阻止勒索软件攻击的最佳策略是让这些攻击无法侵入到您的组织中。企业运营过程所需的应用和服务数量在不断增加。这导致攻击范围不断扩大,涉及到网络、SaaS 应用以及端点,而防护措施无法有效发挥效用。随着威胁执行方的能力不断提高,部署新攻击的速度超过了修复漏洞或安装补丁的速度。因此,组织需要对自己的安全平台进行全面地考量。
从检测转为预防
传统的网络安全防护手段侧重于检测及修复,但这已无法满足现在的需求。为阻止勒索软件的攻击,必须在实际中将检测转为预防。即在攻击感染组织并造成损害之前进行阻止。为实现这种转变,组织必须拥有相应的安全架构,这种架构需要具备三个关键功能:
1.缩小攻击范围
2.防御已知威胁
3.识别并防御未知威胁
1. 缩小攻击范围
为了缩小攻击范围,您必须对网络中的流量,包括应用、威胁以及用户行为掌握全面的可视性。您可能无法了解网络中发生的一切,而攻击者却对此了如指掌并利用这一点来侵入网络。对活动 进行分类能够让您对应该允许的行为作出正确的决策,同时也突显出需要进一步调查的未知事件。利用这种可视性,您可以采取相应操作,例如阻截未知流量、识别高 级攻击或仅允许包含有效业 务目的的应用。
在分隔流量后,需要实施基于应用和用户的策略。这些策略可以自由组合,以限制对特定用户组 以及网络中特定部分对于特定应用的访问。借助高度的可视性和正确的策略,大部分攻击者用来 向您的网络进行恶意攻击所使用的方法都可以被有效阻截。
要进一步缩小攻击范围,您需要阻截所有危险和可能危险的文件类型。虽然并非所有的文件类型 都是恶意类型,但应该阻截那些恶意可能性较高的类型。在阻截危险的文件类型后,需要实施符 合您的风险容限的策略。应阻止用户使用不合规的端点连接到关键的网络资源。
2. 防御已知威胁
在缩小攻击范围后,下一步是防御已知威胁。为此,您需要阻止已知的漏洞利用、恶意软件及命 令和控制流量进入您的网络。在阻止这些威胁后,执行攻击的成本就会上升,之后,由于攻击者 不得不创造新的恶意软件变种并寻找鲜为人知的漏洞进行新的漏洞利用,这使得出现威胁的可能 性降低。
您还可以通过阻止用户访问已知的恶意 URL 和网络钓鱼 URL,防止用户不慎下载恶意负载或凭证 遭窃。阻截这些威胁将完全消除这些威胁。由于攻击者越来越多地将 SaaS 应用作为传播威胁的途径,在阻截了已知的威胁后,您还需要扫描 SaaS 应用中的恶意软件。在扫描中发现的所有识 别出的恶意软件和漏洞利用都应受到阻截。在端点中应进行相同的操作来阻截已知的恶意软件和 漏洞利用。
3. 识别并防御未知威胁
在阻截已知的威胁之后,识别并阻截所有未知威胁已成为当务之急,因为攻击者会不断部署新的 零日漏洞利用并开发出新的勒索软件变种。第一步是检测并分析文件及 URL 中的未知威胁。在提 交新文件的同时,必须触发、分析并查找尚未知晓的恶意行为。此外,为阻止威胁得逞,您需要 自动、尽快地将防护措施推送到安全基础架构的各个部分中。其中应包括相关情境信息,用于了 解攻击者、恶意软件、攻击活动和与攻击有关的威胁指标。识别并阻截未知威胁和可疑行为趋势 之后,阻截端点上的未知恶意软件和漏洞利用,以确保所有接入点的安全。
这一流程的最终目的是将未知威胁变为已知威胁,并通过在整个攻击生命周期中,以领先于攻击 者开发恶意软件和漏洞利用的速度,利用新的防护手段来改善安全状况。