守护数据安全: 零信任视角下的勒索病毒防范之道

  • 前言

就在近日,鸿海集团旗下半导体设备大厂——京鼎精密科技股份有限公司(以下简称“京鼎”)遭到了黑客的入侵。黑客在京鼎官网公布信息直接威胁京鼎客户与员工,如果京鼎不支付赎金,客户资料将会被公开,员工也将因此失去工作。同时还表示如果京鼎不想支付100万美元的费用,就会公布高达5TB的客户资料。

近几年,勒索软件已经逐渐成为了企业面临的主要安全威胁之一,就在Freebuf前段时间发布的文章2023年度全球勒索赎金排行榜TOP10可以看到,全球每年因遭受勒索带来的损失达到数十亿美元,那么,作为企业,应该采取哪些手段,来避免遭受勒索病毒攻击呢?

  • 什么是勒索病毒

勒索软件又称勒索病毒,是一种特殊的恶意软件,又被归类为“阻断访问式攻击”(denial-of-access attack),与其他病毒最大的不同在于攻击手法以及中毒方式。勒索软件的攻击方式是将受害者的电脑锁起来或者系统性地加密受害者硬盘上的文件,以此来达到勒索的目的。

几乎所有的勒索软件都会要求受害者缴纳赎金以取回对电脑的控制权,或是取回受害者根本无从自行获取的解密密钥以便解密文件。勒索软件一般通过木马病毒的形式传播,将自身掩盖为看似无害的文件,通常假冒普通电子邮件等社会工程学方法欺骗受害者点击链接下载,但也有可能与许多其他蠕虫病毒一样利用软件的漏洞在互联网的电脑间传播。

  • 勒索软件威胁趋势

刚刚过去的2023年,勒索软件活动迎来了堪称“大爆发”式的增长,根据Zscaler发布的《2023 年全球勒索软件报告》,仅截至2023年10月,全球勒索软件攻击数量同比增长37.75%,勒索软件的有效攻击载荷激增了 57.50%。

该报告显示,年收入和遭受勒索软件攻击的可能性之间存在明显的相关性,被勒索软件攻击的组织的百分比随着收入的增加而逐渐增加。去年,收入在1000万至5000万美元的组织中,56%的组织经历了勒索软件攻击,而收入在50亿美元以上的组织中,这一比例上升到了72%。

相反,遇到勒索软件和组织中的员工数量之间几乎没有明确的关系。在1,001~3,000名的员工区间外,勒索软件攻击的比率非常一致:

  1. 100-250  employees  62%
  2. 251-500  employees  62%
  3. 501-1,000  employees  62%
  4. 1,001–3,000  employees  73%
  5. 3,001–5,000  employees  63%

漏洞攻击是勒索软件攻击最常见的手段(36%),其次是受损凭证(29%)。这些发现几乎与安全公司Sophos对152次攻击的回顾分析完全一致,分析显示其中37%的攻击源于被利用的漏洞,30%的攻击开始于受损的凭证,18%来源于恶意电子邮件,13%来源于网络钓鱼,3%是暴力破解,只有1%是下载。

  • 10大勒索软件常见攻击手段

恶意电子邮件附件:

攻击者通过发送看似合法的电子邮件,附件中包含勒索软件。

这些邮件可能会伪装成发票、快递通知、简历、办公文档等,诱导用户打开附件。

恶意网站和广告:

用户访问被感染的网站或点击恶意广告后,可能会触发勒索软件的下载。

这种攻击通常利用浏览器或插件的漏洞来安装恶意软件。

软件漏洞利用:

攻击者利用未打补丁的软件或操作系统中的安全漏洞来安装勒索软件。

这些漏洞可能存在于广泛使用的软件中,如Java、Flash Player、Adobe Reader等。

社会工程:

通过欺骗用户下载或执行文件来传播勒索软件。

社会工程攻击可能包括假冒技术支持、诱使用户点击链接或下载文件等。

远程桌面协议(RDP)攻击:

