在我國(guó),通過(guò)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心動(dòng)態(tài)周報(bào)可以看到,電信、科研教育、政府部門(mén)與衛(wèi)生健康行業(yè)長(zhǎng)期處于受勒索軟件攻擊的前列。這些時(shí)刻關(guān)系民生的行業(yè)一旦其IT系統(tǒng)出現(xiàn)嚴(yán)重安全問(wèn)題,其危害勢(shì)必影響到社會(huì)運(yùn)行的方方面面。更加值得關(guān)注的是,在2022年底的“勒索軟件動(dòng)態(tài)周報(bào)”中可以看到,已經(jīng)出現(xiàn)近7年的Wannacry仍能造成數(shù)萬(wàn)次感染。這一現(xiàn)象充分說(shuō)明我國(guó)很多企業(yè)仍然存在對(duì)勒索軟件危害認(rèn)識(shí)不足、以及安全意識(shí)相對(duì)薄弱的問(wèn)題。

 

在勒索軟件不斷肆虐的當(dāng)下,能夠保護(hù)企業(yè)數(shù)字資產(chǎn)免遭勒索軟件侵害的安全訪(fǎng)問(wèn)服務(wù)邊緣 (SASE) 解決方案成為了抵御攻擊者威脅的第一道防線(xiàn)。

 

靈活辦公增加了風(fēng)險(xiǎn)

 

勒索軟件可利用對(duì)數(shù)據(jù)中心、IaaS 及云生產(chǎn)環(huán)境等企業(yè)資源的訪(fǎng)問(wèn)在企業(yè)內(nèi)傳播,進(jìn)而阻止用戶(hù)訪(fǎng)問(wèn)重要的 IT 資產(chǎn)。當(dāng)用戶(hù)在企業(yè)防火墻以外進(jìn)行操作時(shí),感染和傳播的風(fēng)險(xiǎn)就會(huì)成倍增加。遠(yuǎn)程辦公員工可能會(huì)在無(wú)意中下載受感染的文件、與惡意廣告互動(dòng)或訪(fǎng)問(wèn)受感染的網(wǎng)站。CSO Online 數(shù)據(jù)顯示,2022 年,76% 的企業(yè)成為了勒索軟件攻擊的目標(biāo),其中 64% 遭到了感染,但僅 50% 的企業(yè)能夠在支付贖金后恢復(fù)其數(shù)據(jù)。IBM 的《2022 年數(shù)據(jù)泄漏損失》報(bào)告顯示,平均贖金支付額為 812,360 美元,勒索軟件攻擊的總損失平均為 450 萬(wàn)美元。 在受害者的損失不斷攀升的同時(shí),攻擊者的攻擊“招數(shù)“也越來(lái)越多。之前,個(gè)人攻擊者直接發(fā)起勒索軟件攻擊,他們會(huì)開(kāi)發(fā)大量自動(dòng)有效載荷,并將其分發(fā)給隨機(jī)選擇的受害者。而如今,攻擊者變得更為老練,他們提供勒索軟件即服務(wù)等成熟的“商業(yè)模式”,并配有精心的策劃和周詳?shù)膱?zhí)行策略。 隨著AI技術(shù)的不斷演進(jìn),不法分子利用AI撰寫(xiě)腳本、發(fā)起攻擊的成本也將進(jìn)一步降低。勒索攻擊“性?xún)r(jià)比”的提升也將使得更多不法分子加緊研究、開(kāi)發(fā)勒索軟件。

 

在通過(guò)惡意軟件和/或系統(tǒng)漏洞侵入網(wǎng)絡(luò)后,一些攻擊者會(huì)對(duì)敏感數(shù)據(jù)進(jìn)行加密,并威脅要公開(kāi)這些數(shù)據(jù)。在收到贖金后,攻擊者可能會(huì)也可能不會(huì)提供解密密鑰。有些勒索軟件攻擊者跳過(guò)加密階段,直接威脅受害者將公開(kāi)被盜數(shù)據(jù)的副本。“三重勒索”攻擊會(huì)同時(shí)威脅到企業(yè)和員工、業(yè)務(wù)合作伙伴及客戶(hù)。還有一些攻擊者會(huì)直接銷(xiāo)毀數(shù)據(jù)。

 

