守护数据安全: 零信任视角下的勒索病毒防范之道

• 前言

就在近日，鸿海集团旗下半导体设备大厂——京鼎精密科技股份有限公司（以下简称“京鼎”）遭到了黑客的入侵。黑客在京鼎官网公布信息直接威胁京鼎客户与员工，如果京鼎不支付赎金，客户资料将会被公开，员工也将因此失去工作。同时还表示如果京鼎不想支付100万美元的费用，就会公布高达5TB的客户资料。

近几年，勒索软件已经逐渐成为了企业面临的主要安全威胁之一，就在Freebuf前段时间发布的文章2023年度全球勒索赎金排行榜TOP10可以看到，全球每年因遭受勒索带来的损失达到数十亿美元，那么，作为企业，应该采取哪些手段，来避免遭受勒索病毒攻击呢？

• 什么是勒索病毒

勒索软件又称勒索病毒，是一种特殊的恶意软件，又被归类为“阻断访问式攻击”（denial-of-access attack），与其他病毒最大的不同在于攻击手法以及中毒方式。勒索软件的攻击方式是将受害者的电脑锁起来或者系统性地加密受害者硬盘上的文件，以此来达到勒索的目的。

几乎所有的勒索软件都会要求受害者缴纳赎金以取回对电脑的控制权，或是取回受害者根本无从自行获取的解密密钥以便解密文件。勒索软件一般通过木马病毒的形式传播，将自身掩盖为看似无害的文件，通常假冒普通电子邮件等社会工程学方法欺骗受害者点击链接下载，但也有可能与许多其他蠕虫病毒一样利用软件的漏洞在互联网的电脑间传播。

• 勒索软件威胁趋势

刚刚过去的2023年，勒索软件活动迎来了堪称“大爆发”式的增长，根据Zscaler发布的《2023 年全球勒索软件报告》，仅截至2023年10月，全球勒索软件攻击数量同比增长37.75%，勒索软件的有效攻击载荷激增了 57.50%。

该报告显示，年收入和遭受勒索软件攻击的可能性之间存在明显的相关性，被勒索软件攻击的组织的百分比随着收入的增加而逐渐增加。去年，收入在1000万至5000万美元的组织中，56%的组织经历了勒索软件攻击，而收入在50亿美元以上的组织中，这一比例上升到了72%。

相反，遇到勒索软件和组织中的员工数量之间几乎没有明确的关系。在1,001~3,000名的员工区间外，勒索软件攻击的比率非常一致:

1. 100-250  employees  62%
2. 251-500  employees  62%
3. 501-1,000  employees  62%
4. 1,001–3,000  employees  73%
5. 3,001–5,000  employees  63%

漏洞攻击是勒索软件攻击最常见的手段(36%)，其次是受损凭证(29%)。这些发现几乎与安全公司Sophos对152次攻击的回顾分析完全一致，分析显示其中37%的攻击源于被利用的漏洞，30%的攻击开始于受损的凭证，18%来源于恶意电子邮件，13%来源于网络钓鱼，3%是暴力破解，只有1%是下载。

