SecureWorks最新发布的《2023年威胁状况报告》显示,在2023年3月至6月的4个月时间里,勒索软件泄露网站上公布的受害者人数达到了前所未有的水平。成立已超过140年的某智能建筑领域全球领导者近期遭受到勒索软件攻击,一度导致运营中断,攻击者索要5100万美元赎金。勒索软件攻击猛于虎,让全球所有企业都如临大敌。
预防勒索病毒与减少受攻击面密切相关,因为系统的漏洞或薄弱环节往往让勒索病毒有机可乘。从勒索病毒的防御透视整个企业的安全防护可以发现,减少受攻击面是实现从被动防御到主动安全的必然路径,也是提升企业整体安全性的“入口”。
减少受攻击面是一种安全战略
所谓攻击面,是指系统中可被网络攻击者攻击或利用的所有可能的点或区域。通过减少不同的攻击面,可以有效防止攻击的发生。Gartner将攻击面扩展列为“2022年最主要的安全和风险管理趋势”。戴尔科技的调研显示,这些极易受到攻击的“点”主要包括软件漏洞、配置错误、身份验证机制薄弱、系统未修补、用户权限过多、开放式网络端口、物理安全性较差等。
随着云计算、大数据、人工智能等新兴应用不断涌现,越来越多的攻击面也暴露出来。比如,伴随着云计算的普及,云上的错误配置就有可能导致大规模的数据泄露;再比如,企业越来越多地引入开源软件或者将运营外包给第三方供应商,这都会增加攻击面暴露的几率。上述安全隐患都会严重影响企业业务的连续性,有可能造成无法挽回的损失。
对于各行各业的企业来说,减少受攻击面不仅仅是一个网络安全概念,更是一种安全战略,其核心是尽可能减少边缘、核心或云中可能被用于攻击系统、网络或组织的潜在漏洞和入口点,逐步提高企业预防、抵御和恢复的整体能力,从而减少恶意攻击者成功发起网络攻击的机会,进一步增强网络弹性。
Gartner建议,企业要全面监控并严格管理攻击面,并将攻击面管理纳入到企业整体的网络安全风险管理计划之中,从而开启主动防御的大门。在这种情况下,企业和组织应该以新的思维方式审视网络安全,采用超越传统的安全监控、检测和响应的新方法,更加有效地缩减受攻击面。
减少受攻击面会者不难
人们常说,“亡羊补牢,犹未为晚”。但是从主动防御的角度,我们宁愿将相关工作做到事前,尽量避免攻击面的暴露,这样才能将安全攻击带来的不良影响和损失降到最低。或者说,大大降低处置安全风险所需投入的成本。
基于多年实践经验,戴尔科技总结和归纳出一套行之有效的减少受攻击面的措施和战略,覆盖技术、架构、运维、培训和伙伴等各个维度,希望能够给企业的安全实践带来有益的启示和帮助。
1. 打造零信任底座,树起安全屏障
随着企业数字化转型逐步走向深入,企业的业务形态、IT架构、应用模式等都发生了翻天覆地的变化。远程办公的常态化、跨云的数据传输、物联网络的泛在化等,导致了网络安全边界的模糊化,传统的网络安全方案已经无能为力,零信任架构成了新的选择。
零信任是一个安全概念,其核心理念是企业和组织不应自动信任其边界内外的任何内容,而是必须验证尝试连接到其系统的所有内容,然后才能授予其访问权限,并通过整合微分段、身份和访问管理(IAM)、多因素身份验证(MFA)和安全分析等解决方案,打造零信任模型。
中国信息通信研究院发布的《零信任发展研究报告(2023年)》指出,零信任“持续验证、永不信任”、最小化授权、精细化网络分段流量管理、统一数字身份等特性,能够更有效地保障软件供应链安全,抵御勒索软件攻击,促进公共数据与服务安全开放等。
如今,越来越多的安全厂商引入了网络分段技术。以前,企业通常只有一个单一的网络,所有设备都接入其中,一旦攻击者进入网络,就可以畅通无阻,安全隐患防不胜防。所谓网络分段,顾名思义就是将网络划分为具有不同安全级别的分段或分区,这样有助于遏制攻击,并通过隔离关键资产和限制网络不同部分之间的访问来防止横向移动,从而最小化威胁影响。
