勒索软件一次次破防，我们拿什么“守城”？

近年来勒索软件攻击甚嚣尘上，大有愈演愈烈之势。

国家互联网应急中心（CNCERT）发布的《2020年我国互联网网络安全态势综述》显示，2020年勒索软件持续活跃，全年捕获勒索软件78.1万余个，较2019年同比增长6.8%。

勒索软件攻击猖獗

多数人倾向不支付赎金

来自CybersecurityVentures的相关调查数据显示，2021年勒索软件造成的损失预计将超过200亿美元，而到2031年将上升至2650亿美元。

此前美国燃油管道公司Colonial Pipeline遭受勒索攻击事件受到全世界关注，该事件的意义不仅仅在于勒索软件的猖獗，更揭示出勒索软件带来的危害远远超出了普通的网络安全事件。

有消息称，最终Colonial Pipeline公司向黑客支付了440万美元的赎金。该行为带来的负面影响也是显而易见的，至少它向其他攻击者表明了——勒索软件是有效的。

这一点非常糟糕。

企业在面对勒索软件攻击时是否应支付赎金，这取决于各个用户的具体情况。但许多网络安全专家都呼吁不要支付赎金。

微软检测和响应小组（DART）的高级网络安全顾问奥拉·彼得斯表示，微软方面不鼓励受害者满足各种形式的勒索要求。 美国联邦调查局也呼吁不要支付赎金，以免助长攻击行为。埃森哲在一份报告中也保持了类似的态度。

Menlo Security在针对勒索软件的一项调查中发现，在遭受勒索软件攻击时，79%的受访者认为不应支付赎金。

Sophos的调查显示，只有8%的组织在支付赎金后设法取回了所有数据，29%的组织取回了不超过一半的数据。

勒索软件也有了“新业态”

防范仍是最佳之选

Menlo Security公司网络安全战略高级总监 Mark Guntrip 表示，“勒索软件在短时间内不会消失，随着勒索软件即服务的兴起，勒索软件攻击的门槛也在降低，网络犯罪分子越来越容易发起有利可图的攻击。”

勒索软件即服务（RaaS）作为一种商业模式，通过“合作伙伴”的形式对受害者进行勒索攻击，得手后与勒索软件的开发者共同分享赃款。这使得勒索软件的危害大大加深。

勒索形式在不断进化，“双重勒索”也开始兴起：攻击者会首先窃取大量的敏感商业信息，然后对受害者的数据进行加密，并威胁受害者如果不支付赎金就会公开这些数据。

面对勒索软件攻击，防范是最佳选项。及时备份数据始终是绝对必要的，特别是企业的关键资产，这甚至关乎到企业的生死存亡。

针对勒索软件的防范，国家互联网应急中心（CNCERT）在发布的《勒索软件防范指南》中提出“九要、四不要”：

要做好资产梳理与分级分类管理，要备份重要数据和系统，要设置复杂密码并保密，要定期安全风险评估，要常杀毒、关端口，要做好身份验证和权限管理，要严格访问控制策略，要提高人员安全意识，要制定应急响应预案；

不要点击来源不明邮件，不要打开来源不可靠网站，不要安装来源不明软件，不要插拔来历不明的存储介质。

勒索软件的“天敌”

零信任

有数据表明，勒索软件从感染到窃取或加密企业数据以勒索赎金的时间平均不到两个小时。因此，及时检测并发现勒索软件攻击是至关重要的，在发现后以最快速度阻止勒索软件的传播，可以有效减小数据损失程度。

从勒索软件攻击方式上来看，Claudian一项相关调查数据显示，网络钓鱼仍然是勒索软件最直接的攻击途径之一，24%的勒索软件攻击都是从这种方式开始的。此外，公有云也是勒索软件最常见的切入点。

但不要过于依赖响应式的安全技术，很多企业都部署了针对网络钓鱼或云安全方面的安全工具，但在防止勒索病毒上无济于事。安全专家建议，企业应采用一种积极的安全方式来限制访问，例如零信任安全。

零信任模型是阻止勒索软件的一种有价值的防御机制。分布式零信任安全架构的优势显而易见：

• 不依赖绝对信任区域、静态帐户和防火墙规则；
• 每个身份（用户、设备、应用、数据）可以形成自己的边界防御；
• 根据身份、角色和策略控制访问权限；
• 所有交互都启用了“最少时间”和最小访问权限；
• 使用TLS会话代理，避免不安全协议及其漏洞；
• 不同于V**，远程用户设备上的恶意威胁在零信任安全架构下无法渗透进入目标网络；
• 控制用户对设备、设备对设备、应用对设备和应用对数据的交互，并保护OT、IT和云中的文件和数据传输；
• 南北和东西向访问管理；
• 由中央策略管理驱动并使用分布式节点（任何资产、任何位置）强制执行；
• 覆盖现有的OT/IT架构，无需更改网络或系统（与现有部署的基础架构兼容）。

安全厂商Illumio以优秀的自适应安全平台著称，其产品Illumio Core 通过引入SaaS零信任分段平台，可实现在云、容器、混合和本地环境中执行10多万个工作负载。

Illumio Core的创新之处在于：快速部署自动化安全策略，实现智能可见性，在攻击一开始就可立即启动大规模零信任分段，以保护工作负载。Illumio Core通过快速部署零信任策略，在帮助用户防御勒索软件攻击方面独树一帜。

但像零信任这种主动安全的策略，当前也不是完美无缺。

启明星辰认为，当前零信任在实际落地过程中存在着技术层面、管理层面、投入与落地周期等困境：分散的身份数据异构体难以形成统一管理，权限管理难度大，动态授权落地难，多种安全产品和体系融合难度大，传统管理制度不匹配，落地周期长，成本消耗高等。

完整的零信任是一个理想的愿景。作为众多安全威胁的其中之一，勒索软件防范难度大，通过零信任来彻底解决此类威胁依然需要漫长的过程。 因此，用户在落地零信任安全时，也要切忌一步登天，而应当步步推进、逐步完善。