• 10大勒索软件常见攻击手段

恶意电子邮件附件：

攻击者通过发送看似合法的电子邮件，附件中包含勒索软件。

这些邮件可能会伪装成发票、快递通知、简历、办公文档等，诱导用户打开附件。

恶意网站和广告：

用户访问被感染的网站或点击恶意广告后，可能会触发勒索软件的下载。

这种攻击通常利用浏览器或插件的漏洞来安装恶意软件。

软件漏洞利用：

攻击者利用未打补丁的软件或操作系统中的安全漏洞来安装勒索软件。

这些漏洞可能存在于广泛使用的软件中，如Java、Flash Player、Adobe Reader等。

社会工程：

通过欺骗用户下载或执行文件来传播勒索软件。

社会工程攻击可能包括假冒技术支持、诱使用户点击链接或下载文件等。

远程桌面协议（RDP）攻击：

攻击者通过暴力破解或利用弱密码远程登录受害者的计算机，然后手动安装勒索软件。

僵尸网络和恶意下载器：

勒索软件通过其他恶意软件（如僵尸网络或下载器）传播，这些恶意软件已经在受害者的系统上占有一席之地。

受损的或假冒的软件更新：

用户下载并安装看似合法的软件更新，实际上是勒索软件。

这些更新可能会通过假冒的软件更新程序或通过破解软件的非法渠道传播。

网络钓鱼：

通过发送看似来自可信来源的电子邮件，诱导用户点击链接或打开附件，从而下载勒索软件。

USB驱动器和外部设备：

受感染的USB驱动器或其他外部存储设备可以在插入新系统时自动执行勒索软件。

供应链攻击：

攻击者通过破坏软件供应链中的某个环节来传播勒索软件，例如感染合法软件的分发服务器。

• 如何防止勒索攻击

零信任视角下的勒索安全防护

在应对以勒索软件为代表的网络威胁时，零信任其实有着很大的优势，和传统安全架构相比，零信任安全摒弃了边界信任模型对于内网“过度信任”的做法，即所有访问敏感信息的请求都应该先经过零信任控制中心，由管控中心对访问进行评估，决定此次访问需要提供什么等级的认证信息，再动态授权访问，从而有效实现对资源的保护。

1. 零信任安全“隐藏”

软件定义边界（SDP）是一种零信任网络安全模型，通过验证和授权用户身份，生成动态的网络规则来控制访问和通讯。SDP相比传统VPN更安全且隐身，保护不同的网络资源。防止攻击者从网络通信中获取信息，通过将受信任的通讯双方放置于网络的隐身模式下，使得攻击者无法轻易获取通讯数据。SDP可将设备业务服务隐身，从而解决因资产暴露而被攻击的问题。

隐身服务：SDP技术可以隐藏端口、隐藏服务器地址，防止被扫描和注入，减少病毒勒索的机会。

DDoS攻击防御：SDP技术可以抵御DDoS攻击，通过SPA（单包敲门）技术，在链接建立后，后续收到的数据包如果识别为攻击，可以检测错误包，从而防御DDoS攻击。

终端管理：SDP控制器可以控制哪些设备和应用程序可以访问特定的服务，例如应用程序和系统服务，防止病毒通过终端访问进行勒索。

策略管理：通过SDP的策略管理，设备只能访问策略允许的特定主机和服务，不能越权访问网段和子网，防止内部网络被病毒利用进行勒索。

1. 颗粒度授权认证

利用身份而非网络位置构建访问控制体系，为人和设备赋予数字身份，设定最小权限。细粒度的风险度量和授权针对可信的终端、应用、身份和报文等进行，实现动态访问控制。

最小权限原则是关键，零信任架构强调除单个实体身份外，还包括网络代理等复合主体。根据主体属性、环境属性和客体属性限制权限。在整个安全可信访问过程中，实现对访问主体的动态监测和风险感知，有效防止越权访问等安全威胁。

用户身份管理：IAM技术对用户身份进行管理，包括用户注册、用户注销、密码策略、会话管理等，防止未经授权的用户访问系统，减少病毒勒索的风险。

访问授权：IAM技术对用户访问进行授权，只有经过授权的用户才能访问特定的资源，如文件、数据库等，防止未经授权的用户访问敏感数据，避免病毒利用关键核心数据进行勒索。

访问控制：IAM技术实现细粒度的访问控制策略，可以定义哪些用户可以访问哪些资源，以及访问的方式等，有效防止未经授权的用户或病毒利用漏洞进行勒索。

安全审计：IAM技术可以对用户访问进行审计，及时发现和记录未经授权的访问和异常操作，及时发现和应对病毒勒索攻击。

1. 精细化持续信任评估

基于零信任安全模型的持续信任评估技术可以增强企业的安全防护能力，有效避免病毒勒索攻击。

用户和设备信任评估：对用户和设备进行信任评估，根据评估结果确定其访问权限。如果用户或设备存在异常行为或被认为不可信，其访问权限将被限制，从而防止病毒利用这些用户或设备进行勒索。

