勒索软件攻击的数量和复杂程度都在上升。三重勒索(对一家企业的勒索软件攻击导致其业务合作伙伴受到勒索威胁)正在提高攻击成本。勒索软件即服务将攻击手段掌握在较小的犯罪实体手中,使该策略成为一种商品,而不仅仅是策划者的工具。毫不奇怪,勒索软件攻击的恢复成本比其他类型的数据泄露要高得多。
将攻击者完全排除在您的系统之外是理想的选择,但网络犯罪分子是顽固且富有创造力的。那么如何才能阻止勒索软件攻击得逞呢?
各级数据加密是一项强有力的措施,对于深度和重量实施至关重要。但它应该只是一个更大整体的一部分。应该考虑使用额外的控制来增强加密,以识别应用程序和进程级别的攻击者。此技术称为应用程序(或进程)白名单。
让我们讨论一下为什么它是必要的、它是如何工作的以及如何使用它。
简而言之,常见恶意软件和勒索软件策略
常见的网络攻击涉及在端点上安装虚拟应用程序,这些应用程序看起来像常见的实用程序(例如 Word、Adobe Photoshop 或 Slack),但会秘密加密和/或泄露数据。网络钓鱼策略是这些应用程序和特洛伊木马进入系统的最常见方式。在没有意识到的情况下,员工可能会点击看似无害的链接,从而在其设备上安装恶意软件。
当这些恶意软件应用程序之一出现在桌面或目录中时,它可以避免怀疑,因为用户假设该应用程序一直存在。然而,有权访问端点的恶意行为者可以部署恶意软件,找到有价值的数据并将其劫为人质。当合法用户尝试访问受损数据时,会出现一条消息,要求勒索赎金,并威胁称,如果他们不付款,就会在网上公开敏感数据。
如果您不幸看到这样的消息,则意味着您的数据已被泄露。你的公司应该准备走一条漫长而昂贵的道路,评估损失、权衡选择、管理危机,并可能寻找资金支付赎金。这些行为的负面影响在赎金和咨询费用中显而易见。即使您支付了赎金,网络勒索者的解密程序也可能非常缓慢,并延长您的业务离线时间,您的任务被搁置,您的市场声誉受损。在最好的情况下,您拥有强大的数据备份和恢复能力,但灾难恢复既不是即时的,也不是 100% 成功的。
为什么加密可能还不够
每个级别的加密都至关重要。但如果本机加密很弱,犯罪分子可以使用自己的工具或在暗网上租用的工具(在新兴且方便的勒索软件即服务市场中)对其进行解密。他们可以泄露数据,除了停止您自己的业务运营之外,他们还可以威胁公开敏感数据,并对其安全返回收取更多费用。因此,即使您可以自行恢复业务运营,您仍然面临遭受勒索的风险,以防止您的数据被公开曝光或阻止其被出售给最高出价者。
本机或内联实用程序怎么样?
内联管理工具(例如特定数据库本机的工具)提供访问控制。但是,它们通常不包括白名单,并且系统和数据库覆盖范围有限。配置企业解决方案提供的应用程序白名单和基于策略的细粒度访问控制,以便只有授权的用户和进程才能读取或写入数据。这些政策应该适用于跨平台,以消除不一致和差距。
应用程序白名单如何中和恶意软件
借助成熟的应用程序白名单功能,您可以指定哪些用户和进程有权访问特定的数据资源。结果是勒索软件无法读取或写入受保护的文件,因为进程签名不会通过仅允许授权和已知进程访问数据的控制点。
换句话说,恶意软件将无法恶意加密底层数据,即使它们知道底层数据存在于何处。
理想情况下,敏感数据应该已经加密。这样,即使恶意行为者窃取并泄露了文件,它们也会变得毫无用处,因为犯罪分子无法在有用的时间范围内解密它们(或者根本无法解密,如果加密和密钥保护很强大)。换句话说,不可读的数据的市场价值接近于零。
管理和性能注意事项
白名单和加密确实很强大,但您可能会问管理和性能开销。理想情况下,管理是通过可以跨异构数据库和系统环境的单个管理控制台完成的。这使得训练有素的操作员能够在整个企业内一致地应用策略。
现代数据加密解决方案不应在保护此级别的文件时产生显着的性能开销,并且仅通过为授权用户和进程解密数据来降低处理影响。无需对应用程序或工作流程进行任何更改。如果您当前的工具无法做到这一点,那么可能是时候寻找替代方案了。
详细的政策和治理
实施高粒度的另一个好处是您将发现治理方面的改进。基于角色的访问控制改善了您的职责分离状况,详细的访问日志将使内部和外部审计员感到满意。
现代数据安全解决方案将能够基于多个标准(而不仅仅是用户 ID 和流程)创建策略。例如,策略还可以包括正在访问的特定资源、正在执行的操作类型(读、写、删除等)以及允许的时间窗口。
如何知道哪些内容应列入白名单?
现代数据安全的一个关键部分是了解敏感数据所在的位置以及哪些用户、进程或应用程序应该有权访问它。可重复的数据发现和分类能力是强制性的。一旦您掌握了这些知识,白名单就会变得简单:通过了解您批准的流程和系统来应用白名单,并默认阻止其他所有内容。这可能会造成偶尔的疏忽,但它们应该是例外。此外,您的数据安全和管理团队将大大减轻分类和修复的负担,这使得这些疏忽很容易解决。
一些现代数据安全产品还可以在部署期间启用“学习模式”,可以定期观察访问加密文件的所有进程。然后可以使用观察到的数据作为标准来识别要添加到白名单的可信进程。有了这种控制,任何请求访问的新流程都可以被视为例外,并通过适当的检查和平衡来完成变更控制流程。
不要忽视攻击链中的环节
对于经验丰富的网络犯罪分子来说,时间点入侵检测或识别单个受损凭证可能只是路上的一个障碍,他们不会松懈。最重要的是,组织需要控制、技术和训练有素的人员来解决勒索软件攻击链中的每个环节。专注于保护的持久、适应性强的能力(例如白名单和智能访问控制)可以在其他控制措施失败时提供必要的防御。当与各级加密相结合时,它们可以为您提供深度防御,这在攻击链的末端特别有用。
知道如果网络犯罪分子确实渗透了防御,那么拥有众所周知的皇冠上的宝石的房间将是空的,这让人感到有些满足。
