勒索病毒“零信任”防护和数据安全治理体系的探索实践
今天,让企业最“头疼”的数据安全威胁有哪些?
安全法律法规快马加鞭的制定,
多种威胁风险陡然加剧,
企业数据安全又该如何开展?
在2022年(第四届)全球工业互联网大会暨工业行业数字化转型年会上,美创科技浙江大区售前技术专家彭克建主题演讲的《勒索病毒安全防护与数据安全治理》给出了答案。
勒索病毒仍是最严重的外部威胁
目前,勒索病毒变种不断进化,传播手法不断升级,从广撒网到精准化、定向化攻击,从数据加密到“窃密+勒索” 双重勒索甚至三重勒索·····企业数据资产正在面临严重的挑战。
美国Cybersecurity Ventures分析显示,2022年,预计每11秒将发生一次勒索攻击,全年超过300万次,这与2019年每14秒一次攻击的预测相比,增加了约20%。
1、 勒索病毒攻击链复杂,现有措施难有效应对
勒索病毒攻击过程至少包含3个不同模块,分别应用于勒索过程中的不同阶段:
攻击模块:前勒索阶段
首先勒索病毒攻击模块主要通过多种攻击手段,对攻击目标进行漏洞检测以及服务口令爆破等。
加密模块:中勒索阶段
攻击模块成功获取本地权限后,加密模块开始运行,进行本地文件加密操作。
勒索模块:后勒索阶段
勒索病毒加密完成,软件将进行部分模块自毁,以防止自身加密逻辑或内存残留信息被利用于解密,并释放勒索模块向受害者用户提供勒索信息,并横向持续扩散。
面对勒索攻击病毒种类越来越多,变种频率不断提高,攻击手段更加先进,每一阶段的攻击均存在防护难点,传统的防护方案基于特征检测的杀毒软件无法及时察,十分被动。
2、以“零信任”实现主动防护
基于对勒索病毒行为特征分析,勒索病毒无论如何变异,最终都需要修改文件来达到加密目的,其中包括读取文件、写入文件、删除文件、复制文件等操作。
知白守黑、不阻断无安全。
美创诺亚防勒索系统基于零信任理念,从资产、入侵和风险三个视角出发,集合内核级别防护机制、主机防护、基线防护、威胁情报、诱捕机制、智能模型等技术,实时监控所有核心应用进程,基于多个认证因子实现核心可信应用进程判断,对非认证授权范围内的进程读写操作直接阻断,主动防御各种已知、未知病毒侵袭。
诺亚防勒索防护场景:
文档防勒索:诺亚防勒索提供文档自动保护机制,确保只有经过授权的应用程序具有写的权限,如word文档只能被Office或WPS写入更新。系统内置众多缺省文档后缀类型,支持主流文档格式类型,也可根据独立文件名、后缀和目录提供灵活配置。
数据库防勒索:针对各类主流数据库、国产数据库,诺亚防勒索内置数据库文件保护引擎,指定数据库类型或添加数据库可执行程序,允许可信任执行程序对受保护的数据库文件执行相关操作。
哑终端防勒索:针对广泛使用哑终端的关键性行业,如银行ATM机、加油站自助机、医院自助查询机等,诺亚防勒索提供堡垒模式,确保只有可信任的软件可以运行,其他任何新的软件都无法运行,任何新的软件都无法运行,勒索软件运行失败,从而无法破坏文件。
升级安全防护能力需要系统化思维
数据面临的风险远远不止勒索病毒的威胁,在数据流转的全生命周期,不论是在哪个环节出现了短板,都可能导致企业发生数据安全问题,面对严厉合规处罚力度以及企业自身数据发展战略,构建体系化的开展数据安全防护是必然之举。
2022年中国企业数据安全现状调查报告-Goupsec
1、体系化数据安全建设面临的现实痛点
过去到现在,绝大多单位组织普遍重视网络侧防御,在数据安全建设上,仅仅是部署单一产品为主,以满足合规需求、解决部分问题为主,对如何进行体系化建设仍存在诸多难点:
数据资产量级不清,缺少可落地的方法论和可实用的分类分级工具;
数据资产安全状况未知,不知具体风险有哪些、在哪里;
管理机制缺位,缺少切实有效的数据安全管理制度流程,数据安全难落实稽核;
数据安全建设成果无感知,数据安全无法持续性运营和提升。
2、“四步走”完成体系化数据安全建设
从数据资产分类分级、健全安全规划和体系设计、建设部署数智安全大脑、完善数据安全运营,美创科技助力企业实现可管、可视、可控的体系化数据安全建设。
完成数据资产分类分级,厘清数据资产
通过专业咨询团队+自动化、智能化数据发现和分类分级工具,明确敏感数据有哪些、都存储在哪里、流转情况如何,形成数据资产清单、数据流向图及数据权限清单。结合国家、行业及自身特点,以数据最稳定的特征和属性为依据,完成数据分类和分级,以实现安全精准化防护。
健全安全规划与体系设计,明确组织部门权责
对数据处理活动进行风险评估,进而结合组织现状、数据分类分级结果、进行符合企业实际业务场景的组织制度建设,决策层、管理层、监督层、执行层的安全职责及动态协同机制。
建设部署数智安全大脑,实现全域可管、可视、可控
以建设数智安全大脑为中心,集成身份认证、数据脱敏、权限管理、访问控制、勒索防护、审计溯源等数据安全保护能力,进行资产全局管理、身份全局管理、安全任务与策略集中管理,帮助实现资产全域可管、风险全域可视、策略全域联动。
形成数据资产全景视图,“做到心中有数”:对数据、应用、和API等资产进行智能数据收集和自动化梳理,形成数据资产全景视图,采集业务动态访问过程中的流量进行智能涉敏分析,形成数据流转视图。
建立个人身份画像,“做到人员可控”:实时监测、识别、梳理各类访问来源/主体,深度分析访问上下文、访问行为等因素,建立个人身份画像,形成可统一管理的身份资源池。
通过数据流转监测 “实现风险可视”: 针对数据访问流转全流域监测,结合数据安全策略持续优化。从数据内部流动、自内向外流动、自外向内流动情况进行分析和监测,得出数据使用方、数据流出状况等信息,形成数据流向分布图。持续监测敏感数据访问行为,发现敏感数据泄露风险,并提供追溯能力,管理数据资产全生命周期。
态势全方位感知,“一屏一域,全网管控”:
完善数据安全运营体系,持续优化提升安全状态
实现数据安全能力持续优化提升,美创科技数据安全运营平台及服务,助力建立有效、高效的数据安全运营管理策略、组织管理规范、流程实施规范等,构建自上而下的数据安全运营管理保障体系。