Akamai针对勒索攻击的分析及防护策略

2021年5月8日，美国燃油管道公司Colonial Pipeline官网发布公告，称于7日得知被黑客攻击，同时联系第三方网络安全专家、执法部门和其他联邦机构启动应急响应，确定涉及勒索事件。5月10日，美国联邦调查局（FBI）新闻办公室更新声明，确认DarkSide勒索软件是造成Colonial Pipeline公司网络受损的原因。

近年来，利用勒索软件进行网络攻击的事件屡见不鲜。Colonial Pipeline攻击事件更是为企业机构敲响了警钟。针对勒索软件的防护，Akamai安全技术团队副总裁兼首席技术官Charlie Gero提供了如下分析和见解。

Akamai安全技术团队副总裁兼首席技术官Charlie Gero

企业如何防范勒索软件攻击？

勒索软件防护策略的类型大致可以分为预防/感染前和修复/感染后。我认为目前最引人注目的勒索软件防护技术是在修复/感染后阶段。

这些解决方案一般都是围绕智能备份和恢复。例如领先的EDR公司SentinelOne可以将终端用户机器上的时间倒退到感染前的状态，这对于企业而言是一个巨大的福音。另一种方法是使用带有备份策略的管理型共享存储，这种方法至少能够提供相等的保护，甚至更加重要的保护。这种存储可以位于云端（并具有弹性），也可以在本地管理。

当使用这种存储时，机器上的本地信息就变得不那么重要了。如果机器被感染，只需要简单地将其清除干净、重新映射并重新给予网络共享访问权即可。如果共享被有权限的攻击者破坏，那么云存储系统可以如同具有有效的快照和备份一般，轻松地将数据回滚到之前的状态。听上去很振奋人心，不是吗？这样勒索软件也就成为了一种容易补救的网络威胁。当被感染的系统中有重要的数据时，如果没有像SentinelOne这样的应用，那么企业就只能向犯罪分子支付赎金。

最后，感染所造成的另一个严重后果往往是如果企业不支付赎金，那么企业不仅将失去对数据的访问，而且数据还会遭到公开。对许多企业而言，由于可能使商业秘密和知识产权被盗，因此这一威胁比恢复运行所带来的运营负担更大。针对此类情况，由于上述解决方案并不能阻止信息暴露（它们只能让企业更快启动和运行），因此最重要的无疑是把重点放在首先不被感染上。为此，SASE（安全访问服务边缘）类别的产品具有巨大的优势。

其中的两个最大支柱产品是：

• SWG（安全网络网关）：阻止对危险网站的访问并在下载时进行恶意软件扫描。
• ZTNA（零信任网络访问）：减少资源访问，只有具有特定需求的人才能访问。这能够减少可以被利用的攻击面。

反黑客网络安全软件/固件是唯一的防御手段吗？

鉴于目前的桌面操作系统性质，我们还难以完全阻止这种情况。但随着操作系统获得更多在功能上与移动设备更加等同的保护，这些威胁面自然会逐渐减少，但我们目前还没有到达这一阶段。虽然未来可能会始终存在一些使这些漏洞可以被利用的表面，但可以通过其他途径来切断这些攻击——只需降低它们的经济回报率即可。

备份、管理型存储和先进EDR系统的使用使勒索软件攻击的补救工作变得相当繁琐。企业机构越是能够单纯地通过重新映射终端用户机器并将数据回滚到最近的备份来阻止攻击，犯罪分子就越难以通过造成足够大的破坏从企业这里得到赎金。犯罪分子获得报酬的次数越少，他们使用这种方法的次数就会越少。

在此之前，企业机构可以运用积极的防御措施显著降低勒索软件攻击成功的可能性。目前，企业可以使用的两个主要的安全系统是安全网络网关（SWG）和零信任网络访问（ZTNA）。

SWG能够控制最终用户的内容访问权限，甚至对正在下载的软件进行沙盒化和病毒扫描。在某些情况下，它们还会采用远程浏览器隔离（RBI）将风险最大的网络操作完全转移至云端，从而减少感染几率。ZTNA系统可以限制资源访问者的身份和资源访问内容。通过减少可以访问风险基础设施的人员和机器，就可以避免被攻击者当作立足点的“桥头堡”。

这两项预防技术加在一起将有助于显著减少威胁。通过将它们与之前所述的补救技术相结合，企业就可以拥有一个十分强大和安全的环境。