勒索軟件攻擊的數(shù)量和復雜程度都在上升。三重勒索(對一家企業(yè)的勒索軟件攻擊導致其業(yè)務合作伙伴受到勒索威脅)正在提高攻擊成本����。勒索軟件即服務將攻擊手段掌握在較小的犯罪實體手中,使該策略成為一種商品����,而不僅僅是策劃者的工具。毫不奇怪�����,勒索軟件攻擊的恢復成本比其他類型的數(shù)據(jù)泄露要高得多���。
創(chuàng)新互聯(lián)專業(yè)為企業(yè)提供鳳陽網(wǎng)站建設���、鳳陽做網(wǎng)站、鳳陽網(wǎng)站設計、鳳陽網(wǎng)站制作等企業(yè)網(wǎng)站建設�、網(wǎng)頁設計與制作、鳳陽企業(yè)網(wǎng)站模板建站服務��,十余年鳳陽做網(wǎng)站經(jīng)驗����,不只是建網(wǎng)站,更提供有價值的思路和整體網(wǎng)絡服務�。
將攻擊者完全排除在您的系統(tǒng)之外是理想的選擇,但網(wǎng)絡犯罪分子是頑固且富有創(chuàng)造力的�����。那么如何才能阻止勒索軟件攻擊得逞呢��?
各級數(shù)據(jù)加密是一項強有力的措施�,對于深度和重量實施至關重要。但它應該只是一個更大整體的一部分�。應該考慮使用額外的控制來增強加密,以識別應用程序和進程級別的攻擊者����。此技術稱為應用程序(或進程)白名單。
讓我們討論一下為什么它是必要的�����、它是如何工作的以及如何使用它。
簡而言之��,常見惡意軟件和勒索軟件策略
常見的網(wǎng)絡攻擊涉及在端點上安裝虛擬應用程序���,這些應用程序看起來像常見的實用程序(例如 Word、Adobe Photoshop 或 Slack)����,但會秘密加密和/或泄露數(shù)據(jù)。網(wǎng)絡釣魚策略是這些應用程序和特洛伊木馬進入系統(tǒng)的最常見方式�。在沒有意識到的情況下,員工可能會點擊看似無害的鏈接�����,從而在其設備上安裝惡意軟件���。
當這些惡意軟件應用程序之一出現(xiàn)在桌面或目錄中時�����,它可以避免懷疑����,因為用戶假設該應用程序一直存在。然而�����,有權訪問端點的惡意行為者可以部署惡意軟件�����,找到有價值的數(shù)據(jù)并將其劫為人質(zhì)���。當合法用戶嘗試訪問受損數(shù)據(jù)時�����,會出現(xiàn)一條消息����,要求勒索贖金��,并威脅稱����,如果他們不付款���,就會在網(wǎng)上公開敏感數(shù)據(jù)。
如果您不幸看到這樣的消息�,則意味著您的數(shù)據(jù)已被泄露。你的公司應該準備走一條漫長而昂貴的道路���,評估損失、權衡選擇�����、管理危機���,并可能尋找資金支付贖金��。這些行為的負面影響在贖金和咨詢費用中顯而易見��。即使您支付了贖金�����,網(wǎng)絡勒索者的解密程序也可能非常緩慢����,并延長您的業(yè)務離線時間,您的任務被擱置����,您的市場聲譽受損。在最好的情況下����,您擁有強大的數(shù)據(jù)備份和恢復能力,但災難恢復既不是即時的��,也不是 100% 成功的��。
為什么加密可能還不夠
每個級別的加密都至關重要�����。但如果本機加密很弱��,犯罪分子可以使用自己的工具或在暗網(wǎng)上租用的工具(在新興且方便的勒索軟件即服務市場中)對其進行解密�����。他們可以泄露數(shù)據(jù)����,除了停止您自己的業(yè)務運營之外����,他們還可以威脅公開敏感數(shù)據(jù)�����,并對其安全返回收取更多費用���。因此���,即使您可以自行恢復業(yè)務運營����,您仍然面臨遭受勒索的風險,以防止您的數(shù)據(jù)被公開曝光或阻止其被出售給最高出價者����。
本機或內(nèi)聯(lián)實用程序怎么樣?
