新觀點| 對照物理世界看網絡空間防勒索策略
在當今網絡空間世界,勒索病毒已是最猖獗和最具破壞力的病毒。信息安全界各專業人士在研究如何徹底剿滅此類病毒時,也曾推出各種防勒索方案,但實際上我們仍然可以頻頻聽到勒索病毒攻擊事件,其中不乏知名大公司大企業,而且被勒索的金額通常巨大。
關于勒索病毒最近最熱的新聞莫過于今年2月英國政府剛宣布控制了Lockbit組織,而一周后該組織官宣復活,并且提出會針對政府進行報復,勒索病毒的猖獗程度和杜絕難度可見一斑。
網絡空間戰一直以來被冠以“沒有硝煙的戰爭”,但由于網絡空間屬于虛擬世界,在探討網絡空間的問題時總是讓人感覺缺乏實在感,仿佛蒙上了一層面紗,很難窺探其真實面貌。通過對照現實物理世界,我們嘗試撥開迷霧。
2023年剛剛過去的新冠抗疫就是發生在物理世界的一次真實的、沒有硝煙的戰爭。中國政府在抗疫過程中走出了中國抗疫模式,保證中國經濟和社會秩序井然,展示了強大的應對能力和組織執行力,在全世界抗疫中交出來高水平的答卷,贏得了世衛組織的高度認可。我們依據時間線來梳理一下這次抗疫中的關鍵事件。
1.“吹哨人”在重災區武漢率先拉響警報,該病毒會危害人類健康導致死亡;
2.人類對該病毒基本屬于未知,暫無特效藥物,武漢選擇火速率先封城,切斷人員進出流動,避免擴散全國;
3.由于沒有被第一時間檢測和發現,封城之前實際上病毒攜帶人已經流出和逃逸,各地相繼出現病例,各地相繼宣布封城;
4.隨著感染案例持續擴散,各地開始停工停產,居家隔離,基于樓棟進行隔離,控制人員流動和擴散,并上門排查上報健康狀況,手動排查行程(是否有流動過或到過疫區),將癥狀者拉到專門的區域進行隔離;
5.科研機構開始緊急研究病毒,試圖了解病毒,搞清病毒源頭,病毒特征,治療方法和特效藥物等;
6.基于已有的知識開始上防護措施,要求戴口罩,洗手,酒精消毒,全社會教育推廣,旨在減少傳播;
7.監測各地新增病例以及治愈數據,開始逐步解封,復產復工;
8.科技手段核酸檢測和行程碼,健康碼等出現,大幅提升檢測效率,大大降低漏報、瞞報和繞過物理關卡導致的病毒流動可能性;
9.國外大規模爆發,各地封鎖海關,加強入境健康排查和隔離觀察;
10.防疫政策開始改變,不再大面積封城,只封鎖發現病例附近區域,清零后解封,最大保證社會經濟生活正常;
11.疫苗出現,全民開始推行接種,但由于病毒變種較多,也無法保證能免疫所有病毒,未知變種仍有感染的可能性(后續也驗證了);
12.隨著病毒毒性減弱,全員放開,抗疫結束;
13.至今仍無產生新冠特效藥。
勒索病毒作為虛擬世界的病毒,除了病毒的載體和物理世界的新冠不同,其它基本上有相當程度的相似性:
1.都有極高的破壞性。新冠危害人的健康和生命,勒索病毒破壞數據的可用性和保密性;
2.都會出現大規模爆發的可能性。新冠危害社會安全和經濟,勒索病毒導致企業業務中斷;
3.都具有很強的傳播能力。勒索病毒甚至有很多是主動傳播;
4.都有大量的未知和變種,同時無法找到源頭和清理源頭。
聯軟科技基于對勒索病毒特點和市面上現有解決方案的分析,我們發現如下問題:
現有方案基本都在強調基于病毒的檢測發現和響應能力以及數據備份來構建方案,例如殺毒強調病毒庫多少,病毒庫更新多快,基于行為檢測的技術(各種DR,態感等)在強調規則多,運算模型強大,而數據備份也在強調可以做到按天恢復數據。
但實際上勒索病毒最難防范的地方在于它的不確定性。由于其背后是巨大的經濟利益,勒索病毒基本已經形成產業化,有專門的病毒研究、制造和主動傳播分工合作,會針對當前的防御體系和防御技術,專門研究防御陣線漏洞和各種突破防御逃脫制裁的方式。而對比單一企業與勒索產業團隊在安全力量上的配置,前者基本處于力量失衡,大有道高一尺,魔高一丈的態勢。所以,企業的安全檢測響應防御防線屢被攻破,勒索事件頻頻發生,不少企業經濟損失慘重。
其次基于數據備份的恢復技術,在遇到業務系統被加密時,即使數據備份到天,也難以快速恢復業務。
基于以上原因,聯軟科技結合物理世界戰爭的思維提出了基于防止企業大面積中勒索病毒的網絡安全底座方案。
該方案具有如下特點:
1.基于戰爭思維,利用網絡空間中的“地利”與“人和”,構建防御體系,不追求“零傷亡”,保證主力部隊不會被殲滅,實現底線安全風險管控。
2.重點關注業務連續性保護,通常企業由于大規模中勒索病毒導致生產業務停擺的損失遠大于勒索金額,這一點在當前很容易被忽視。
3.該方案基于網絡訪問控制技術,結合軟件定義的策略,聯動網絡空間內的網絡設備(如交換機、防火墻、網關等),可隨時按需構造一個個靈活的隔離空間,通過切斷域的網絡訪問將病毒控制在隔離區域,控制病毒大規模擴散和橫向移動(新冠病毒的抗疫過程也驗證了這種隨時按需隔離的措施是控制病毒擴散的唯一有效手段)。
4.通過重要業務系統的備份域而不是數據備份,來保證主營業務的連續性。
5.在劃分域的基礎上,再通過域間訪問策略和通道的收斂,來降低管控的難度,同時也便于可視化。
6.通過策略的可視化,來及時發現人為的配置錯誤,預測可能存在的配置風險。
7.在訪問權限較大的網管域,業務連續性影響較大的備份域,設置以主動欺騙技術為主的產品,加強對勒索病毒的發現。