勒索軟件攻擊的復(fù)雜性和頻率繼續(xù)增長(zhǎng)。根據(jù) Akamai 首席技術(shù)官 Robert Blumofe 的說(shuō)法，勒索軟件已經(jīng)成為“一種可重復(fù)、可擴(kuò)展、賺錢的商業(yè)模式，徹底改變了網(wǎng)絡(luò)攻擊格局。”

例如，網(wǎng)絡(luò)犯罪巨頭 Conti 的運(yùn)營(yíng)方式與它所針對(duì)的企業(yè)非常相似——擁有人力資源部門和月度最佳員工——不僅旨在賺錢，而且還進(jìn)行出于政治動(dòng)機(jī)的攻擊。（在2022 年上半年勒索軟件威脅報(bào)告中了解更多信息。）

另一個(gè)令人擔(dān)憂的發(fā)展：雖然勒索軟件仍然主要針對(duì)大型組織，但越來(lái)越多的中小型組織成為受害者。伊利諾伊州林肯學(xué)院于 2022 年 5 月宣布，它將在 157 年后關(guān)閉大門，理由是勒索軟件攻擊是一個(gè)促成因素。

如何避免勒索軟件災(zāi)難

對(duì)于組織來(lái)說(shuō)，采取強(qiáng)有力的措施來(lái)阻止勒索軟件訪問(wèn)其 IT 環(huán)境（通常稱為南北移動(dòng)）具有良好的安全意義。但日益復(fù)雜的流量加上分散的勞動(dòng)力讓許多安全團(tuán)隊(duì)迎頭趕上，并在權(quán)衡取舍上做出艱難的決定。

在這個(gè)入侵后的世界中，專注于實(shí)施微分段以確保組織能夠阻止勒索軟件攻擊——除了預(yù)防攻擊之外——可能是確保沒(méi)有災(zāi)難的最佳方法。

微分段的力量

微分段完成了組織現(xiàn)在迫切需要的兩件事。首先是能見(jiàn)度。執(zhí)行零信任政策——這是最終目標(biāo)——首先要了解受保護(hù)的資產(chǎn)以及它們?nèi)绾危ㄒ约皯?yīng)該如何）相互通信。

微分段有助于實(shí)現(xiàn)這一目標(biāo)：使用人工智能 (AI) 和機(jī)器學(xué)習(xí)，微分段可以對(duì)流量進(jìn)行分類并標(biāo)記數(shù)據(jù)，從而加快策略創(chuàng)建的速度。然后，安全團(tuán)隊(duì)可以確信這些規(guī)則將執(zhí)行所需的操作：在不中斷業(yè)務(wù)的情況下防止惡意操作。

其次，微分段支持細(xì)化策略，限制橫向移動(dòng)并禁止惡意行為。這是勒索軟件的致命一擊。如果它不能在您的 IT 環(huán)境中橫向（東西向）傳播，它就無(wú)法訪問(wèn)您的寶貴數(shù)據(jù)并對(duì)其進(jìn)行加密。

人工智能輔助

從微分段開(kāi)始防御策略的另一個(gè)好處是，人工智能正在幫助我們所有人組織、保護(hù)和理解我們用來(lái)開(kāi)展業(yè)務(wù)的大量數(shù)據(jù)。因此，無(wú)論您身處哪個(gè)行業(yè)，使用 AI 映射所有數(shù)據(jù)和信息流都可以讓您更有機(jī)會(huì)在日益復(fù)雜的網(wǎng)絡(luò)攻擊中保持領(lǐng)先地位。

為什么微分段是限制勒索軟件損害的最佳方式？

正如我們從泄露的 Conti 文件中了解到的那樣，威脅行為者在獲得網(wǎng)絡(luò)控制權(quán)之前不會(huì)開(kāi)始加密機(jī)器，而網(wǎng)絡(luò)控制權(quán)是通過(guò)在整個(gè)環(huán)境中橫向傳播來(lái)實(shí)現(xiàn)的。

