近年来,勒索攻击手段不断演变,从简单的文件加密发展到高级持续性威胁(APT)和供应链攻击,其复杂性和危害性日益加剧。随着全球数字化进程的加速,勒索软件为攻击者提供了更多的攻击目标。这类攻击具备四个新特点:攻击目的复杂、对象精准、主体专业以及模式多样。当前,对勒索攻击的有效检测和防御仍是网络安全领域的一大挑战。
面对这一挑战,我们以“量化”为基本思路,对勒索攻击各场景进行合理发散,提出了一种新的防御思路。常见的防护手段主要集中在网络侧和终端侧的威胁检测与防御,然而在实际发生时,往往拥有相应的防护手段但仍遭受攻击。传统的分类算法在应对某些勒索病毒方面存在响应不及时的问题。我们需要从新的角度考虑防护措施。
一、勒索病毒防护的思考
我们从一个全新的维度出发,不仅局限于传统网络安全角度,而综合考虑漏洞、业务、权限和威胁情报四个风险面。引入“量化”概念,旨在减少人为因素带来的负面影响。
1. 基于面的防护思路:
针对漏洞、业务、权限和威胁情报的面进行量化评估,以降低由于各种因素导致的勒索风险。除了常规的加固措施外,还可以通过业务SaaS化改造、数据无感加密等方式减少业务组件的面。
2. 基于身份的防护思路:
借鉴零信任中的“以身份为中心”理念,将用户、设备和应用程序都抽象为实际身份,简化信息系统的量化评估。通过零信任体系的建设,可有效预防勒索事件的扩大。
3. 基于安全感知的防护思路:
在态势感知系统中构建单独的数据安全态势感知模块,以实现及时告警与处置。
二、以“量化”理论应对勒索攻击的防护方案
1. 以检测为主的数据安全量化实践思路:
通过身份检测、行为检测和状态检测三种方式,实现对用户、行为和系统状态的全面检测。结合ATT&CK勒索攻击模型和ASA架构的防护模型,建立动态的检测流程。
2. 以防护为主的数据安全量化实践思路:
在安全防护方面,以零信任为中心,构建结构化的动态感知防御体系。针对安全防护、安全加固、服务隐藏和数据加固四个方面,提供全面的防护措施。通过部署统一策略管理平台、安全检测引擎和自动检测报告等,确保整体信息安全防护体系的持续和动态保障。服务隐藏和数据加固策略则通过构建零信任体系和综合应用数据保护技术,提高信息系统的安全性和稳定性。
随着数字化转型的推进,数据安全已成为关键要素。面对勒索病毒攻击的挑战,应结合基于量化评估的综合性检测与防御策略进行防护。应认识到实际操作中可能会遇到的技术实施复杂性、资源限制和安全策略的持续更新等挑战。未来的工作需要进一步验证这些策略的有效性,并探索如何更有效地将它们集成到现有的安全管理体系中。通过综合应用这些数据保护技术,可有效提高信息系统的安全性和稳定性。
