曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        使用CipherTrust平臺防止勒索病毒攻擊
        發布時間:2021-09-18 04:13:06   閱讀次數:

        1-21091Q31924248.png

        背景介紹

        勒索病毒是一種惡意軟件,網絡犯罪分子利用它阻止公司和個人訪問其關鍵業務文件、數據庫或整個計算機系統,直到受害者支付贖金。這是一種網絡勒索。


        Cybersecurity Ventures預測,每11秒就會有一家企業成為勒索病毒攻擊的受害者,到2021年,全球企業的估計成本將達到200億美元左右。直接成本可歸因于贖金要求——如果受害者選擇支付贖金——而間接成本則與停機時間、數據恢復、收入損失、網絡防御改進以及公司聲譽受損有關。KnowBe4是一家專門培訓員工如何檢測和應對勒索病毒攻擊的公司,其創始人兼首席執行官斯圖·斯尤沃曼(Stu Sjouwerman)表示:“勒索病毒將繼續存在,傳統的基于軟件的端點保護無法很好地防范此類惡意軟件,這是一個不幸的事實?!?。


        本文幫助您了解勒索病毒攻擊的剖析,并探討當今市場上可用于防御此類攻擊的解決方案。它說明了Thales CipherTrust Transparent Encryption(簡稱CTE,CipherTrust透明加密)中的安全策略如何使您能夠防止流氓進程和未經授權的用戶過濾或加密您最敏感的數據,從而保護您免受勒索病毒攻擊。CipherTrust透明加密是CipherTrust數據安全平臺的一部分。CipherTrust平臺統一了數據發現、分類、數據保護,并提供了前所未有的細粒度訪問控制,所有這些都具有集中的密鑰管理。CipherTrust平臺上提供的產品和解決方案減輕了與數據泄露和勒索病毒攻擊相關的業務風險。


        勒索病毒正在不斷崛起

        美國聯邦調查局下屬的互聯網犯罪舉報中心(IC3)為公眾提供有關美國所有網絡犯罪活動的可靠信息來源。2020年,該中心收到了創紀錄的2474起勒索病毒事件,比2018年的攻擊數量增加了60%。正如前網絡安全主管克里斯·克雷布斯(Chris Krebs)在2021年5月警告的那樣,隨著美國走出冠狀病毒封鎖,它正在抗擊一種不同的大流行。


        網絡安全風險公司(Cybersecurity Ventures)預測,所有類型的大小企業都將每11秒成為勒索病毒攻擊的受害者,預計到2021年,全球企業的損失將達到200億美元左右。


        這些勒索病毒攻擊大多是由老練的黑客組織實施的,他們提供一個“勒索病毒即服務”的平臺,通過各種工具幫助經過審查的網絡罪犯實施勒索病毒攻擊,并附帶一個“呼叫服務”,幫助攻擊者與受害者進行談判和付款。


        新聞中的勒索病毒的例子

        以下是最近三個勒索病毒攻擊的例子,表明任何國家的關鍵基礎設施都可能成為復雜的網絡罪犯和民族國家的目標。最近的網絡攻擊引起了美國最高層的關注,白宮發布了改善國家網絡安全的行政命令。

        • 全球最大的肉類加工公司JBS USA在2021年6月遭到大規模勒索病毒攻擊。該公司暫時關閉了在澳大利亞、加拿大和美國的業務,導致肉類短缺,并提高了消費者的價格。

        • 2021年5月的“殖民管道”(Colonial Pipeline)勒索病毒攻擊導致這條5500英里長的管道關閉一周,導致燃料短缺、燃料價格飆升,并在美國東海岸的加油站引發恐慌。

        • 費森尤斯集團(Fresenius Group)運營的歐洲最大的私營連鎖醫院遭到了Snake勒索病毒的攻擊。他們是為歐洲和美國最大的醫院提供腎臟透析設備和服務的主要供應商,在Covid-19大流行期間,這些設備的需求很高。入侵者劫持了他們的IT系統和數據,以換取比特幣等數字貨幣的支付。