攻击者通过暴力破解或利用弱密码远程登录受害者的计算机,然后手动安装勒索软件。

僵尸网络和恶意下载器:

勒索软件通过其他恶意软件(如僵尸网络或下载器)传播,这些恶意软件已经在受害者的系统上占有一席之地。

受损的或假冒的软件更新:

用户下载并安装看似合法的软件更新,实际上是勒索软件。

这些更新可能会通过假冒的软件更新程序或通过破解软件的非法渠道传播。

网络钓鱼:

通过发送看似来自可信来源的电子邮件,诱导用户点击链接或打开附件,从而下载勒索软件。

USB驱动器和外部设备:

受感染的USB驱动器或其他外部存储设备可以在插入新系统时自动执行勒索软件。

供应链攻击:

攻击者通过破坏软件供应链中的某个环节来传播勒索软件,例如感染合法软件的分发服务器。

  • 如何防止勒索攻击

零信任视角下的勒索安全防护

在应对以勒索软件为代表的网络威胁时,零信任其实有着很大的优势,和传统安全架构相比,零信任安全摒弃了边界信任模型对于内网“过度信任”的做法,即所有访问敏感信息的请求都应该先经过零信任控制中心,由管控中心对访问进行评估,决定此次访问需要提供什么等级的认证信息,再动态授权访问,从而有效实现对资源的保护。

  1. 零信任安全“隐藏”

软件定义边界(SDP)是一种零信任网络安全模型,通过验证和授权用户身份,生成动态的网络规则来控制访问和通讯。SDP相比传统VPN更安全且隐身,保护不同的网络资源。防止攻击者从网络通信中获取信息,通过将受信任的通讯双方放置于网络的隐身模式下,使得攻击者无法轻易获取通讯数据。SDP可将设备业务服务隐身,从而解决因资产暴露而被攻击的问题。

隐身服务:SDP技术可以隐藏端口、隐藏服务器地址,防止被扫描和注入,减少病毒勒索的机会。

DDoS攻击防御:SDP技术可以抵御DDoS攻击,通过SPA(单包敲门)技术,在链接建立后,后续收到的数据包如果识别为攻击,可以检测错误包,从而防御DDoS攻击。

终端管理:SDP控制器可以控制哪些设备和应用程序可以访问特定的服务,例如应用程序和系统服务,防止病毒通过终端访问进行勒索。

策略管理:通过SDP的策略管理,设备只能访问策略允许的特定主机和服务,不能越权访问网段和子网,防止内部网络被病毒利用进行勒索。

  1. 颗粒度授权认证

利用身份而非网络位置构建访问控制体系,为人和设备赋予数字身份,设定最小权限。细粒度的风险度量和授权针对可信的终端、应用、身份和报文等进行,实现动态访问控制。

最小权限原则是关键,零信任架构强调除单个实体身份外,还包括网络代理等复合主体。根据主体属性、环境属性和客体属性限制权限。在整个安全可信访问过程中,实现对访问主体的动态监测和风险感知,有效防止越权访问等安全威胁。

用户身份管理:IAM技术对用户身份进行管理,包括用户注册、用户注销、密码策略、会话管理等,防止未经授权的用户访问系统,减少病毒勒索的风险。

访问授权:IAM技术对用户访问进行授权,只有经过授权的用户才能访问特定的资源,如文件、数据库等,防止未经授权的用户访问敏感数据,避免病毒利用关键核心数据进行勒索。

访问控制:IAM技术实现细粒度的访问控制策略,可以定义哪些用户可以访问哪些资源,以及访问的方式等,有效防止未经授权的用户或病毒利用漏洞进行勒索。

安全审计:IAM技术可以对用户访问进行审计,及时发现和记录未经授权的访问和异常操作,及时发现和应对病毒勒索攻击。

  1. 精细化持续信任评估

基于零信任安全模型的持续信任评估技术可以增强企业的安全防护能力,有效避免病毒勒索攻击。

用户和设备信任评估:对用户和设备进行信任评估,根据评估结果确定其访问权限。如果用户或设备存在异常行为或被认为不可信,其访问权限将被限制,从而防止病毒利用这些用户或设备进行勒索。

