應用程序白名單如何對抗勒索軟件攻擊
勒索軟件攻擊的數量和復雜程度都在上升。三重勒索(對一家企業的勒索軟件攻擊導致其業務合作伙伴受到勒索威脅)正在提高攻擊成本。勒索軟件即服務將攻擊手段掌握在較小的犯罪實體手中,使該策略成為一種商品,而不僅僅是策劃者的工具。毫不奇怪,勒索軟件攻擊的恢復成本比其他類型的數據泄露要高得多。
將攻擊者完全排除在您的系統之外是理想的選擇,但網絡犯罪分子是頑固且富有創造力的。那么如何才能阻止勒索軟件攻擊得逞呢?
各級數據加密是一項強有力的措施,對于深度和重量實施至關重要。但它應該只是一個更大整體的一部分。應該考慮使用額外的控制來增強加密,以識別應用程序和進程級別的攻擊者。此技術稱為應用程序(或進程)白名單。
讓我們討論一下為什么它是必要的、它是如何工作的以及如何使用它。
簡而言之,常見惡意軟件和勒索軟件策略
常見的網絡攻擊涉及在端點上安裝虛擬應用程序,這些應用程序看起來像常見的實用程序(例如 Word、Adobe Photoshop 或 Slack),但會秘密加密和/或泄露數據。網絡釣魚策略是這些應用程序和特洛伊木馬進入系統的最常見方式。在沒有意識到的情況下,員工可能會點擊看似無害的鏈接,從而在其設備上安裝惡意軟件。
當這些惡意軟件應用程序之一出現在桌面或目錄中時,它可以避免懷疑,因為用戶假設該應用程序一直存在。然而,有權訪問端點的惡意行為者可以部署惡意軟件,找到有價值的數據并將其劫為人質。當合法用戶嘗試訪問受損數據時,會出現一條消息,要求勒索贖金,并威脅稱,如果他們不付款,就會在網上公開敏感數據。
如果您不幸看到這樣的消息,則意味著您的數據已被泄露。你的公司應該準備走一條漫長而昂貴的道路,評估損失、權衡選擇、管理危機,并可能尋找資金支付贖金。這些行為的負面影響在贖金和咨詢費用中顯而易見。即使您支付了贖金,網絡勒索者的解密程序也可能非常緩慢,并延長您的業務離線時間,您的任務被擱置,您的市場聲譽受損。在最好的情況下,您擁有強大的數據備份和恢復能力,但災難恢復既不是即時的,也不是 100% 成功的。
為什么加密可能還不夠
每個級別的加密都至關重要。但如果本機加密很弱,犯罪分子可以使用自己的工具或在暗網上租用的工具(在新興且方便的勒索軟件即服務市場中)對其進行解密。他們可以泄露數據,除了停止您自己的業務運營之外,他們還可以威脅公開敏感數據,并對其安全返回收取更多費用。因此,即使您可以自行恢復業務運營,您仍然面臨遭受勒索的風險,以防止您的數據被公開曝光或阻止其被出售給最高出價者。
本機或內聯實用程序怎么樣?
內聯管理工具(例如特定數據庫本機的工具)提供訪問控制。但是,它們通常不包括白名單,并且系統和數據庫覆蓋范圍有限。配置企業解決方案提供的應用程序白名單和基于策略的細粒度訪問控制,以便只有授權的用戶和進程才能讀取或寫入數據。這些政策應該適用于跨平臺,以消除不一致和差距。
應用程序白名單如何中和惡意軟件
借助成熟的應用程序白名單功能,您可以指定哪些用戶和進程有權訪問特定的數據資源。結果是勒索軟件無法讀取或寫入受保護的文件,因為進程簽名不會通過僅允許授權和已知進程訪問數據的控制點。
換句話說,惡意軟件將無法惡意加密底層數據,即使它們知道底層數據存在于何處。
理想情況下,敏感數據應該已經加密。這樣,即使惡意行為者竊取并泄露了文件,它們也會變得毫無用處,因為犯罪分子無法在有用的時間范圍內解密它們(或者根本無法解密,如果加密和密鑰保護很強大)。換句話說,不可讀的數據的市場價值接近于零。
管理和性能注意事項
白名單和加密確實很強大,但您可能會問管理和性能開銷。理想情況下,管理是通過可以跨異構數據庫和系統環境的單個管理控制臺完成的。這使得訓練有素的操作員能夠在整個企業內一致地應用策略。
現代數據加密解決方案不應在保護此級別的文件時產生顯著的性能開銷,并且僅通過為授權用戶和進程解密數據來降低處理影響。無需對應用程序或工作流程進行任何更改。如果您當前的工具無法做到這一點,那么可能是時候尋找替代方案了。
詳細的政策和治理
實施高粒度的另一個好處是您將發現治理方面的改進。基于角色的訪問控制改善了您的職責分離狀況,詳細的訪問日志將使內部和外部審計員感到滿意。
現代數據安全解決方案將能夠基于多個標準(而不僅僅是用戶 ID 和流程)創建策略。例如,策略還可以包括正在訪問的特定資源、正在執行的操作類型(讀、寫、刪除等)以及允許的時間窗口。
如何知道哪些內容應列入白名單?
現代數據安全的一個關鍵部分是了解敏感數據所在的位置以及哪些用戶、進程或應用程序應該有權訪問它。可重復的數據發現和分類能力是強制性的。一旦您掌握了這些知識,白名單就會變得簡單:通過了解您批準的流程和系統來應用白名單,并默認阻止其他所有內容。這可能會造成偶爾的疏忽,但它們應該是例外。此外,您的數據安全和管理團隊將大大減輕分類和修復的負擔,這使得這些疏忽很容易解決。
一些現代數據安全產品還可以在部署期間啟用“學習模式”,可以定期觀察訪問加密文件的所有進程。然后可以使用觀察到的數據作為標準來識別要添加到白名單的可信進程。有了這種控制,任何請求訪問的新流程都可以被視為例外,并通過適當的檢查和平衡來完成變更控制流程。
不要忽視攻擊鏈中的環節
對于經驗豐富的網絡犯罪分子來說,時間點入侵檢測或識別單個受損憑證可能只是路上的一個障礙,他們不會松懈。最重要的是,組織需要控制、技術和訓練有素的人員來解決勒索軟件攻擊鏈中的每個環節。專注于保護的持久、適應性強的能力(例如白名單和智能訪問控制)可以在其他控制措施失敗時提供必要的防御。當與各級加密相結合時,它們可以為您提供深度防御,這在攻擊鏈的末端特別有用。
知道如果網絡犯罪分子確實滲透了防御,那么擁有眾所周知的皇冠上的寶石的房間將是空的,這讓人感到有些滿足。