他們最初訪問(wèn)網(wǎng)絡(luò)通常不是通過(guò)特別有價(jià)值的設(shè)備，而是經(jīng)常通過(guò)被網(wǎng)絡(luò)釣魚(yú)電子郵件欺騙并點(diǎn)擊在他們的設(shè)備上下載勒索軟件的鏈接的用戶。加密那臺(tái)機(jī)器對(duì)威脅行為者來(lái)說(shuō)幾乎沒(méi)有價(jià)值；他們必須橫向移動(dòng)以發(fā)現(xiàn)更有價(jià)值的資產(chǎn)，這些資產(chǎn)包含有價(jià)值的信息，例如客戶詳細(xì)信息、信用卡信息、健康記錄和其他個(gè)人身份信息。

為了防止這種移動(dòng)發(fā)生，基于代理的微分段在邏輯上將企業(yè)網(wǎng)絡(luò)和資產(chǎn)劃分為多個(gè)部分，每個(gè)部分都有自己定義明確的安全控制。它還允許在細(xì)分市場(chǎng)內(nèi)制定策略，具體到單個(gè)機(jī)器、流程和服務(wù)。這些控制確保每個(gè)進(jìn)程只與執(zhí)行其功能所必需的其他進(jìn)程通信。

強(qiáng)大的勒索軟件防御策略的五個(gè)方面

強(qiáng)大的防御不僅是阻止橫向移動(dòng)，還包括檢測(cè)威脅的存在。構(gòu)建強(qiáng)大的勒索軟件防御策略有五個(gè)方面，微分段解決了所有五個(gè)問(wèn)題。

為確保您的組織不成為勒索軟件的受害者，您需要：

1. 準(zhǔn)備您的 IT 環(huán)境
2. 防止移動(dòng)
3. 檢測(cè)嘗試訪問(wèn)
4. 補(bǔ)救攻擊
5. 恢復(fù)和還原操作

準(zhǔn)備您的 IT 環(huán)境

識(shí)別其中運(yùn)行的每個(gè)應(yīng)用程序和資產(chǎn)。微分段為您提供了這種級(jí)別的精細(xì)可見(jiàn)性，可幫助您快速映射關(guān)鍵資產(chǎn)、數(shù)據(jù)和備份，并更好地識(shí)別漏洞和風(fēng)險(xiǎn)。有了您的網(wǎng)絡(luò)環(huán)境的全貌，您可以快速響應(yīng)，激活可以阻止違規(guī)的規(guī)則。

防止移動(dòng)

創(chuàng)建規(guī)則以阻止常見(jiàn)的勒索軟件傳播技術(shù)。軟件定義的分段圍繞關(guān)鍵應(yīng)用程序、備份、文件服務(wù)器和數(shù)據(jù)庫(kù)創(chuàng)建零信任微邊界。分段策略還可以限制用戶、應(yīng)用程序和設(shè)備之間的流量，以阻止任何惡意橫向移動(dòng)的嘗試，而不會(huì)觸發(fā)誤報(bào)。

檢測(cè)嘗試訪問(wèn)

通過(guò)警報(bào)檢測(cè)任何被阻止的對(duì)分段應(yīng)用程序和備份的訪問(wèn)嘗試。這可以與基于信譽(yù)的檢測(cè)協(xié)同工作，提醒您已知惡意域和進(jìn)程的存在。快速發(fā)現(xiàn)未遂攻擊可最大程度地減少停留時(shí)間并增加捕獲攻擊者的幾率。

補(bǔ)救攻擊

您可以使用微分段的自動(dòng)威脅遏制和隔離措施來(lái)補(bǔ)救攻擊。當(dāng)檢測(cè)到攻擊時(shí)，隔離規(guī)則允許快速斷開(kāi)受影響的網(wǎng)絡(luò)區(qū)域，而分段策略則阻止對(duì)關(guān)鍵應(yīng)用程序和系統(tǒng)備份的訪問(wèn)。

恢復(fù)和還原操作

當(dāng)網(wǎng)絡(luò)的不同區(qū)域被確定為完全暢通時(shí)，使用可視化功能逐漸恢復(fù)連接。