內(nèi)聯(lián)管理工具(例如特定數(shù)據(jù)庫本機的工具)提供訪問控制�。但是,它們通常不包括白名單��,并且系統(tǒng)和數(shù)據(jù)庫覆蓋范圍有限�。配置企業(yè)解決方案提供的應用程序白名單和基于策略的細粒度訪問控制�����,以便只有授權的用戶和進程才能讀取或?qū)懭霐?shù)據(jù)�����。這些政策應該適用于跨平臺�,以消除不一致和差距�。
應用程序白名單如何中和惡意軟件
借助成熟的應用程序白名單功能,您可以指定哪些用戶和進程有權訪問特定的數(shù)據(jù)資源���。結果是勒索軟件無法讀取或?qū)懭胧鼙Wo的文件�,因為進程簽名不會通過僅允許授權和已知進程訪問數(shù)據(jù)的控制點����。
換句話說,惡意軟件將無法惡意加密底層數(shù)據(jù)�,即使它們知道底層數(shù)據(jù)存在于何處。
理想情況下����,敏感數(shù)據(jù)應該已經(jīng)加密。這樣,即使惡意行為者竊取并泄露了文件�,它們也會變得毫無用處,因為犯罪分子無法在有用的時間范圍內(nèi)解密它們(或者根本無法解密���,如果加密和密鑰保護很強大)��。換句話說�,不可讀的數(shù)據(jù)的市場價值接近于零����。
管理和性能注意事項
白名單和加密確實很強大,但您可能會問管理和性能開銷����。理想情況下,管理是通過可以跨異構數(shù)據(jù)庫和系統(tǒng)環(huán)境的單個管理控制臺完成的�。這使得訓練有素的操作員能夠在整個企業(yè)內(nèi)一致地應用策略���。
現(xiàn)代數(shù)據(jù)加密解決方案不應在保護此級別的文件時產(chǎn)生顯著的性能開銷����,并且僅通過為授權用戶和進程解密數(shù)據(jù)來降低處理影響�����。無需對應用程序或工作流程進行任何更改。如果您當前的工具無法做到這一點�����,那么可能是時候?qū)ふ姨娲桨噶恕?/p>
詳細的政策和治理
實施高粒度的另一個好處是您將發(fā)現(xiàn)治理方面的改進�����?��;诮巧脑L問控制改善了您的職責分離狀況����,詳細的訪問日志將使內(nèi)部和外部審計員感到滿意�。
現(xiàn)代數(shù)據(jù)安全解決方案將能夠基于多個標準(而不僅僅是用戶 ID 和流程)創(chuàng)建策略。例如��,策略還可以包括正在訪問的特定資源�����、正在執(zhí)行的操作類型(讀����、寫���、刪除等)以及允許的時間窗口。
如何知道哪些內(nèi)容應列入白名單�����?
現(xiàn)代數(shù)據(jù)安全的一個關鍵部分是了解敏感數(shù)據(jù)所在的位置以及哪些用戶��、進程或應用程序應該有權訪問它�。可重復的數(shù)據(jù)發(fā)現(xiàn)和分類能力是強制性的�。一旦您掌握了這些知識,白名單就會變得簡單:通過了解您批準的流程和系統(tǒng)來應用白名單����,并默認阻止其他所有內(nèi)容。這可能會造成偶爾的疏忽�,但它們應該是例外。此外�,您的數(shù)據(jù)安全和管理團隊將大大減輕分類和修復的負擔�,這使得這些疏忽很容易解決。
一些現(xiàn)代數(shù)據(jù)安全產(chǎn)品還可以在部署期間啟用“學習模式”��,可以定期觀察訪問加密文件的所有進程。然后可以使用觀察到的數(shù)據(jù)作為標準來識別要添加到白名單的可信進程����。有了這種控制,任何請求訪問的新流程都可以被視為例外����,并通過適當?shù)臋z查和平衡來完成變更控制流程。
不要忽視攻擊鏈中的環(huán)節(jié)
對于經(jīng)驗豐富的網(wǎng)絡犯罪分子來說����,時間點入侵檢測或識別單個受損憑證可能只是路上的一個障礙,他們不會松懈���。最重要的是�,組織需要控制�、技術和訓練有素的人員來解決勒索軟件攻擊鏈中的每個環(huán)節(jié)。專注于保護的持久�����、適應性強的能力(例如白名單和智能訪問控制)可以在其他控制措施失敗時提供必要的防御�����。當與各級加密相結合時,它們可以為您提供深度防御�,這在攻擊鏈的末端特別有用。
知道如果網(wǎng)絡犯罪分子確實滲透了防御��,那么擁有眾所周知的皇冠上的寶石的房間將是空的��,這讓人感到有些滿足�����。
本文名稱:應用程序白名單如何對抗勒索軟件攻擊
分享路徑:
http://uogjgqi.cn/article/dpiieci.html
