Check Point：如何通过SASE构筑抵御勒索软件攻击的第一道防线

Statista 今年一份报告显示,2022年全球 71% 的企业感受到了勒索软件的威胁,62.9% 的勒索软件受害者支付了赎金。攻击者使用各种技术和工具入侵网络、应用及计算机,企图索取高额赎金。同年,包括英伟达、丰田以及法拉利等知名品牌均宣布遭到勒索软件攻击,其中丰田不得不临时终止14家工厂运营,使其生产能力遭受严重影响。

在我国,通过国家互联网应急中心动态周报可以看到,电信、科研教育、政府部门与卫生健康行业长期处于受勒索软件攻击的前列。这些时刻关系民生的行业一旦其IT系统出现严重安全问题,其危害势必影响到社会运行的方方面面。更加值得关注的是,在2022年底的“勒索软件动态周报”中可以看到,已经出现近7年的Wannacry仍能造成数万次感染。这一现象充分说明我国很多企业仍然存在对勒索软件危害认识不足、以及安全意识相对薄弱的问题。

在勒索软件不断肆虐的当下,能够保护企业数字资产免遭勒索软件侵害的安全访问服务边缘 (SASE) 解决方案成为了抵御攻击者威胁的第一道防线。

灵活办公增加了风险

勒索软件可利用对数据中心、IaaS 及云生产环境等企业资源的访问在企业内传播,进而阻止用户访问重要的 IT 资产。当用户在企业防火墙以外进行操作时,感染和传播的风险就会成倍增加。远程办公员工可能会在无意中下载受感染的文件、与恶意广告互动或访问受感染的网站。CSO Online 数据显示,2022 年,76% 的企业成为了勒索软件攻击的目标,其中 64% 遭到了感染,但仅 50% 的企业能够在支付赎金后恢复其数据。IBM 的《2022 年数据泄漏损失》报告显示,平均赎金支付额为 812,360 美元,勒索软件攻击的总损失平均为 450 万美元。 在受害者的损失不断攀升的同时,攻击者的攻击“招数“也越来越多。之前,个人攻击者直接发起勒索软件攻击,他们会开发大量自动有效载荷,并将其分发给随机选择的受害者。而如今,攻击者变得更为老练,他们提供勒索软件即服务等成熟的“商业模式”,并配有精心的策划和周详的执行策略。 随着AI技术的不断演进,不法分子利用AI撰写脚本、发起攻击的成本也将进一步降低。勒索攻击“性价比”的提升也将使得更多不法分子加紧研究、开发勒索软件。

在通过恶意软件和/或系统漏洞侵入网络后,一些攻击者会对敏感数据进行加密,并威胁要公开这些数据。在收到赎金后,攻击者可能会也可能不会提供解密密钥。有些勒索软件攻击者跳过加密阶段,直接威胁受害者将公开被盗数据的副本。“三重勒索”攻击会同时威胁到企业和员工、业务合作伙伴及客户。还有一些攻击者会直接销毁数据。

勒索软件代码本身也在不断演变。臭名昭著的 Wannacry 将从美国政府窃取的漏洞利用代码与自定义代码相结合,创建了一种勒索软件蠕虫。该蠕虫可在网络中快速传播,而非仅仅加密单个工作站。2017 年 5 月,全球 Wannacry 攻击在三天内感染了约 20 万台计算机,导致全球受害者损失数十亿美元。自 2020 年以来,VirusTotal 的《全球范围内的勒索软件》报告发现了超过 130 种不同的勒索病毒,其中 95% 是基于 Windows 的可执行文件或动态链接库。去年,Check Point Research 还发现勒索软件团伙在攻击中使用合法 IT 软件,例如远程管理解决方案。

现实场景 — 使用 SASE 防范勒索软件

举例来说,SASE 可利用实时全球威胁情报,防止 Check Point 客户的环境中发生勒索软件攻击。

图 1:Check Point 的 SASE 解决方案如何有效防范勒索软件攻击。

2022 年 10 月,ThreatCloud AI发现了一种名为 Raspberry Robin 的多级逃逸型恶意软件的零日变体。在被添加到 ThreatCloud AI中大约 45 分钟后,该变体通过 USB 设备感染了一名远程用户。不到一分钟,客户的 Check Point SASE 解决方案就阻断了来自恶意软件的命令和控制通信,有效抵御了攻击,防止了恶意软件被激活,并避免了其在客户网络中传播。

利用 SASE 和端点保护实施多层防御

Check Point Harmony Connect 等 SASE 解决方案可保护远程用户和分支机构对互联网以及企业网络的访问,是抵御已知和未知零日勒索软件攻击的第一道防线。Harmony Connect 可防止浏览器、应用及系统中的漏洞遭到利用,从而阻止勒索软件潜入用户的网络,同时还可以通过实时威胁情报和高级沙盒防止用户访问感染点和下载恶意文件。 部署额外的端点安全防护(例如具有反勒索软件特性的 Check Point Harmony Endpoint)可提供抵御复杂勒索软攻击的最后一道防线,防止其加密设备上的文件。

图 2:SASE 在应用、计算机及网络层面提供分层保护。

唯一一款以预防为主的 SASE 解决方案:Harmony Connect

一直以来,Check Point都建议用户在部署安全解决方案时,应采用“预防为先”策略。其原因在于随着网络攻击形式日趋复杂,以及数字资产重要性不断提升,任何以往“亡羊补牢”的措施往往会给企业带来难以预估的经济以及信誉损失。Check Point  Harmony Connect 作为业界唯一一款以预防为主的 SASE 解决方案,可成功阻止攻击者植入恶意软件并发起勒索软件攻击。在Check Point ThreatCloud AI业界领先的威胁情报系统帮助下,它每月在全球保护 5500 万笔企业访问交易并防止 24 万次网络攻击,使Check Point的用户免遭勒索软件攻击带来的损失。