《Akamai:阻断勒索软件影响白皮书(12页).pdf》由会员分享,可在线阅读,更多相关《Akamai:阻断勒索软件影响白皮书(12页).pdf(12页珍藏版)》请在三个皮匠报告上搜索。
1、1Stopping the Impact of Ransomware缓解风险,阻止并切断杀伤链 借助 GUARDICORE CENTRA 阻止勒索软件 白皮书现已并入2阻断勒索软件的影响关闭防火门,阻断横向移动“WannaCry 和 NotPetya 这样的蠕虫病毒需要依靠横向移动,才能使尚属可控的麻烦扩大为灾难性攻击。微分段和有重点的内部细化控制可以防范这一问题,因此必须作为 Zero Trust 策略的一部分进行 部署。”Forrester,Mitigating Ransomware With Zero Trust,2020 年 6 月 8 日 概览 勒索软件一度只是令人烦恼,因为网络犯罪
2、分子会用它来加密文件和数据,造成这些内容无法正常访问,但时至今日,它已演变成一种能造成重大破坏的攻击方法。数据永久损失的威胁本身就足以令人不安,更何况网络犯罪分子和民族国家支持的黑客的技术已经足够娴熟,能够利用勒索软件渗透大型企业、联邦政府机构、全球基础架构和医疗保健公司,造成严重破坏。2020 年,Snake 勒索软件攻击造成本田全球运营中断。就在同一周内,Snake 这种文件加密型恶意软件又袭击了南美配电公司 Enel Argentina。2019 年,黑客冻结了墨西哥国有天然气和石油集团 Pemex 的计算机网络,并借此索要 500 万美元的恢复服务费用。2017 年,WannaCry
3、加密蠕虫 病毒利用 Microsoft Windows 的一个漏洞,入侵了全球 23 万台计算机。如今,陈旧过时的技术、仅关注安全边界和端点的那种所谓“够用就行”的 防御策略、培训不足和不良的安全习惯,再加上没有已知的“万能型”解决 方案,这些不利因素相互交织,造成各种规模的公司都面临风险。雪上 加霜的是,当今的网络犯罪分子已经把勒索软件变成了一种谋生之道,用广撒网的方式加密尽可能多的公司网络上的计算机系统,并勒索赎金从几千美元到数百万美元不等。根据之前对 2021 年的预测数据,2021 年每 11 秒就会发生一次勒索软件攻击,在全球造成高达 200 亿美元的高额 损失。一切始于横向移动 勒
4、索软件攻击最初始于入侵,其手段通常是钓鱼邮件、网络安全边界中的漏洞或暴力破解攻击,目的是找到突破口并使防御偏离攻击者的真实意图。一旦攻击侵入某个设备或应用程序,就会在网络和多个端点内继续进行权限升级和横向移动,从而最大限度地增加被感染的加密点数量。攻击者通常会获得域控制器的控制权,接着盗取凭据,然后找到并加密数据备份,以防止操作人员恢复被冻结的服务。横向移动是攻击成功的关键。如果恶意软件无法扩散到着陆点之外,也就毫无用处。所以,关键在于阻止横向移动。Guardicore Centra 的监测和分段功能使您能够制定相应策略,以防范和控制最初的入侵。此外,您还可以收到关于横向移动和其他可疑行为的警
5、报,以便您尽早检测到恶意软件,进而能够立刻作出反应。2346153阻断勒索软件的影响初始立足点(鱼叉式)网络钓鱼或 易受攻击的服务 勒索软件杀伤链 渗漏式攻击寻找并窃取 有价值的数据横向运动 在整个网络中传播,尽可能扩大影响 赎金通知壁纸、电子邮件、赎金 txt 文件,等等。加密 带有加密(以防止 破解)的 PKI 影响 数据、财务、品牌等第 1 部分:切断勒索软件的杀伤链:防御并防范风险 勒索软件并不是通过入侵单台机器或设备来实现传播。网络犯罪分子利用这种恶意软件来尽可能多地加密网络中的系统,从而迫使受害者不得不支付赎金。由于勒索软件是一种多层面攻击,因此实施多层防御有助于防止出现广泛的损害
6、、数据丢失和停机。第一层防御是尝试防止勒索软件的初始感染。1.4阻断勒索软件的影响防止初始感染 对任何网络来说,与互联网的接触点都是最容易出现漏洞的地方。尽管许多勒索软件攻击依靠的都是鱼叉式网络钓鱼,但没有什么能够阻止它们破坏您在互联网上公开提供的服务。通过使用 Guardicore Reveal,您可以监控互联网上公开的服务,并针对以下各项制定相应策略来限制其暴露范围:远程访问服务(RDP、SSH、TeamViewer、AnyDesk、VPN)。可能存在漏洞的服务(Apache、IIS、Nginx)。可能存在漏洞的机器(使用 Guardicore Insight 来检测操作系统未经 修补的机