应用安全评估:对应用程序进行安全评估,发现并修复应用程序中的漏洞,减少病毒利用漏洞进行攻击的可能性,避免应用程序被勒索。

数据安全评估:对数据安全进行评估,发现并防止数据泄露和未授权访问,保护敏感数据不被病毒勒索,同时避免内部用户不当泄露数据。

网络信任边界:只允许信任的用户和设备访问受保护的应用程序和数据,防止未经授权的用户和设备访问关键资源,减少病毒利用漏洞进行攻击的风险。

  1. 基于微隔离的指向安全“隔离”

在网络中创建了微小的隔离区域,确保只有授权的用户和设备可以访问特定的网络资源。实时监控网络流量和事件,及时发现并应对潜在的病毒勒索攻击。

网络隔离:对网络进行隔离,将不同的用户、设备和应用隔离开来,防止病毒在不同用户之间传播和利用漏洞进行攻击。使得只有授权的用户和设备可以访问特定的网络资源。

流量控制:对网络流量进行控制,限制网络流量的速度和大小,防止病毒利用流量进行攻击。使得网络流量不会超过系统的承受能力,避免系统被病毒勒索。

应用隔离:对应用程序进行隔离,防止不同应用程序之间的数据泄露和攻击。这种隔离可以通过虚拟化、容器等技术实现,使得每个应用程序都有自己的运行环境和数据存储,避免病毒利用漏洞访问其他应用程序。

  • 防护方案示意

针对关键信息基础设施存在的安全风险研究,德迅云安全将零信任架构与自身丰富的工业安全实践经验相结合,构建“零信任安全体系解决方案”,为行业用户打造一个高度合规,运营便捷,全局可视的安全环境。

防护部署示意图

零信任安全体系解决方案在整个防护流程中防护思路如下:

利用网络隐身技术构建一张隐形网络,只对认证授权的可信任用户可见,同时可以防止攻击者嗅探、扫描内部服务以及受攻击者利用内部服务漏洞的情况。通过使用IAM方式增强用户身份鉴别能力,即使登录密码凭证被盗,攻击者也无法攻破防线。该技术可以降低各种攻击类型的风险,包括勒索病毒、数据盗窃、BEC和服务器访问等。

基于网络流量中DNS信令解析,本平台能够响应和阻断组织内部访问风险网站的行为,从而减少由于下载和安装恶意软件导致感染勒索病毒的可能性。勒索病毒攻击通常需要使用DNS解析其C&C服务器的域名以建立连接,此时平台可以实时识别和阻断攻击行为,从而降低企业遭受网站挂马、网站钓鱼等安全风险的风险。流量解析技术可以通过识别勒索病毒攻击并生成告警来进行处置,平台能够根据告警信息封禁攻击IP地址,还原流量中的勒索病毒样本并联动威胁情报识别阻断勒索病毒的传播,从而检测和拦截各类通过邮件、网站等途径传播的勒索病毒。这些措施可以有效防止恶意勒索程序对企业宿主机中的文件进行加密和连接到敏感应用系统进行攻击,即使员工电脑上被安装了恶意软件也无法扫描和窃取内网上的资源。限制勒索病毒的入侵和传播,降低此类攻击从单一设备蔓延到整个内部网络的可能。

