Akamai針對勒索攻擊的分析及防護策略

2021年5月8日，美國燃油管道公司Colonial Pipeline官網發布公告，稱于7日得知被黑客攻擊，同時聯系第三方網絡安全專家、執法部門和其他聯邦機構啟動應急響應，確定涉及勒索事件。5月10日，美國聯邦調查局（FBI）新聞辦公室更新聲明，確認Dark Side勒索軟件是造成Colonial Pipeline公司網絡受損的原因。

近年來，利用勒索軟件進行網絡攻擊的事件屢見不鮮。Colonial Pipeline攻擊事件更是為企業機構敲響了警鐘。Akamai安全技術團隊副總裁兼首席技術官Charlie Gero對此進行了分析。

Akamai安全技術團隊副總裁兼首席技術官Charlie Gero

企業如何防范勒索軟件攻擊？

勒索軟件防護策略的類型大致可以分為預防/感染前和修復/感染后。我認為目前最引人注目的勒索軟件防護技術是在修復/感染后階段。

這些解決方案一般都是圍繞智能備份和恢復。例如領先的EDR公司SentinelOne可以將終端用戶機器上的時間倒退到感染前的狀態，這對于企業而言是一個巨大的福音。另一種方法是使用帶有備份策略的管理型共享存儲，這種方法至少能夠提供相等的保護，甚至更加重要的保護。這種存儲可以位于云端（并具有彈性），也可以在本地管理。

當使用這種存儲時，機器上的本地信息就變得不那么重要了。如果機器被感染，只需要簡單地將其清除干凈、重新映射并重新給予網絡共享訪問權即可。如果共享被有權限的攻擊者破壞，那么云存儲系統可以如同具有有效的快照和備份一般，輕松地將數據回滾到之前的狀態。聽上去很振奮人心，不是嗎？這樣勒索軟件也就成為了一種容易補救的網絡威脅。當被感染的系統中有重要的數據時，如果沒有像SentinelOne這樣的應用，那么企業就只能向犯罪分子支付贖金。

最后，感染所造成的另一個嚴重后果往往是如果企業不支付贖金，那么企業不僅將失去對數據的訪問，而且數據還會遭到公開。對許多企業而言，由于可能使商業秘密和知識產權被盜，因此這一威脅比恢復運行所帶來的運營負擔更大。針對此類情況，由于上述解決方案并不能阻止信息暴露（它們只能讓企業更快啟動和運行），因此最重要的無疑是把重點放在首先不被感染上。為此，SASE（安全訪問服務邊緣）類別的產品具有巨大的優勢。

其中的兩個最大支柱產品是：

1.SWG（安全網絡網關）：阻止對危險網站的訪問并在下載時進行惡意軟件掃描。

2.ZTNA（零信任網絡訪問）：減少資源訪問，只有具有特定需求的人才能訪問。這能夠減少可以被利用的攻擊面。

反黑客網絡安全軟件/固件是唯一的防御手段嗎？

鑒于目前的桌面操作系統性質，我們還難以完全阻止這種情況。但隨著操作系統獲得更多在功能上與移動設備更加等同的保護，這些威脅面自然會逐漸減少，但我們目前還沒有到達這一階段。雖然未來可能會始終存在一些使這些漏洞可以被利用的表面，但可以通過其他途徑來切斷這些攻擊——只需降低它們的經濟回報率即可。

備份、管理型存儲和先進EDR系統的使用使勒索軟件攻擊的補救工作變得相當繁瑣。企業機構越是能夠單純地通過重新映射終端用戶機器并將數據回滾到最近的備份來阻止攻擊，犯罪分子就越難以通過造成足夠大的破壞從企業這里得到贖金。犯罪分子獲得報酬的次數越少，他們使用這種方法的次數就會越少。

在此之前，企業機構可以運用積極的防御措施顯著降低勒索軟件攻擊成功的可能性。目前，企業可以使用的兩個主要的安全系統是安全網絡網關（SWG）和零信任網絡訪問（ZTNA）。

SWG能夠控制最終用戶的內容訪問權限，甚至對正在下載的軟件進行沙盒化和病毒掃描。在某些情況下，它們還會采用遠程瀏覽器隔離（RBI）將風險最大的網絡操作完全轉移至云端，從而減少感染幾率。ZTNA系統可以限制資源訪問者的身份和資源訪問內容。通過減少可以訪問風險基礎設施的人員和機器，就可以避免被攻擊者當作立足點的“橋頭堡”。

這兩項預防技術加在一起將有助于顯著減少威脅。通過將它們與之前所述的補救技術相結合，企業就可以擁有一個十分強大和安全的環境。