7、器)。意外暴露的服务(数据库、域控制器、内部 Web 服务器或文件服务器)。利用分段来切断杀伤链网络上的某些点难免会遭到入侵。其原因可能是鱼叉式网络钓鱼、人为错误,也可能是某台服务器上运行着一项未加以合理缓解的漏洞服务。正因为如此,制定合适的风险缓解策略至关重要。一旦机器遭到入侵,您就需要限制病毒在网络内的传播。您可以通过三种方法达到此目的:分段和应用程序安全围栏您需要将网络划分为多个可操作的段(按应用程序、用途或环境进行 划分),并且不允许在这些段之间及之内建立不必要的连接。您可以考虑采用以下四个分段准则:阻止笔记本电脑/工作站之间的任何通信。阻止使用“强力”域用户权限(例如域管理员)运行的
8、进程所发出的 通信。对可以在服务器上执行进程的用户进行限制。限制笔记本电脑/工作站对数据中心服务器和云实例的访问。5阻断勒索软件的影响Guardicore 使您能够轻松抵御勒索软件,保护您的网络。通过使用 Guardicore Centra 上提供的模板,只需简单的三步即可设定策略以抵御攻击:1.选择目标,例如为关键应用程序设置安全围栏、创建勒索软件抵御 策略或保护某个活动目录。2.确定需要保护的相关资产,例如需要设置安全围栏的电商应用程序资产、数据中心内的所有活动目录工作负载,或需要保护以防勒索软件威胁扩散的端点。在许多情况下,这一步都通过 Guardicore AI 标记 功能自动完成。3
9、.通过创建策略来保护资产。Guardicore 的 AI 功能可以根据环境中的真实流量自动推荐策略,并总结出数百个网络内的应用程序通信模式。示例:Guardicore Centra 模板 Allow internal assets to access your jumpboxes over SSH 2.3.在 Guardicore Centra 中创建的规则 6阻断勒索软件的影响保护备份和关键数据服务 为了最大程度增加破坏力度,勒索软件攻击通常是以企业的备份服务器为目标,对其中存储的数据进行加密。同样,数据服务和文件服务器也是勒索软件的目标。使用 Guardicore Centra 可以限制对
10、备份服务器、数据库和文件服务器的访问,同时限制来自您网络之外和您网络内不需要访问的区域的访问。为尽量减少与关键备份服务器的往来通信,您可以使用 Guardicore Centra 为应用程序创建安全围栏,并将与应用程序的往来通信锁定到进程和用户级别。通过将数据服务限制为仅开放至运营所需最低限度,可以降低此类服务的风险系数,同时阻断勒索软件的入侵和传播途径。利用协议限制规则来防止横向移动 针对特定的协议和行为,存在一些通用准则。某些协议在正常的每日运营情况下发挥着固有用途,因此应对其中部分协议谨慎地进行限制。Guardicore Reveal 允许实现所有流量的可视化,从而针对 WinRM、SM
11、B、RPC、RDP 和 SSH 等高风险协议为您的环境创建最准确的规则。例如,SSH 有助于实现远程管理,还可用于提高其他协议的安全性(例如 sFTP),但攻击者也可能将其用作一种入侵机器并在网络内传播的手段。您需要为授权用户创建跳箱,以尽可能地限制在全网范围内使用 SSH。7阻断勒索软件的影响第 2 部分:勒索软件检测与响应 在应对勒索软件这样的网络威胁时,预先规划和提高警惕性就变得至关重 要了。只要在发生入侵时快速作出反应,就能将对网络的破坏降至最低。Guardicore Centra 的功能在威胁检测与响应这两方面都能为您提供莫大 帮助。利用 Guardicore Centra 实现威胁
12、检测 事件 Guardicore Centra 以事件的形式发出警报,可能表示正在发生攻击或您的网络面临威胁。事件可能包括:欺骗 检测和拦截可疑的横向移动企图,并将其重定向到动态蜜罐,以使其操作能得到监控和分析。欺骗事件具有高保真度,可提供关于恶意活动及网络犯罪分子下一阶段攻击的详细数据。网络扫描 网络犯罪分子一旦侵入到网络,就会开始收集情报。他们 使用网络扫描作为侦察手段,以检测其他服务器正在侦听的开放端口或服务。Guardicore Centra 可以自动检测网络扫描,并立即向用户发出 警报。基于策略的检测 网络和进程级别的安全策略可以即时识别未经授权的通信以及不符合标准的流量。Guard
