勒索軟件防御的盲區(qū):端點(diǎn)麻木
2021年勒索軟件已經(jīng)成為全球企業(yè)的頭號(hào)威脅,總結(jié)2020年勒索軟件攻擊事件的經(jīng)驗(yàn)教訓(xùn)、漏洞和弱點(diǎn),構(gòu)建有效的勒索軟件防御體系,已經(jīng)成為企業(yè)安全主管們的重要議題。
近日,網(wǎng)絡(luò)安全公司Illumio發(fā)布了遠(yuǎn)程端點(diǎn)可見(jiàn)性和安全性實(shí)踐的調(diào)查報(bào)告,揭示了企業(yè)容易受到勒索軟件攻擊的原因,以及勒索軟件攻擊給企業(yè)帶來(lái)的影響。
報(bào)告認(rèn)為,疫情下全球遠(yuǎn)程辦公人數(shù)激增,使得企業(yè)端點(diǎn)正在變得“麻木”,成為勒索軟件的最佳突破口。大多數(shù)企業(yè)和組織都嚴(yán)重缺乏對(duì)遠(yuǎn)程端點(diǎn)的可見(jiàn)性,很少有企業(yè)能夠阻止勒索軟件在最初的漏洞被利用后在整個(gè)企業(yè)網(wǎng)絡(luò)中傳播。當(dāng)員工將筆記本電腦帶回辦公室并連接到園區(qū)網(wǎng)絡(luò)時(shí),易受攻擊且可能受到感染的端點(diǎn)會(huì)造成更大的損害。
虛擬專用網(wǎng)的盲區(qū):家庭網(wǎng)絡(luò)
Illumio的報(bào)告調(diào)查了344家大中型企業(yè)的IT專業(yè)人員,發(fā)現(xiàn)59%的受訪者無(wú)法看到嘗試通過(guò)本地家庭網(wǎng)絡(luò)上的其他設(shè)備連接到員工工作筆記本的設(shè)備。
調(diào)查還顯示,有45%的受訪者表示可見(jiàn)性僅限于虛擬專用網(wǎng),而26%的受訪者依靠其端點(diǎn)檢測(cè)和響應(yīng)(EDR)工具查看員工本地家庭網(wǎng)絡(luò)上的流量和連接。
盡管安全團(tuán)隊(duì)希望部署軟件定義的邊界(SDP)來(lái)取代虛擬專用網(wǎng),但調(diào)查顯示,虛擬專用網(wǎng)在網(wǎng)絡(luò)安全方面仍然發(fā)揮著舉足輕重的作用,90%的受訪者要求員工至少在某些時(shí)候使用虛擬專用網(wǎng)。
由于虛擬專用網(wǎng)無(wú)法看到家庭網(wǎng)絡(luò)的流量,因此企業(yè)IT團(tuán)隊(duì)容易產(chǎn)生錯(cuò)覺(jué),認(rèn)為從虛擬專用網(wǎng)中獲得的可見(jiàn)性就足夠了。實(shí)際上,這使他們對(duì)辦公設(shè)備所處的真實(shí)環(huán)境視而不見(jiàn)。報(bào)告指出,家庭網(wǎng)絡(luò)上的設(shè)備很容易受到不知情的對(duì)等或橫向攻擊。這些脆弱的端點(diǎn)可能使整個(gè)組織面臨系統(tǒng)性風(fēng)險(xiǎn),即使員工通過(guò)虛擬專用網(wǎng)連接工作時(shí)也是如此。而一旦員工開(kāi)始返回辦公室,將可能被入侵的設(shè)備連接到公司網(wǎng)絡(luò)會(huì)構(gòu)成更大的威脅。
零信任是勒索軟件防御的關(guān)鍵
在勒索軟件防御中,端點(diǎn)+零信任才是最有效的縱深防御策略。
勒索軟件的“雪天”(即組織由于攻擊而癱瘓的時(shí)間)可以對(duì)企業(yè)造成極大的損害。81%的用戶至少需要兩到三天時(shí)間才能完全恢復(fù),而此時(shí)的工作負(fù)載不到日常的四分之一。這意味著至少要損失整個(gè)工作日的生產(chǎn)力。
盡管所有企業(yè)都在關(guān)注勒索軟件,但數(shù)據(jù)表明他們沒(méi)有足夠的能力來(lái)防范或遏制勒索軟件。74%的受訪者指出,他們僅依靠端點(diǎn)檢測(cè)和響應(yīng)工具來(lái)遏制勒索軟件的傳播,期望它們能夠阻止每次初始攻擊,檢測(cè)其惡意行為并在檢測(cè)到病毒后隔離感染的端點(diǎn)。這種單一防線使企業(yè)容易受到新威脅或經(jīng)過(guò)修改的威脅的攻擊,這些新威脅在數(shù)小時(shí)或數(shù)天內(nèi)未被發(fā)現(xiàn),然后橫向轉(zhuǎn)移到其他端點(diǎn)和數(shù)據(jù)中心。
該調(diào)查還詢問(wèn)了受訪者,他們?nèi)绾斡?jì)劃在發(fā)生安全事件時(shí)阻止勒索軟件在筆記本電腦之間移動(dòng)。盡管零信任技術(shù)繼續(xù)受到關(guān)注,但大多數(shù)組織尚未部署零信任控件來(lái)主動(dòng)遏制勒索軟件的橫向移動(dòng)或傳播。取而代之的是,大多數(shù)企業(yè)僅依靠傳統(tǒng)的端點(diǎn)安全性(下一代防病毒、端點(diǎn)檢測(cè)和響應(yīng)等)來(lái)阻止勒索軟件的初始訪問(wèn)。
“EDR和EPP解決方案是大多數(shù)網(wǎng)絡(luò)安全戰(zhàn)略的重要組成部分,但勒索軟件在2020年取得的巨大成功表明,單靠這些還不夠。”Illumio首席技術(shù)官PJ Kirner說(shuō)道。“安全團(tuán)隊(duì)需要更加縱深的防御,尤其是在端點(diǎn)上,他們需要從端點(diǎn)到數(shù)據(jù)中心和云的端到端策略,這是阻止勒索軟件在整個(gè)網(wǎng)絡(luò)中傳播并不能染指高價(jià)值數(shù)據(jù)的唯一方法。特別是當(dāng)我們大規(guī)模瀏覽混合工作模型時(shí),組織將零信任策略納入其網(wǎng)絡(luò)安全方法至關(guān)重要。”
2021年防火墻支出將減少,網(wǎng)絡(luò)安全形勢(shì)更加嚴(yán)峻
令問(wèn)題雪上加霜的是,受疫情和遠(yuǎn)程辦公影響,2021年企業(yè)可能會(huì)減少或推遲對(duì)園區(qū)網(wǎng)絡(luò)安全技術(shù)的投資。
調(diào)查顯示,IT團(tuán)隊(duì)在2021年將網(wǎng)絡(luò)安全支出列為優(yōu)先事項(xiàng),但會(huì)減少防火墻(30%)、Wi-Fi技術(shù)(26%)和網(wǎng)絡(luò)訪問(wèn)控制(25%)的支出。這意味著企業(yè)可能會(huì)嘗試充分利用現(xiàn)有的資源,因此,隨著勞動(dòng)力的回流并開(kāi)始在遠(yuǎn)程和辦公網(wǎng)絡(luò)之間輪換,到2021年,企業(yè)將更容易受到不斷演變發(fā)展的安全威脅的攻擊。
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過(guò)安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