应用安全评估：对应用程序进行安全评估，发现并修复应用程序中的漏洞，减少病毒利用漏洞进行攻击的可能性，避免应用程序被勒索。

数据安全评估：对数据安全进行评估，发现并防止数据泄露和未授权访问，保护敏感数据不被病毒勒索，同时避免内部用户不当泄露数据。

网络信任边界：只允许信任的用户和设备访问受保护的应用程序和数据，防止未经授权的用户和设备访问关键资源，减少病毒利用漏洞进行攻击的风险。

1. 基于微隔离的指向安全“隔离”

在网络中创建了微小的隔离区域，确保只有授权的用户和设备可以访问特定的网络资源。实时监控网络流量和事件，及时发现并应对潜在的病毒勒索攻击。

网络隔离：对网络进行隔离，将不同的用户、设备和应用隔离开来，防止病毒在不同用户之间传播和利用漏洞进行攻击。使得只有授权的用户和设备可以访问特定的网络资源。

流量控制：对网络流量进行控制，限制网络流量的速度和大小，防止病毒利用流量进行攻击。使得网络流量不会超过系统的承受能力，避免系统被病毒勒索。

应用隔离：对应用程序进行隔离，防止不同应用程序之间的数据泄露和攻击。这种隔离可以通过虚拟化、容器等技术实现，使得每个应用程序都有自己的运行环境和数据存储，避免病毒利用漏洞访问其他应用程序。

• 防护方案示意

针对关键信息基础设施存在的安全风险研究，德迅云安全将零信任架构与自身丰富的工业安全实践经验相结合，构建“零信任安全体系解决方案”，为行业用户打造一个高度合规，运营便捷，全局可视的安全环境。

防护部署示意图

零信任安全体系解决方案在整个防护流程中防护思路如下：

利用网络隐身技术构建一张隐形网络，只对认证授权的可信任用户可见，同时可以防止攻击者嗅探、扫描内部服务以及受攻击者利用内部服务漏洞的情况。通过使用IAM方式增强用户身份鉴别能力，即使登录密码凭证被盗，攻击者也无法攻破防线。该技术可以降低各种攻击类型的风险，包括勒索病毒、数据盗窃、BEC和服务器访问等。

基于网络流量中DNS信令解析，本平台能够响应和阻断组织内部访问风险网站的行为，从而减少由于下载和安装恶意软件导致感染勒索病毒的可能性。勒索病毒攻击通常需要使用DNS解析其C&C服务器的域名以建立连接，此时平台可以实时识别和阻断攻击行为，从而降低企业遭受网站挂马、网站钓鱼等安全风险的风险。流量解析技术可以通过识别勒索病毒攻击并生成告警来进行处置，平台能够根据告警信息封禁攻击IP地址，还原流量中的勒索病毒样本并联动威胁情报识别阻断勒索病毒的传播，从而检测和拦截各类通过邮件、网站等途径传播的勒索病毒。这些措施可以有效防止恶意勒索程序对企业宿主机中的文件进行加密和连接到敏感应用系统进行攻击，即使员工电脑上被安装了恶意软件也无法扫描和窃取内网上的资源。限制勒索病毒的入侵和传播，降低此类攻击从单一设备蔓延到整个内部网络的可能。

通过实时监测用户终端设备的健康状态，根据安全基线判断终端是否授信准入，保护用户设备的安全，防止攻击者利用用户设备作为内网入侵的入口。本平台还可以实时检测用户的访问和操作行为，对终端及用户行为进行持续验证，并根据检测结果动态调整用户的访问权限，以防止异常行为、越权行为、终端环境等造成的威胁。此外，使用智能模型机制来检测用户和设备的异常活动，并自动化响应其威胁，进行告警和阻断。最终，通过安全风险感知技术进行统计分析，可以对潜在入侵行为进行深入分析、识别、检测、告警及追溯审计，为管理员提供安全运维的决策依据。