        剖析勒索病毒攻擊步驟

        本節介紹典型的Cyber Kill Chain?,它將詳細介紹有針對性的勒索病毒攻擊的七個階段。它提供了對入侵者戰術、技術和過程(TTPs)的可見性。

        • 第一步:偵察——入侵者收集公司所有員工的電子郵件地址,并準備發起網絡釣魚活動。


        • 第二步:武器化——入侵者使用從暗網購買的勒索病毒工具包,通過電子郵件附件發送惡意軟件。


        • 第三步:傳送——入侵者通過假電子郵件作為有效載荷或通過遠程桌面協議(RDP)服務傳送勒索病毒。


        • 第四步:利用——當員工在不知情的情況下打開虛假郵件附件時,惡意軟件就會利用一個已知的漏洞感染他們的筆記本電腦。


        • 第五步:安裝——勒索病毒以二進制文件的形式安裝,打開一個接入點(后門)與命令和控制站點進行通信。


        • 第六步:命令和控制(CnC)——勒索病毒發送目標主機IP地址并獲得加密所有文件和數據庫所需的加密密鑰。


        • 第七步:行動——勒索病毒將敏感文件轉移到CnC服務器,然后對這些文件和數據庫進行加密。然后它會向最終用戶顯示一封勒索信。

        使用CipherTrust平臺防止勒索病毒攻擊(圖1)


        重點分析:實施了安全方案,為什么還會中勒索病毒?基礎安全實踐不足!

        大多數組織遵循這些基本的安全實踐來準備勒索病毒攻擊。然而,這些做法不足以在勒索病毒攻擊之前、期間或之后主動保護業務關鍵數據。

        • 安全意識培訓:通過模擬演練,培訓員工識別可疑的網絡釣魚郵件,防范攻擊發送。然而,只需要一個員工就會犯錯誤,打開釣魚郵件,感染公司的網絡。


        • 部署安全電子郵件/Web網關:該技術可用于防御通過電子郵件發送的勒索病毒攻擊。然而,安全的web/電子郵件網關無法檢測到新的惡意軟件,因為它們沒有惡意軟件簽名。


        • 應用最新的軟件補?。?/strong>定期掃描您的所有系統,并為高優先級漏洞打補丁,有助于防范被勒索病毒利用的漏洞。然而,勒索病毒可以通過第0天的方式交付,并且在當今復雜的環境中很難保證100%的系統補丁。


        • 監控DNS查詢:勒索病毒感染服務器/終端后,通常會調用命令和控制(CnC)服務器來交換加密密鑰。監控DNS查詢已知的勒索病毒域(例如“killswitch”),并將其解析到內部漏洞,可以防止勒索病毒加密文件。然而,DNS服務器無法阻止未知的CnC域使用新的勒索病毒攻擊。


        • 定期備份關鍵數據:有時,你的所有安全防御都不夠,勒索病毒攻擊成功加密了你所有的業務關鍵數據。從勒索病毒攻擊中恢復的最好方法是維護一個安全的備份,并有一個清晰的恢復計劃,使您能夠恢復您的業務關鍵數據。然而,修復通常是昂貴和耗時的。此外,您還需要確定惡意軟件是否仍在您的系統中,您需要識別并關閉入口點,否則恢復將只是一個臨時修復。


        用強有力的數據訪問策略阻止勒索病毒

        盡管公司在傳統邊界和終端安全技術方面進行了大量投資,但數據泄露和勒索病毒攻擊仍是頭條新聞。


        為了有效地阻止任何未知的惡意軟件(勒索病毒二進制文件)劫持您的數據,安全組織需要一個強大的數據安全解決方案,可以提供以下功能:

        • 識別“受信任的應用程序”的應用程序許可列表——被批準訪問受保護文件夾和設備執行加密/解密的文件(二進制文件)的“許可列表”。它還需要提供一種方法來檢查這些應用程序的簽名的完整性,以防止多態惡意軟件進入已批準的二進制文件。