通过实时监测用户终端设备的健康状态,根据安全基线判断终端是否授信准入,保护用户设备的安全,防止攻击者利用用户设备作为内网入侵的入口。本平台还可以实时检测用户的访问和操作行为,对终端及用户行为进行持续验证,并根据检测结果动态调整用户的访问权限,以防止异常行为、越权行为、终端环境等造成的威胁。此外,使用智能模型机制来检测用户和设备的异常活动,并自动化响应其威胁,进行告警和阻断。最终,通过安全风险感知技术进行统计分析,可以对潜在入侵行为进行深入分析、识别、检测、告警及追溯审计,为管理员提供安全运维的决策依据。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/589165.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

pyqt 滑动条控件QSlider

pyqt 滑动条控件QSlider 滑动条控件QSlider效果代码 滑动条控件QSlider QSlider 是 PyQt中的一个控件,它允许用户通过拖动滑块或点击滑块轨道上的任意位置来选择一系列值。 QSlider 有两种主要的类型:Qt.Horizontal(水平滑块)和 …

java版数据结构:深入理解栈和队列:数据结构与应用(vector,stack,queue)

目录 前言 动态数组类(vector) 特点: 应用: 栈(Stack) 栈的基础概念: 栈的常用方法: 模拟栈操作: 队列(Queue) 队列的基础概念 队列的常…

VS Code工具将json数据格式化

诉求:json数据格式化应该在工作中用到的地方特别多,为了更方便、更仔细的对json数据查看,将json数据格式化是非常有必要的。 VS Code中如何将json数据快速格式化 1、在VS Code中安装Beautify JSON插件 2、安装完后在需要格式化的文件中按住…

Easy TCP Analysis上线案例库功能,为用户提供一个TCP抓包分析案例分享学习的平台

​案例库,提供给用户相互分享TCP抓包故障排查案例或是经典学习案例的功能,任何用户都可从案例库查看其它用户分享的案例,每个用户也都可以上传自己的案例,经过平台审核去重即可展示在案例库。 对于学习,最典型的三次握…

Linux进程概念(下)

Linux进程概念 1. 命令行参数2. 环境变量2.1 环境变量的概念2.2 环境变量的使用和一些问题2.3 获取环境变量2.4 深入理解环境变量2.5 环境变量相关的命令 3. 进程地址空间3.1 基本概念3.2 为什么要有地址空间 1. 命令行参数 main函数也可以带参数的,如下 #include…

Linux内核之原子操作:atomic_long_dec用法实例(六十七)

简介: CSDN博客专家,专注Android/Linux系统,分享多mic语音方案、音视频、编解码等技术,与大家一起成长! 优质专栏:Audio工程师进阶系列【原创干货持续更新中……】🚀 优质专栏:多媒…

2023-2024年汽车行业报告/方案合集(精选345份)

汽车行业报告/方案(精选345份) 2023-2024年 来源:2023-2024年汽车行业报告/方案合集(精选345份) 【以下是资料目录】 2023中国汽车科技50强 2023中国智能汽车产业发展与展望 2023比亚迪海豹汽车拆解报告 2023新能…

PotatoPie 4.0 实验教程(31) —— FPGA实现摄像头图像高斯滤波

什么是高斯滤波 高斯滤波是一种常见的图像处理技术,用于去除图像中的噪声和平滑图像。它的原理基于统计学中的高斯分布(也称为正态分布)。 在高斯滤波中,一个二维的高斯核函数被用来对图像中的每个像素进行加权平均。这个高斯核…

【沉淀之华】从0到1实现用户推荐 - 实时特征系统构建,包含特征计算,特征存储,特征查询,特征补偿超详细思路分享

文章目录 背景介绍设计初衷基本概念 技术架构"四高"特征存储特征计算特征查询特征补偿 技术难点Q&A彩蛋 背景介绍 设计初衷 作为用户推荐系统的支撑系统之一:用户实时特征系统有着举足轻重的重要,甚至说它是一起推荐行为触发的必要条件。…

【经典算法】LeetCode 160. 相交链表(Java/C/Python3/Go实现含注释说明,Easy)

目录 题目描述思路及实现方式一:哈希表思路代码实现Java版本C语言版本Python3版本Golang版本 复杂度分析 方式二:双指针思路代码实现Java版本C语言版本Python3版本Golang版本 复杂度分析 总结相似题目 标签(题目类型):链表 题目描述 给你两…

C语言——操作符保姆级教学(含整形提升及算数转换)

