或设备存在异常行为或被认为不可信,其访问权限将被限制,从而防止病毒利用这些用户或设备进行勒索。

应用安全评估:对应用程序进行安全评估,发现并修复应用程序中的漏洞,减少病毒利用漏洞进行攻击的可能性,避免应用程序被勒索。

数据安全评估:对数据安全进行评估,发现并防止数据泄露和未授权访问,保护敏感数据不被病毒勒索,同时避免内部用户不当泄露数据。

网络信任边界:只允许信任的用户和设备访问受保护的应用程序和数据,防止未经授权的用户和设备访问关键资源,减少病毒利用漏洞进行攻击的风险。

图片.png

4.基于微隔离的指向安全“隔离”
在网络中创建了微小的隔离区域,确保只有授权的用户和设备可以访问特定的网络资源。实时监控网络流量和事件,及时发现并应对潜在的病毒勒索攻击。

网络隔离:对网络进行隔离,将不同的用户、设备和应用隔离开来,防止病毒在不同用户之间传播和利用漏洞进行攻击。使得只有授权的用户和设备可以访问特定的网络资源。

流量控制:对网络流量进行控制,限制网络流量的速度和大小,防止病毒利用流量进行攻击。使得网络流量不会超过系统的承受能力,避免系统被病毒勒索。

应用隔离:对应用程序进行隔离,防止不同应用程序之间的数据泄露和攻击。这种隔离可以通过虚拟化、容器等技术实现,使得每个应用程序都有自己的运行环境和数据存储,避免病毒利用漏洞访问其他应用程序。

六、防护方案示意
针对关键信息基础设施存在的安全风险研究,德迅云安全将零信任架构与自身丰富的工业安全实践经验相结合,构建“零信任安全体系解决方案”,为行业用户打造一个高度合规,运营便捷,全局可视的安全环境。
防护部署示意图

图片.png

零信任安全体系解决方案在整个防护流程中防护思路如下:

利用网络隐身技术构建一张隐形网络,只对认证授权的可信任用户可见,同时可以防止攻击者嗅探、扫描内部服务以及受攻击者利用内部服务漏洞的情况。通过使用IAM方式增强用户身份鉴别能力,即使登录密码凭证被盗,攻击者也无法攻破防线。该技术可以降低各种攻击类型的风险,包括勒索病毒、数据盗窃、BEC和服务器访问等。

基于网络流量中DNS信令解析,本平台能够响应和阻断组织内部访问风险网站的行为,从而减少由于下载和安装恶意软件导致感染勒索病毒的可能性。勒索病毒攻击通常需要使用DNS解析其C&C服务器的域名以建立连接,此时平台可以实时识别和阻断攻击行为,从而降低企业遭受网站挂马、网站钓鱼等安全风险的风险。流量解析技术可以通过识别勒索病毒攻击并生成告警来进行处置,平台能够根据告警信息封禁攻击IP地址,还原流量中的勒索病毒样本并联动威胁情报识别阻断勒索病毒的传播,从而检测和拦截各类通过邮件、网站等途径传播的勒索病毒。这些措施可以有效防止恶意勒索程序对企业宿主机中的文件进行加密和连接到敏感应用系统进行攻击,即使员工电脑上被安装了恶意软件也无法扫描和窃取内网上的资源。限制勒索病毒的入侵和传播,降低此类攻击从单一设备蔓延到整个内部网络的可能。

通过实时监测用户终端设备的健康状态,根据安全基线判断终端是否授信准入,保护用户设备的安全,防止攻击者利用用户设备作为内网入侵的入口。本平台还可以实时检测用户的访问和操作行为,对终端及用户行为进行持续验证,并根据检测结果动态调整用户的访问权限,以防止异常行为、越权行为、终端环境等造成的威胁。此外,使用智能模型机制来检测用户和设备的异常活动,并自动化响应其威胁,进行告警和阻断。最终,通过安全风险感知技术进行统计分析,可以对潜在入侵行为进行深入分析、识别、检测、告警及追溯审计,为管理员提供安全运维的决策依据。