        • 對業務關鍵數據應用細粒度訪問控制,定義誰(用戶/組)可以訪問特定的受保護文件/文件夾,以及他們可以執行什么操作(加密/解密/讀/寫/防止管理用戶)。

          • 防止管理用戶利用其特權獲得對敏感文件或數據庫的讀訪問權。

          • 對備份檔案設置嚴格的訪問控制策略,并對備份進行加密,防止數據外流。

          • 實現職責分離,允許數據庫用戶獲得讀/寫訪問權限,而備份軟件只對同一個數據庫具有讀訪問權限。

           

        • 靜態數據加密保護數據,無論它駐留在本地數據中心或公共/私有云中。當入侵者竊取業務敏感數據并威脅如果不支付贖金就公布這些數據時,這使得這些數據對他們來說毫無價值。此外,一些勒索病毒有選擇地加密文件,這樣就不會使系統完全脫機。另一些則尋找敏感數據,只加密這些文件。在這種情況下,惡意軟件無法訪問加密文件,因此不會受到攻擊。


        CipherTrust數據安全平臺

        來自Thales的CipherTrust數據安全平臺,將數據發現、分類、數據保護和前所未有的訪問控制與集中的密鑰管理統一在一個平臺上。

        Thales CipherTrust數據安全平臺(圖2)

        CipherTrust平臺提供全面的數據安全功能,包括帶有訪問控制的文件級加密、應用層加密、數據庫加密、屏蔽、帶有基于策略的動態數據屏蔽的無保險令牌化和保險令牌化,以支持廣泛的數據保護用例。它跨多個云服務提供商(CSP)和混合云環境提供健壯的企業密鑰管理,以集中管理加密密鑰并配置安全策略,以便組織能夠發現、控制和保護云、內部和跨混合環境中的敏感數據。


        CipherTrust透明加密如何防止勒索病毒攻擊

        CipherTrust透明加密是CipherTrust數據安全平臺中廣泛部署的數據保護產品之一。它提供了靜態數據加密、細粒度訪問控制和應用程序白名單功能,使組織能夠防止勒索病毒攻擊。它通過對文件、卷、數據庫、容器和大數據的基于策略的訪問控制來保護結構化和非結構化數據,無論這些數據駐留在內部環境還是混合云環境中。

        使用CipherTrust平臺防止勒索病毒攻擊(圖3)


        在CipherTrust內可以自定義訪問策略,在訪問策略中可創建一個“受信任”應用程序的白名單,以防止任何不受信任的二進制文件(例如勒索病毒)訪問受CipherTrust透明加密保護的數據存儲,并防止特權用戶訪問文件和數據庫中的用戶數據。這些訪問策略使您能夠阻止任何流氓二進制文件對文件/數據庫/設備進行加密,即使入侵者擁有對該二進制文件的執行權限和對包含業務關鍵數據的目標文件的讀寫權限。CipherTrust透明加密可以阻止權限升級攻擊,防止管理員對受保護的文件夾/文件/設備進行讀寫操作。


        CipherTrust透明加密中的訪問策略規則。

        CipherTrust透明加密使用了“GuardPoint”的概念,它是受訪問策略保護的資源。GuardPoint可以包含一個完整的磁盤驅動器卷、磁盤分區、一個特定的目錄或AWS S3存儲桶,所有非結構化文件或結構化數據庫文件都在桶下。每個訪問策略是一組規則,當訪問受保護的GuardPoint中的文件時,將檢查這些規則。如果針對該規則的測試結果為TRUE,則授予Effect字段中定義的特權,否則測試繼續執行下一個規則。如果沒有匹配的規則,則拒絕對文件的訪問。