总之,采用零信任架构能够让企业在核心、云和边缘环境中提高可见性,增强控制能力,达到保护数据与应用的安全、降低风险的目的。
2. 注重安全细节,封堵所有漏洞
在企业中,安全漏洞和隐患无处不在,比如网络钓鱼和数据泄露等人为错误和遗漏,未知的开源软件或过时的软件,还有物联网或影子IT资产等。为了减少受攻击面,企业可能已经采取了很多安全手段和措施,以下几个方面更应该引起足够重视:
- 配置安全。企业应确保系统、网络和设备按照安全最佳实践进行正确配置,比如禁用不必要的服务,使用强密码和执行访问控制,以减少潜在的受攻击面。
- 坚持最低权限原则。基于最低权限原则可对用户和系统帐户加以限制,使其仅具有执行相应任务所需的最低访问权限。此方法可限制攻击者获得未经授权访问权限所产生的潜在影响。
- 确保应用程序的安全性。实施安全编码,定期进行安全测试和代码审查,以及使用Web应用程序防火墙(WAF)。这些措施有助于防范常见的应用程序级攻击,并减少Web应用程序的受攻击面。
3. 随需应变,持续更新
减少受攻击面,不是构建了零信任架构,采取了多种防御措施就万事大吉。黑客正变得越来越有组织性和规模化,攻击技术和手段花样翻新,同时攻击也更具针对性和破坏力。
俗话说“魔高一尺,道高一丈”。应对快速变化的攻击和威胁,企业的安全防御系统要定期修补和更新。比如,使用全新的安全修补程序,使得软件、操作系统和应用程序保持更新,这有助于解决已知漏洞,并最大程度地降低风险。
另外,企业还要加强对内部人员的培训,提高其安全认知,使得员工有能力识别并报告潜在的安全威胁、网络钓鱼企图和社会工程策略,这样可以更有效地降低利用人类弱点发起攻击的风险。
4. 善于“借力打力”,构建安全生态
减少受攻击面,人人有责,人人获益。企业、用户与合作伙伴应该形成一条统一的安全战线,共同增强防御安全攻击的能力。
企业可以与专业的安全供应商合作,在设计、制造和交付设备与基础架构的各个阶段都充分考虑到安全性,奠定可信赖的基础。安全厂商能够提供安全的供应链、安全的开发生命周期和严谨的威胁建模,能够让企业比攻击者先行一步,有备无患。企业与安全厂商、专业的技术和服务合作伙伴建立稳固的合作关系,可以更好地吸收来自外部的专业知识、互补的解决方案,进一步提升企业整体的安全性。
特别值得一提的是,人工智能技术已经成为一种新的增强安全防御能力的手段。特别是大模型的兴起,加快了人工智能技术在发现、处置安全攻击和威胁中的应用。更深入的研究正在持续进行之中。
循序渐进持之以恒
企业在数字化转型的过程中,无论是在边缘、核心还是云端,都要做到防微杜渐,努力减少受攻击面,不断增强自身抵御持续威胁的能力,为业务的创新与发展保驾护航。
减少受攻击面需要全方位的安全防护策略。戴尔科技通过建立一揽子安全流程,包括评估风险、保护关键数据和缩小受攻击面、侦测威胁、从攻击过程中恢复等多个过程,不断提升网络弹性模型的成熟度;同时,戴尔科技还利用全方位端点保护产品组合,减少受攻击面,通过将内置的保护与持续的警戒功能相结合,持续降低攻击对于企业的影响。
必须明确的是,网络安全不是一次性任务,而是一个持续的过程。通过积极主动地实施各类主动防御措施,企业能够有效地减少受攻击面,使攻击者更难利用漏洞影响企业的正常运行。在服务商和合作伙伴的助力下,企业通过定期审计、渗透测试和漏洞评估等方式,可以及时发现漏洞及不足,不断完善和优化现有的网络安全体系和机制,将企业全面的网络安全战略落在实处,增强整体防御能力,从容应对各种新兴威胁。