零信任阻断 Akamai支招勒索软件攻击的防御路径

　　为了规范移动互联网应用程序信息服务,保护公民、法人和其他组织的合法权益,国家互联网信息办公室早在2016年就发布了《移动互联网应用程序信息服务管理规定》(以下简称“《旧规定》”)。但随着《网络安全法》、《数据安全法》、《个人信息保护法》等法律相继生效并实施,为了实现与相关法律法规的有效衔接,《旧规定》也需要进行相应的修订。

　　因此,国家互联网信息办公室近日发布了《移动互联网应用程序信息服务管理规定》(以下简称“《规定》”),并已于2022年8月1日起施行,《旧规定》同时废止。《规定》在衔接现有数据安全和个人信息保护的相关法律规范的基础上,进一步明确了应用程序提供者和应用程序分发平台的义务和责任。

　　《规定》要求,应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任,建立健全信息内容安全管理、信息内容生态治理、数据安全和个人信息保护、未成年人保护等管理制度,确保网络安全,维护良好网络生态。

　　从2017年的WannaCry全球攻击开始,勒索软件攻击者袭击了学校、政府、医疗保健和基础设施等目标,其中关键基础设施组织占比12%;针对商业服务的攻击占比13%,勒索软件和供应链攻击互相推波助澜。

　　勒索软件在网络安全攻击中无处不在,2021年在全球造成的损失超过200亿美元。与此同时,备受瞩目的勒索软件攻击的出现也大大提高了企业防御勒索软件的意识。

　　为应对层出不穷的勒索软件攻击,《Akamai 2022上半年勒索软件威胁报告》于近期重磅发布。报告重点讨论了Conti这类勒索软件即服务(RaaS)组织的运作方式,并分享了相关攻击趋势、工具以及缓解措施。

　　零信任阻断勒索软件攻击

　　Akamai安全研究人员对意外泄露的Conti内部文档和聊天记录全盘审查、分析后,发现该组织并非仅是大公司的安全杀手,同时也会通吃中小企业。有备而来的Conti专业化非常强,不仅铺开了立体、多层面的攻击场景,而且注重细节、攻击持久。

　　Conti外泄文档介绍了网络攻击方法及其传播目标,攻击方法可以概括为“收集凭据、传播、重复”。假设黑客可以访问网络中的某台计算机,具体操作可分为以下步骤:

　　突破密码层:  攻击者尝试转储和解密密码,或者暴力破解密码

　　扩大攻击面:  在下一台计算机上使用凭据,再重复第一个步骤

　　获取主导权:  加强控制,在获取网络主导权后才开始进行加密

　　事实上,Conti的套路并不新颖,使用有效的工具和持久化技术便可实现;但由于Conti侧重于“触摸键盘”网络传播,因此企业更需要用强有力的防御措施来阻止横向移动。

　　Akamai认为缓解攻击的实践是以微分段等技术,进行全生命周期的应对防护。

　　去年,Akamai通过收购Guardicore及其的网络微分段解决方案,具备了提供这种保护的能力。Guardicore补充了Akamai行业的零信任安全解决方案,为勒索软件和其他形式的恶意软件攻击提供多道防线。

　　Guardicore的微分段技术在逻辑上将企业划分为不同的安全部分,直至单个软件和工作负载级别,每个部分都有明确定义的安全控制。这种方法解决了恶意软件通过东西向移动在整个企业中扩散的问题。

　　面对勒索软件攻击的防御路径

　　面对有组织的RaaS团伙攻击,更需有预案、有针对性的安全实践。从初始攻击跳板、横向移动肆虐到备份加密勒索,Akamai 建议您采取以下防御路径,加固企业安全:

　　抗击初始感染载体:  建议减少RDP、数据库、DC等应用程序的网络可见性,并使用Akamai Guardicore Segmentation 技术全面检测漏洞。

　　预判渗透:  由于勒索攻击是多层面的,面对鱼叉攻击与暴力穷举破解等威胁,防御者需要预先设置缓解措施。

　　检测并斩断横向移动:  阻截勒索攻击的横向移动,可使用微分段技术实现应用程序隔离,并严格限制跨网络的横向移动。

　　控制通信路径:  可采取协议限制规则,提高安全性,对WinRM、RPC、SSH等可被滥用于横向移动的协议予以禁用。

　　保护备份:  在备份服务器上应用微分段技术,进一步将备份与其它网络隔离,阻止勒索软件进行备份加密。

　　隔离关键数据服务:  使用微分段技术精细化防护数据库和文件服务器等关键区域,尽可能减少数据服务暴露面。

　　周全布局应对计划:  为加速安全响应,可基于切断文件服务器、SMB协议和强化限制横向移动为准则来创建缓解预案。

　　结语

　　为应对当今的网络威胁,最小化企业外部和内部的潜在攻击面是减轻勒索软件威胁的务实和整体战略。

　　Akamai提供全面、有效的解决方案,结合Web应用程序防火墙、零信任网络访问、DNS防火墙、安全Web网关、多因素身份验证和微分段,打造南北向和东西向流量的端到端零信任纵深防御,而不会产生额外的网络管理负担。