        規則名稱
        效果
        Resource指定GuardPoint中的哪些目錄受策略保護
        User Sets指定一組可以訪問文件的用戶/組
        Process Sets指定一組可對文件進行操作的可執行文件
        When指定文件可以訪問的時間范圍
        Action指定允許的文件操作:讀、寫、刪除、重命名、創建文件夾
        Effect
        • Permit/Deny:允許/拒絕數據訪問

        • Apply Key:使用KeySelection規則中的Key對寫入GuardPoint的數據進行加密或解密

        • 每次訪問GuardPoint時創建日志記錄


        現在讓我們看看客戶如何使用CipherTrust透明加密中的三個簡單而強大的訪問控制策略來保護Microsoft SQL Server數據庫免受勒索病毒的攻擊,這些訪問控制策略包括以下幾個“集列表”。


        CipherTrust透明加密訪問策略,以保護SQL數據庫文件夾(aka GuardPoint):

        1. 步驟1:創建一個特權用戶集列表,其中包括管理用戶。

          • Privilege-Admin-Users:管理員,域管理員

        2. 步驟2:創建進程集列表,使用“已簽名的二進制文件”標識允許執行數據庫操作的可信可執行文件。這確保了只有合法的應用程序/二進制文件才能訪問受保護的資源,如文件系統、磁盤分區和云對象存儲。

          • SQL-Processes:文件/文件夾:C:\Program Files\Microsoft SQL Server\MSSQLSERVER\MSSQL\ bin \

        3. 步驟3:在SQL-Operation-Policy File中創建三個訪問控制列表。在文件I/O期間通過特定規則檢查的任何用戶或進程,只獲得在action中列出的權限和每個ACL的effect字段中的特權。

          • 條目1:創建一個可信進程的“許可列表”,允許這些進程對數據庫進行所有正常操作。

            • 此規則只允許sql進程使用下面密鑰選擇規則中提到的密鑰進行加密。

            • 規則1:Process= SQL-Processes;Action = all_ops;Effect= Apply Key, Permit;

          • 條目2:防止黑客使用權限升級獲得對數據庫內容的未經授權訪問

            • 該規則將允許特權管理員用戶只讀元數據和審計所有管理操作。

            • 規則2:User= privileges - admin - users;Action =閱讀;效果=審計許可證;

          • 條目3:防止任何流氓勒索病毒二進制文件加密MSSQL數據庫目錄下的文件。

            • 本規則將拒絕上述2條規則不允許的任何用戶或進程。

            • 規則3:Default Deny Rule= Effect= Audit, Deny

          • 定義用于加密數據庫的加密密鑰,在任何具有“Apply key”特權(效果)的規則中。

            • 密鑰選擇規則= Key1


        CipherTrust透明加密代理創建詳細的可操作的審計事件,可以發送到SIEM系統,以提供對文件訪問活動的前所未有的洞察力,使您能夠更快地識別和阻止威脅,并在勒索病毒攻擊發生前主動警告您,提高可視性,并簡化法規遵從。


        鎖定系統

        除了加密和一套豐富的訪問控制,CipherTrust透明加密還提供了“系統鎖定”功能,可以選擇性地部署該功能來鎖定特定的系統目錄和文件。這些文件和目錄的秘密更改或刪除連同審計消息警報被阻止。


        結論

        組織可以采取許多不同的網絡、端點和應用程序安全措施來防范勒索病毒攻擊。但是,它們不能主動保護您的關鍵數據。部署一個健壯的數據安全解決方案可以在勒索病毒攻擊之前、期間和之后保護您的敏感數據。CipherTrust數據安全平臺通過簡化數據安全、加快合規時間、提供多云安全和控制,可以降低各種規模的組織的TCO。該平臺構建在可擴展的基礎設施上,使您的IT和安全組織能夠以統一和可重復的方式發現、分類和保護組織中的靜止數據。


        想了解更多CipherTrust產品或數據保護方面的信息,您可以立刻聯系攬閣信息,我們將為您提供專業的、定制化的信息安全解決方案。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精