导语:勒索事件层出不穷,杀伤力势不可挡,本月,两起国际性勒索攻击事件相继发生,引发严重后果,引发各方极大震荡。本文将站在“数据运行环境安全”防护的全新视角,谈谈勒索攻击应对之道。
勒索事件层出不穷,杀伤力势不可挡,本月,两起国际性勒索攻击事件相继发生,引发严重后果,引发各方极大震荡。本文将站在“数据运行环境安全”防护的全新视角,谈谈勒索攻击应对之道。
1、事件回顾事件1:当地时间5月7日,美国最大的成品油管道运营商Colonial Pipeline受到勒索软件攻击,被迫关闭其美国东部沿海各州供油的关键燃油网络。美国宣布进入国家紧急状态,各方表达了对美国关键基础设施脆弱性的担忧。另外,黑客组织偷窃了近100GB的数据,并威胁称如果没收到赎金,就会将这些数据泄漏到互联网上。事件2:据BBC报道,当地时间5月14日,爱尔兰卫生服务执行局(HSE)宣布遭受“重大勒索软件攻击”,随后关闭了其计算机系统。(此次突如其来的攻击,令新冠疫苗的在线注册网站目前无法运行,令爱尔兰新冠检测结果报告延迟,令密切接触者的追踪也需要更多时间。疫情防控关键时期,黑客瞄准“关键的”医疗基础设施机构,给了爱尔兰最“致命”的一次攻击。)HSE负责人直言这是一次“严重和复杂的”试图破坏HSE的IT系统的勒索行为。在Red Balloon Security公司CEO Ang Cui看来,这类关键基础设施攻击活动中,问题的关键在于运营方没能事先隔离或保护这些系统,供应商在设计之初没有考虑到如何保证设备安全,给后续补救造成巨大障碍。
2、威胁现状尽管网络安全建设逐步成为组织机构战略设计的重要部分,企业的安全意识也在不断提升,但因勒索软件造成的数据泄露事件仍逐年加剧,不仅阻碍了企业的正常运营生产,还会带来巨额财产损失或引发严重信任危机。
据统计,2020年勒索软件攻击事件已突破历史最高点,几款流行的勒索家族已经攻陷了全球数百家知名的大型企业,越来越多的黑客组织使用勒索软件对企业发起攻击。安全机构研究表示:勒索软件在2020年最疯狂,攻击规模和频率以惊人的速度增长,并且目前大部分流行的勒索病毒是无法解密的。据Group-IB研究人员的报告,仅在过去一年,全球勒索软件攻击次数就增长150%以上。
3、事件分析从上面两起事件看,可以明显发现组织的关键信息基础设施安全建设,力有不逮。
勒索攻击的目的非常明确——获取或破坏数据,黑客攻击瞄准了组织的核心资产——数据,数据已然成为其“生财之道”。数据保护的重要性可见一斑。防止数据泄漏最直截了当的应对方法是做好数据加密等防护工作,但如果仅局限于数据加密,就会落入单点安全的窠臼,无法从根本上解决问题。
因此,要从数据保护的传统思维中跳出来,找到关键基础设施保护的重中之重,即再往前多想一步——守护好关键基础设施的保护的最后防线:主机安全。组织要建立全面的网络安全防护体系,需要从物理、网络、主机、应用、数据等各层面保障关键信息基础设施的安全。对于关键基础设施保护,安全是核心战场,主机则是最后防线。作为IT系统最后一道防线,主机系统一旦失守,宛如城门失火,势必殃及池鱼(数据)。主机作为数据运行的环境,主机安全还有另外一个名字:数据运行环境安全。
4、应对思路:打造可信数据运行环境一旦明确了勒索病毒的目标在数据,而主机作为数据安全的最基础的第一道防线,应该被企业视为对抗勒索病毒时的核心防护目标。这就要求组织绷紧安全这根弦儿,加强技术性管理策略及防范手段。
放眼安全市场,当前主流数据安全解决方案、数据安全治理方案,往往执着于对数据本身做安全防护,未考虑数据运行环境的安全保护,而导致事故频发。对组织而言,构建一套完善的数据安全保障体系,需要从分步落地,数据运行环境的安全(主机安全)作为数据安全的基础,是其中重要的基础要素和先决条件。具体到构建数据运行环境保障体系,其技术思路为,针对数据的载体——大数据系统、数据库系统、文件系统、存储系统等的操作系统层进行可信技术安全保障,技术落地步骤依次为:1)建立数据运行环境安全管理中心,为复杂系统运行环境提供保障2)打造可信的基础运行环境,形成系统防护壁垒3)完善身份认证与权限管控机制,实现数据安全三大特性保护4)实现运行环境的可信防御,赋予系统主动防御能力
5、应对方案:构建数据安全防护“新基建”今天,我们重点谈怎么通过做好数据运行环境安全防护工作,有效规避勒索攻击事件。首先,先了解数据运行环境安全为什么重要?