操作符 一.操作符的分类二.原码、反码、补码三.移位操作符1.左移操作符&#xff1a;<<2.右移操作符&#xff1a;>> 四.位操作符1.按位与—— &2.按位或—— |3.按位异或—— ^4.按位取反—— ~ 五.逗号表达式六.条件操作符七.操作符的属性&#xff1a;优先级、…

如何配置和使用Apollo的component里的plugin

关于如何使用Apollo的Component里的plugin&#xff0c;在Apollo的文档里只有如果和开发的说明却没有找到一个清楚完整说明怎么把plugin跑起来的说明&#xff0c;例如我想把lidar_detection_filter按我们的需求对目标过滤算法作修改然后编译完后&#xff0c;执行 cyber_launch …

【数据结构】链表专题3

前言 本篇博客我们继续来讨论链表专题&#xff0c;今天的链表算法题是经典中的经典 &#x1f493; 个人主页&#xff1a;小张同学zkf ⏩ 文章专栏&#xff1a;数据结构 若有问题 评论区见&#x1f4dd; &#x1f389;欢迎大家点赞&#x1f44d;收藏⭐文章 目录 1.判断链表是否…

Dom获取属性操作

目录 1. 基本认知 1.1 目的和内容 1.2 什么是DOM 1.3 DOM对象 1.4 DOM树 2. 获取DOM元素对象 2.1 选择匹配到的第一个元素 2.2 选择匹配到的多个元素 2.3 其他获取DOM元素方法 3. 操作元素内容 3.1 元素对象.innerText 属性 3.2 元素对象.innerHTML 属性 4. 操作元…

springcloud微服务搭建多数据源(mysql,oracle,postgres,等等)管理模块,支持通过注解方式切换不同类型的数据库

1.背景 同一套微服务管理系统&#xff0c;业务完全一样&#xff0c;但不同的客户可能要求使用自己熟悉的数据库&#xff0c;比如&#xff0c;mysql&#xff0c;oracle&#xff0c;postgres&#xff0c;还有一些国产数据库。如果能够将数据库模块独立出来&#xff0c;兼容各家的…

IDEA启动项目报错:Error running ‘‘: Command line is too long.

1、在workspace.xml 2、 在标签 <component name"PropertiesComponent"> 添加 <property name"dynamic.classpath" value"true" />

MySQL 运维篇

回顾基本语句&#xff1a; 数据定义语言(DDL) 这类语言用于定义和修改数据库的结构&#xff0c;包括创建、删除和修改数据库、 表、视图和索引等对象。 主要的语句关键字包括 CREATE 、 DROP 、 ALTER 、 RENAME 、 TRUNCATE 等。 create database 数据库 &#xff1b; cr…

【MySQL | 第十一篇】一条SQL语句在MySQL的执行过程

文章目录 11.一条SQL语句在MySQL的执行过程11.1MySQL整体架构11.2SQL语句在Server层执行流程11.3拓展&#xff1a;InnoDB存储引擎的更新操作11.3.1问题&#xff1a;为什么写了redolog日志还要写binlog日志&#xff1f;11.3.2问题&#xff1a;为什么要两阶段提交&#xff1f;11.…

《QT实用小工具·四十七》可交互的创意动态按钮

1、概述 源码放在文章末尾 该项目实现了可交互的创意动态按钮&#xff0c;包含如下功能&#xff1a; 所有颜色自定义 鼠标悬浮渐变 两种点击效果&#xff1a;鼠标点击渐变 / 水波纹动画&#xff08;可多层波纹叠加&#xff09; 额外鼠标移入/移出/按下/弹起的实时/延迟共8种事…

springboot 自动配置源码解读

什么是自动装配 当我们程序依赖第三方功能组件时&#xff0c;不需要手动将这些组件类加载到IOC容器中。例如 当程序需要用到redis时&#xff0c;在pom.xml文件中引入依赖&#xff0c;然后使用依赖注入的方式直接从IOC容器中拿到相应RedisTemplate实例。 SpringBootApplication …