微分段通过隔离关键资产、限制网络横向移动、提供细粒度的最小特权访问、实现快速隔离、简化恢复、提高网络弹性以及减少爆炸半径来防止勒索软件攻击。
勒索软件攻击已成为各种规模的组织面临的越来越危险的威胁。
勒索软件利用横向移动技术来感染和加密尽可能多的端点和服务器。
在扁平的公司网络上,攻击者拥有一条开放的高速公路,可实现工作负载之间的横向传播。
一旦扎根,勒索软件就会有条不紊地加密数据文件,还会加密备份、应用程序、数据库等。
微分段提供了一套强大的功能来加强防御并最大限度地减少勒索软件对业务的影响。
隔离关键资产
微分段提供的最重要的勒索软件保护之一是能够将组织最敏感和最关键的数据、服务器、数据库和系统隔离到企业网络其他部分完全无法访问的安全区域。
识别最重要的资产: 执行风险分析和发现,对最关键的资产(如财务系统或客户数据)进行分类和优先排序,以便进行隔离。
强化区域: 配置包含必须保护的资产的强化网络段并提供专用基础设施。严格限制入口/出口点。
限制访问: 仅允许使用严格访问控制的授权系统(如跳转主机)连接到隔离区域。阻止所有其他通信。
监控流量: 任何与关键区域尝试的横向连接都应受到严格审查,因为这可能是未经授权的访问尝试。
通过主动隔离最高价值资产,组织可以限制勒索软件进入网络其他区域时造成的损害,关键系统将拥有额外的保护层。
限制横向移动
网络分段通过限制端点、服务器和网络区域之间的通信路径,从根本上防止勒索软件等威胁在组织内横向移动和传播。
限制东西向流量: 微分段使用段间防火墙严格限制允许跨网络的横向东西向流量。
默认拒绝: 访问控制明确允许仅必要的流量。默认情况下,所有其他网络内流量均被拒绝。
应用程序感知控制: 分段可以限制哪些特定的应用程序或服务在区域之间连接,而不仅仅是地址对。
验证用户: 结合基于用户的访问控制,防止恶意软件或受感染的账户自由横向移动。
监控流量: 强化区域与其他区域之间未经批准的连接尝试显然是需要发出警报和调查的事件。
随着在整个网络中建立微型边界,勒索软件感染大片环境的能力大大降低并得到控制。
细粒度的最小权限访问
微分段允许在区域之间定义极其精细的最小特权访问控制,限制哪些特定帐户、应用程序、服务和设备可以相互通信。
这从根本上减少了勒索软件传播的攻击面。
分析数据流:使用数据流分析来精确确定各种工作负载所需的连接。明确允许这些流量。
实施严格的 ACL:段之间的访问控制列表仅授予明确批准的连接。任何未定义为允许的连接都会被自动拒绝。
随着时间的推移加强安全性:继续监控访问模式并减少暴露的路径以符合最小特权原则。
隐藏关键资产:避免暴露关键区域的 IP 或端口。使用代理和跳转主机进行隐藏。
集成 NAC:结合网络访问控制,在授予访问权限之前验证端点安全态势。
借助细粒度的微分段,恶意行为者即使突破了周边防御,横向移动的途径也会少得多。
实现快速隔离
如果在特定微分段内检测到勒索软件,管理员可以立即隔离受影响的区域,以防止感染进一步传播到业务的其他区域。
自动隔离功能:确保分段解决方案提供简单的方法,只需单击几下或调用几次 API 即可立即隔离受损区域。
记录响应流程:记录事件响应手册,详细说明如何隔离高风险部分以及培训人员。
实施隔离区:定义专用的隔离网络区域,以便受损系统可以快速转移到该区域进行分析和修复。
确认备份:隔离之前验证受影响微段内未感染的数据备份是否可用。
争取时间:即使是短暂的隔离窗口也允许安全团队实施组织范围的遏制控制,例如临时 Active Directory 密码重置。
简化恢复
由于关键资产和数据已在强化的微段中被逻辑隔离,因此在发生勒索软件事件时可以轻松获得这些系统的相对干净的备份。
与从头开始重建相比,这使组织的恢复和恢复变得更简单。
维护近期有效的备份:定期备份隔离区域内的关键系统和数据。定期测试恢复。
物理隔离备份:将隔离区域的备份媒体离线存储在物理安全的位置,以防止损坏。
集中保护力度:可以投入更多的安全资源来全面保护较少的关键系统和备份。
减少对离线备份的依赖:通过微分段限制关键数据访问,可能需要离线存档的数据更少。
简化恢复:清晰记录的分段架构和数据流简化了中断后的业务功能恢复。
提高网络弹性
通过利用微分段来保护强化区域内的重要资产和数据,组织向攻击者支付赎金的可能性会大大降低。
他们可以简单地从独立维护的关键系统的完整备份中进行恢复。
避免支付赎金:即使主要生产环境受到损害,隔离备份也可以减少支付赎金的诱惑。
保持业务连续性:通过隔离关键功能,即使某些环节中断,业务运营仍可继续进行。
满足合规性要求:PCI DSS 等标准要求对持卡人数据环境进行分段控制。这为防范勒索软件威胁提供了内在保护。
保护客户数据:微分段降低了因勒索软件而导致客户数据泄露的可能性,有助于维护客户信任。
降低成本:通过弹性分段策略,可以减少与大规模基础设施重建、数据恢复、法律责任和声誉损害相关的时间和支出。
减小爆炸半径
通过限制横向路径,微分段可确保勒索软件攻击得到更严格的控制。
勒索软件不会感染整个扁平网络,而是会被限制在其侵入的单个微段范围内。
限制受影响资产的数量:如果勒索软件突破边界,最终受影响的端点、服务器、服务和数据存储库总数将减少。
减少停机时间:由于中断的系统更少,恢复和恢复时间也缩短了。
降低成本:通过减少必须修复或重建的资产和数据数量,遏制措施使勒索软件的补救成本更低。
最大限度地减少业务影响:影响范围越小,停机期间受损的业务功能就越少。收入损失和客户影响将降至最低。
限制加密:文件和数据的加密仅限于受损部分的范围。
通过采取战略方法设计与关键资产、系统和工作流程相一致的微分段架构,组织可以有效地最大限度地减少勒索软件攻击对业务的影响。
网络分段大大降低了勒索软件传播和利用大部分企业环境的能力。
它通过建立内部障碍来阻止横向移动,从而挫败和遏制此类威胁。
微分段是提高勒索软件抵御能力的强大功能。