数据运行环境安全是所有保障数据可用性、完整性、保密性的系统环境安全因素的总和,如数据运行环境的可信保障、数据运行环境的风险检测与分析,数据运行环境的可信防御、数据的访问与操作权限管控、数据资产的防病毒、防黑客攻击等。数据运行的地基不稳,上层数据安全技术就沦为镜花水月,不堪一击。这就好比人的免疫系统被破坏而感染病毒,即使身体穿再厚的防弹衣、拿再多的武器,也于事无补,如果不转变思路来应对从内而来的威胁,那就只能等待死亡的降临。
专家建议,面对勒索攻击威胁,除对核心数据进行加密处理,应将主机视为主要阵地,采用可信计算的技术思路进行围追堵截,一劳永逸解决勒索病毒带来的安全威胁。具体应对思路可分五步走:
1)围——建立可信的基础运行环境建立可信的数据运行环境,将勒索病毒围在包围圈。利用可信计算理念和技术,能够确保登录系统的用户是可信的、系统运行的程序是可信的,通过学习建立可信基线,防止勒索病毒攻击、非法用户、进程及已知或未知攻击行为。专家建议,引入专业的数据运行环境增强系统,利用可信计算、机器学习、行为分析等技术,对系统运行环境的整体安全状态进行全面监控,洞察影响主机安全的多方面因素,及时发现安全隐患并予以处置,为主机提供可信的基础运行环境。系统基于可信度量技术形成系统免疫能力,实现:1)在内核层对可执行程序以及用户行为进行精准控制,确保合法的用户、合法的进程,合法的访问文件;2)主动免疫系统防御机制提供执行程序实时可信度量,阻止非授权及不符合预期的执行程序运行,实现对已知/未知恶意代码的主动防御;3)支持安全事件分析还原,在满足网络安全相关标准的同时,全面提升主机安全主动防御能力,全面洞察、精准管控和敏锐反馈。
2)追——加强对数据运行环境中核心文件、进程的保护系统开启程序可信执行控制、文件强制保护控制功能,提供对文件属性(权属、时间、权限三类)的保护,追溯对勒索病毒从落地-启动-阻止全过程,让我们不但及时发现勒索事件,并真正防御勒索事件,真正防止关键文件、数据库、系统文件被勒索病毒加密,如此一来,即使勒索病毒入侵落盘,也无法启动、破坏或加密受保护文件,真正实现抗勒索威胁。
3)堵——加强身份认证与权限管控机制系统开启身份认证、访问控制、进程保护、完整性保护等功能,堵塞勒索病毒进入渠道,根据业务访问需求授权进程对数据文件的访问权限,确保受保护的文件不被其他进程违规访问;系统同时支持设置进程对授权文件以外的文件访问权限,强制限制进程只拥有合理的业务访问权限。即便用户由于误操作或被欺骗,运行了勒索病毒,为此病毒赋予了可执行权限,系统也可以通过为数据文件指定合法的访问进程,阻止病毒破坏关键数据,真正实现勒索病毒“进不来、拿不走、改不了”。
4)截——加强应用程序的合法性管控系统开启应用程序的“黑白灰名单”机制,拦截勒索病毒的自动化运行。防止非法或恶意进程的启动和运行。管理员可以自定义应用程序白名单和黑名单,在应用程序启动运行过程中通过完整性度量,确定应用程序(包括其调用的其他PE/ELF程序)是否为授权启动。系统还可以根据用户配置选择是否进行严格管控,如阻断所有非白名单中的应用程序启动运行;在非严格管控模式下,允许灰名单中的应用程序启动运行。无论哪种模式,均可以进行启动运行记录审计。
目前,国内数据安全领域的厂商无论是在产品研发层面,还是在技术应用层面,亦或是治理咨询服务层面,鲜有对数据运行环境安全提出成熟想法和辅助落地的。原因主要两方面:第一,过于聚焦在细分产品领域的深耕,没有在数据驱动安全的理念上做更开阔的横向拉通。第二,数据运行环境安全的落地,需要对操作系统研究和架构、可信计算技术等有深刻理解,有着很难逾越的技术壁垒。
云集至作为一家专业的数据安全产品与服务提供商,在国内率先提出“数据运行环境安全”这一概念,并且将这一理念推向市场,解决了客户数据运行环境下的安全、稳定需求,赢得了认可。目前公司面向政府、金融、企业等行业客户,提供可信技术架构下的全资产安全治理与防护,目前公司业务重点放在了持续实现可信计算技术、大数据安全技术、非结构化数据安全技术的经验积累与技术创新突破上。
6、结语:从我国现行网络安全法律视角来看,网络安全法明确要求,采取防范计算机病毒和网络攻击、入侵等危害网络安全行为的技术措施,防止网络数据泄漏或者被窃取、篡改。等保2.0也将安全计算环境、安全管理中心为安全通用要求,必须予以保障。一旦明确了勒索病毒的目标在数据,而数据运行环境作为数据安全的最基础的第一道防线,应该被企业视为对抗勒索病毒时的核心防护目标。这就要求企业绷紧关键信息基础设施安全这根弦儿,加强技术性管理策略及防范手段,引入具有领先技术和成熟防护功能的主机安全类产品,对症下药,构建可信的数据安全运行环境,有效解决勒索软件带来的安全隐患,提升组织安全建设水平。
如若转载,请注明原文地址