相关文章
|
2月前
|
安全 数据安全/隐私保护 Windows
数据安全的守护者:备份工具和恢复方法详解
数据安全的守护者:备份工具和恢复方法详解
92 6
|
1月前
|
人工智能 安全 算法
5G 网络中的加密:守护你的数据安全
5G 网络中的加密:守护你的数据安全
85 0
|
2月前
|
安全 算法 数据安全/隐私保护
深度揭秘!Python加密技术的背后,AES与RSA如何守护你的数据安全
【9月更文挑战第10天】随着数字化时代的到来,数据安全成为企业和个人面临的重大挑战。Python 作为功能强大的编程语言,在数据加密领域扮演着重要角色。AES 和 RSA 是两种主流加密算法,分别以对称和非对称加密方式保障数据安全。AES(Advanced Encryption Standard)因其高效性和安全性,在数据加密中广泛应用;而 RSA 则利用公钥和私钥机制,在密钥交换和数字签名方面表现卓越。
81 3
|
3月前
|
Kubernetes 安全 Cloud Native
解锁安全新纪元:利用服务网格Istio,打造全链路mTLS加密隧道,从入口网关到出口网关,守护数据安全的每一步
【8月更文挑战第2天】随着云原生技术的发展,服务网格(Service Mesh)如Istio已成为微服务架构的核心,通过双向TLS(mTLS)确保通信安全。首先,在Kubernetes部署Istio以管理服务通信。接着,配置入口网关实现所有入向流量的加密处理,防止数据泄露。最后,通过配置Sidecar代理如Envoy,确保服务网格安全访问外部mTLS服务,从而构建起全链路的数据安全防护。
80 11
|
3月前
|
安全 算法 数据安全/隐私保护
深度揭秘!Python加密技术的背后,AES与RSA如何守护你的数据安全
【8月更文挑战第2天】随着数字化进程的加速,数据安全变得至关重要。Python作为强大的编程工具,在数据加密中扮演关键角色。AES(高级加密标准)是对称加密的经典案例,以其高效安全的特点广泛应用于数据加密;通过PyCryptodome库可轻松实现AES加密。另一方面,RSA作为一种非对称加密算法,利用公钥加密、私钥解密的方式确保数据完整性及身份验证,适用于密钥交换和数字签名等场景。在实际应用中,AES与RSA经常协同工作:RSA加密AES密钥,AES加密数据内容,形成高效且安全的混合加密方案。未来,AES与RSA将继续在数据安全领域发挥重要作用。
54 5
|
4月前
|
存储 安全 数据安全/隐私保护
🔎Android安全攻防实战!守护你的应用数据安全,让用户放心使用!🛡️
【7月更文挑战第28天】在移动应用盛行的时代,确保Android应用安全性至关重要。本文以问答形式探讨了主要安全威胁(如逆向工程、数据窃取)及其对策。建议使用代码混淆、签名验证、数据加密等技术来增强应用保护。此外,还推荐了加密API、HTTPS通信、代码审计等措施来进一步加强安全性。综上所述,全面的安全策略对于构建安全可靠的应用环境必不可少。#Android #应用安全 #代码混淆 #数据加密
76 3
|
4月前
|
SQL 存储 安全
SQL安全深度剖析:守护数据安全的坚固防线
展望未来,随着技术的不断进步和攻击手段的不断翻新,SQL安全将面临更多的挑战。因此,我们需要持续关注SQL安全领域的最新动态和技术发展,并不断更新和完善我们的防护措施。同时,加强国际合作与信息共享也是提升全球SQL安全性的重要途径。让我们共同努力,为构建一个更加安全、可靠的数字化环境而奋斗。
|
4月前
|
存储 运维 监控
数据安全性能:构建坚固防线,守护信息资产
在数字化时代,数据安全至关重要,影响企业运营稳定、客户信任及法规合规。本文强调数据安全性能的重要性,探讨面临的挑战(内部威胁、外部攻击等),提出关键防护措施(访问控制、数据加密、安全审计等),并介绍最佳实践(制定策略、采用新技术、应急响应等),助力企业构建坚固防线,守护信息资产。
211 0
|
5月前
|
安全 网络协议 Linux
探索Linux命令nss-policy-check:数据安全的守护者
`nss-policy-check`是Linux工具,用于检测名称服务策略的安全性,防止配置错误或风险。它检查`/etc/nsswitch.conf`,确保用户、组等信息解析的正确性。命令参数包括 `-f` 指定配置文件,`-v` 显示详细信息,`-q` 输出错误。定期运行此命令并关注输出,是维护系统安全的关键。修改配置前记得备份。
|
5月前
|
安全 生物认证 网络安全
筑牢网络安全防线:守护您的数据安全
**数据安全告急!印尼国家数据中心遭黑客攻击,凸显防御紧迫性。强化密码管理,启用双因素认证,安装安全软件,警惕网络钓鱼,加强员工培训,及选用专业安全服务,成为企业和个人对抗黑客的关键措施。**
35 0
下一篇
无影云桌面