數據安全防護要素:做好五步,減少勒索軟件攻擊?
原創數字時代,企業在充分利用各種數字技術帶來紅利的同時,數據安全成為擺在他們面前的巨大挑戰,尤其是勒索軟件攻擊,給各個規模的企業帶來了巨大的損失。
SecureWorks最新發布的《2023年威脅狀況報告》顯示,在2023年3月至6月的4個月時間里,勒索軟件泄露網站上公布的受害者人數達到了前所未有的水平。Zscaler 安全威脅實驗室發布的最新版《2023年全球勒索軟件報告》中顯示,截至2023年10月,全球勒索軟件攻擊數量同比增長37.75%,這表明全球企業組織面臨更嚴峻的勒索軟件威脅。
數據安全成為影響企業發展的絆腳石
數據的安全問題一直是影響各大企業業務發展的主要絆腳石,尤其是近年來受到以LockBit、ALPHV、CLOP等勒索軟件為代表的勒索軟件攻擊,企業面臨的安全形勢更加嚴峻。
Zscaler 安全威脅實驗室研究人員通過Zscaler覆蓋全球的沙箱中觀察到,勒索軟件的有效攻擊載荷激增了57.50%,而多數企業還沒有為應對這種不斷變化的威脅做好準備。Veeam在今年發布的《2023年勒索軟件趨勢報告》數據顯示,85%的公司遭遇過至少一次勒索軟件的攻擊,大約有17%的企業在過去的12個月經歷了4至5次,甚至6次以上的攻擊。
除此之外,Akamai最近發布的一份報告同樣顯示,與 2021 年第四季度相比,2022 年第四季度醫療保健業受害者數是的增幅39%,制造業受害者數是的增幅42%。其中,65%的勒索軟件受害者處于低營收范圍,亞太地區及日本的勒索軟件受害者數量增幅達到了204%,歐洲中東和非洲地區的勒索軟件受害者數量增幅達到了77%。
Veeam亞太及日本地區高級技術專家Anthony Spiteri表示,在過去12月,勒索軟件攻擊的發生率非常高,攻擊的復雜程度也相當高,這充分說明勒索軟件攻擊給數據安全帶來了巨大的安全隱患。
Akamai北亞區技術總監劉燁同樣表示,勒索事件已經成為各種規模企業面臨的最大挑戰。頻率也會非常高,如果企業被勒索過一次,無論是否交了贖金,在三個月之內再次被勒索的概率是沒有被勒索過企業的6倍。也就是說,企業只要被勒索過一次、再次被勒索的概率會非常大。
不難發現,勒索軟件攻擊已經成為擺在各大企業面前的主要安全挑戰。
勒索軟件的攻擊形式正在發生明顯變化
雖然很多企業針對勒索軟件的攻擊制定了一系列的防護措施,但是勒索軟件的攻擊形式也在發生著巨大的變化。
安全服務商Heimdal Security的安全研究人員分析了近一年來的勒索攻擊典型案例后發現,各大勒索攻擊團伙一直在不斷改進攻擊手法和模式,使得新一代勒索軟件攻擊變得更加復雜和更有針對性。他們認為,攻擊模式APT化、攻擊流程自動化、勒索軟件智能化、多重勒索常態化等使得企業更加難以保護數據和應用。除此之外,勒索軟件還在不斷地改變攻擊對象,例如他們還會攻擊云上的數據和應用,以及企業并不常見的應用。
Zscaler發布的《2023年全球勒索軟件報告》同樣顯示,攻擊者正在不斷調整和完善他們的攻擊策略,利用泄露的源代碼、智能化的攻擊方案和新興的編程語言來最大化他們的非法收益。
報告顯示,2023年勒索軟件攻擊的主要特點包括:無加密勒索攻擊的數量從2023年初開始快速增加;攻擊者大量使用泄露的勒索軟件源代碼(如Babuk和Conti)以及泄露的構建程序(如LockBit)來發動攻擊;勒索軟件攻擊者正在從C/ C++等語言轉向新型的Golang和Rust語言,以優化加密速度和跨平臺兼容性;勒索軟件攻擊者開始使用更高級的多態混淆來阻礙分析和逃避靜態反病毒簽名;勒索軟件開發者已經從基于RSA的加密轉向基于橢圓曲線的算法,包括Curve25519、NIST B-233和NIST P-521。
除此之外,勒索軟件攻擊的對象也在發生著改變。Akamai最發布的勒索軟件攻擊報告數據顯示, 65%的被勒索企業是 “5千萬美元之下營收”的公司。
之所以出現這樣的結果,主要是跟這些公司的安全能力和安全防護意識有著緊密的關系。為什么會是這樣呢?劉燁表示,大型公司對于安全的重視程度相對更高,企業中大都設置了專職的安全人員,并且會定期進行“滲透測試、紅藍對抗”。這樣的企業對于勒索者并不是很好的目標攻擊對象,雖然它們營收多、會更有錢,但是攻擊難度將會更高。
牢記五大要素,減少勒索軟件攻擊面
面對勒索軟件的攻擊,企業應該如何確保數據安全呢。筆者認為,應該重點關注以下五個方面:
一要建立健全內部防護機制,并強化員工教育。之所以將建立機制和加強教育放在首位,是因大部分攻擊并非技術問題,而是企業預防攻擊的態度。實際上,很多勒索軟件是通過攻擊企業內部員工郵件等實現的。因此,要做好員工的教育工作,要把風險管理政策落實到每一個員工,防止在IT設備比較脆弱的環境下受到社會性攻擊。企業要在公司內部建立數據保護的流程,打造端到端的風險管理的方案,包括最小權限、安全流程等,確保在受到攻擊之后能夠快速做出有效應對。
二要及時做好數據的備份。并確保備份數據的完整性與備份數據的及時恢復。雖然越來越多的企業開始重視備份工作,但時至今日仍然有很多的企業并沒有做好端到端的備份。要做好備份,就需要采取一系列的措施,最重要的就是采用一些工具,確保在受到勒索軟件攻擊之后,能夠快速并且完整的恢復數據。
三要確保備份數據的安全。企業要盡量拷貝多份備份數據、要做到數據離線副本、防篡改、異地存放等等。與此同時,要設置合理的數據保留策略,足以應對潛伏較長時間的勒索軟件的攻擊。
四是要及時更新系統和軟件。企業一定要保證采用最新的系統軟件,要確保新的安全補丁一旦發布,應盡快更新系統和應用,以確保盡量減少漏洞,防止新型勒索軟件的攻擊。
五是打造零信任的架構。要打造零信任架構,以此來保護內部應用程序,實現用戶與應用程序之間的細粒度分段。同時,使用動態最小權限訪問控制代理訪問,以消除橫向移動。