勒索軟件代碼本身也在不斷演變。臭名昭著的 Wannacry 將從美國(guó)政府竊取的漏洞利用代碼與自定義代碼相結(jié)合,創(chuàng)建了一種勒索軟件蠕蟲(chóng)。該蠕蟲(chóng)可在網(wǎng)絡(luò)中快速傳播,而非僅僅加密單個(gè)工作站。2017 年 5 月,全球 Wannacry 攻擊在三天內(nèi)感染了約 20 萬(wàn)臺(tái)計(jì)算機(jī),導(dǎo)致全球受害者損失數(shù)十億美元。自 2020 年以來(lái),VirusTotal 的《全球范圍內(nèi)的勒索軟件》報(bào)告發(fā)現(xiàn)了超過(guò) 130 種不同的勒索病毒,其中 95% 是基于 Windows 的可執(zhí)行文件或動(dòng)態(tài)鏈接庫(kù)。去年,Check Point Research 還發(fā)現(xiàn)勒索軟件團(tuán)伙在攻擊中使用合法 IT 軟件,例如遠(yuǎn)程管理解決方案。

 

現(xiàn)實(shí)場(chǎng)景 — 使用 SASE 防范勒索軟件

 

舉例來(lái)說(shuō),SASE 可利用實(shí)時(shí)全球威脅情報(bào),防止 Check Point 客戶(hù)的環(huán)境中發(fā)生勒索軟件攻擊。

 

 

圖 1:Check Point 的 SASE 解決方案如何有效防范勒索軟件攻擊

 

2022 年 10 月,ThreatCloud AI發(fā)現(xiàn)了一種名為 Raspberry Robin 的多級(jí)逃逸型惡意軟件的零日變體。在被添加到 ThreatCloud AI中大約 45 分鐘后,該變體通過(guò) USB 設(shè)備感染了一名遠(yuǎn)程用戶(hù)。不到一分鐘,客戶(hù)的 Check Point SASE 解決方案就阻斷了來(lái)自惡意軟件的命令和控制通信,有效抵御了攻擊,防止了惡意軟件被激活,并避免了其在客戶(hù)網(wǎng)絡(luò)中傳播。

 

利用 SASE 和端點(diǎn)保護(hù)實(shí)施多層防御

 

Check Point Harmony Connect 等 SASE 解決方案可保護(hù)遠(yuǎn)程用戶(hù)和分支機(jī)構(gòu)對(duì)互聯(lián)網(wǎng)以及企業(yè)網(wǎng)絡(luò)的訪(fǎng)問(wèn),是抵御已知和未知零日勒索軟件攻擊的第一道防線(xiàn)。Harmony Connect 可防止瀏覽器、應(yīng)用及系統(tǒng)中的漏洞遭到利用,從而阻止勒索軟件潛入用戶(hù)的網(wǎng)絡(luò),同時(shí)還可以通過(guò)實(shí)時(shí)威脅情報(bào)和高級(jí)沙盒防止用戶(hù)訪(fǎng)問(wèn)感染點(diǎn)和下載惡意文件。 部署額外的端點(diǎn)安全防護(hù)(例如具有反勒索軟件特性的 Check Point Harmony Endpoint)可提供抵御復(fù)雜勒索軟攻擊的最后一道防線(xiàn),防止其加密設(shè)備上的文件。

 

 

圖 2:SASE 在應(yīng)用、計(jì)算機(jī)及網(wǎng)絡(luò)層面提供分層保護(hù)

 

唯一一款以預(yù)防為主的 SASE 解決方案:Harmony Connect

 

一直以來(lái),Check Point都建議用戶(hù)在部署安全解決方案時(shí),應(yīng)采用“預(yù)防為先”策略。其原因在于隨著網(wǎng)絡(luò)攻擊形式日趨復(fù)雜,以及數(shù)字資產(chǎn)重要性不斷提升,任何以往“亡羊補(bǔ)牢”的措施往往會(huì)給企業(yè)帶來(lái)難以預(yù)估的經(jīng)濟(jì)以及信譽(yù)損失。Check Point Harmony Connect 作為業(yè)界唯一一款以預(yù)防為主的 SASE 解決方案,可成功阻止攻擊者植入惡意軟件并發(fā)起勒索軟件攻擊。在Check Point ThreatCloud AI業(yè)界領(lǐng)先的威脅情報(bào)系統(tǒng)幫助下,它每月在全球保護(hù) 5500 萬(wàn)筆企業(yè)訪(fǎng)問(wèn)交易并防止 24 萬(wàn)次網(wǎng)絡(luò)攻擊,使Check Point的用戶(hù)免遭勒索軟件攻擊帶來(lái)的損失。