13、icore InsightGuardicore 利用 OSquery 提供了各资产的可见性。Centra 使用这种查询框架来快速检测异常活动,例如检测卷影复制,这是勒索软件最常采用的预加密操作。Centra 还可以检测用于传送勒索软件的木马病毒,方法是搜索常用的挖空技术,该技术可以将恶意软件隐藏在 svchost.exe 之下,而后者则是一个合法的 Windows 进程。8阻断勒索软件的影响已隔离受监控未感染 受恶意软件感染的资产 将这些资产保持已隔离 状态,直至恶意软件被清除 感染情况不明的资产 持续监控,直至确定 恶意软件已被清除 确认未感染且可以 正常运行的资产威胁搜寻Guardicor
14、e 的威胁搜寻服务可以针对用户网络内部的任何异常行为向用户发出警报。此功能通过各种技术实现,例如分析传入和传出的互联网连接及其关联的 GeoIP、寻找网络覆盖率正在扩大(可能表示正在传播)的 新可执行文件,以及分析资产连接,以通过相邻接口数量异常来查找横向移动征兆。即时响应 一旦检测到网络内部存在勒索软件等威胁,就可以使用 Guardicore Centra 来快速部署抵御措施,采用进程级别和用户级别的策略来主动拒绝和隔离恶意活动。让递增性感染无所遁形 在发现威胁的线索或征兆后,即可开始寻找其他征兆,例如通信模式、进程、使用的端口、感染的资产等等。您可以使用 Guardicore Reveal
15、 来 查找出现此征兆的所有资产(与 C2 进行通信的所有资产、与某个唯一端口进行通信的所有资产,或是运行某个恶意进程的所有资产)。Guardicore Reveal 可提供您工作环境的的直观图,在该图中,您可以寻找受感染机器之间的其他相似性或传播轨迹。第 3 部分:消除感染和恢复 获得所有受感染机器和 IoC 的列表后,即可启动消除感染的工作。将机器分为三个标签组:已隔离、受监控和未感染。9阻断勒索软件的影响关于恢复的分段准则 设定三个标签组之后即可开始添加策略,通过创建四个通信层来对网络 进行分段:阻止所有来自已隔离机器的传入和传出通信。阻止传至或传自受监控机器的远程管理协议通信。针对任何远
16、程管理协议通信向未感染机器发出警报。阻止各个标签组之间的所有通信。Guardicore Centra 中的阻止和警报规则 10阻断勒索软件的影响勒索软件恢复和响应模板 Guardicore Centra 中包含的勒索软件恢复和响应策略模板为您提供了 一种使用简便的预建策略,用于限制已隔离、受监控和未感染标签组的 访问权限。借助此模板,您可以轻松地让未感染机器保持连续操作,同时不必担心 来自已隔离机器引发的感染或重新感染风险。结论 如果您仍然依靠传统防火墙或仅保护安全边界的防御措施,则无法阻止 勒索软件在您的网络中传播并锁定关键应用程序及基础架构。现实情况是:数据泄露不可避免,您必须为此做好准备
17、。Guardicore Centra 可以帮助 您检测数据中心横向流量中的威胁,并阻止横向移动。准备 识别您的 IT 环境中运行的 每个应用程序和资产。11阻断勒索软件的影响利用 GUARDICORE CENTRA 缓解勒索软件攻击影响的五个步骤 检测 接收警报,以掌握是否有人试图访问分段应用 程序与备份的情况。恢复 借助可视化功能,为分阶段恢复策略提供支持。防御 创建规则,以阻止常见的勒索软件传播技术。修复 启动威胁控制和隔离措施,在检测到攻击时立即采取行动。关于 Guardicore Guardicore 是一家颠覆传统防火墙市场的网络分段公司。我们的纯软件方法摆脱了物理网络的束缚,提供了一套比防火墙更快的替代方案。Guardicore 的解决方案专门面向敏捷型企业,在云端、数据中心和端点上提供了更出色的安全性和监测能力。有关更多信息,请关注我们的 Twitter 或 LinkedIn 帐号。2021,Guardicore Incorporated。保留所有权利。CV0024-USv2 阻断勒索软件在 您的网络内的横向移动仍有疑惑?您不妨亲自看看。现已并入扫码关注获取最新CDN前沿资讯