勒索軟體破局之道，解讀零信任架構的三大優勢

當地時間5月7日，美國最大燃油管道商ColonialPipeline公司遭遇勒索軟體攻擊，被迫暫停運營，直接導致了美國東部沿海各州的關鍵供油管道被迫關閉，影響到了美國東海岸45%的燃料供應。最終該公司向駭客支付了鉅額贖金，以此來解除對於關鍵資料的勒索。支付贖金之後，Colonial公司也逐步恢復了輸油管路的執行。

此次美國供油管網遭勒索停運，給整個能源行業敲響了警鐘。能源行業作為關係國計民生的關鍵基礎設施，安全問題至關重要。此前的勒索攻擊事件最嚴重的影響是帶來大規模資料洩露或者支付鉅額贖金，但是這次發生在能源行業的網路勒索軟體事件，直接大範圍影響到現實社會安全，甚至推動了美國政府釋出“改善國家網路安全的行政命令”來提高國家網路安全防禦能力。

關鍵資訊設施需要重點防護勒索軟體

如今，政府和企業同時面臨著一個不斷演變的網路威脅環境。最初的駭客攻擊是為了炫耀和獲得影響力而實施網路攻擊，而現在已演變成為了經濟、政治等目的的攻擊。勒索軟體的目的更直接，就是透過加密檔案來勒索額贖金。

勒索軟體也從最初的AIDStrojan再到CryptoLocker，CTBLocker等。直至WannaCry勒索蠕蟲大規模爆發，常規的勒索木馬技術日益成熟，已將攻擊目標從最初的大面積撒網無差別攻擊，轉向精準攻擊高價值目標。比如直接攻擊醫療行業，企事業單位，更有甚者破壞對方的服務甚至國家的基礎設施。關鍵資訊基礎設施關係著國計民生，是經濟執行和社會穩定的基礎，也是網路安全防護的重中之重。隨著經濟社會對網路的依賴程度不斷加深，關鍵資訊基礎設施安全防護更加緊迫。網路空間軍事化，網路工具平民化，網路攻擊常態化日趨明顯，關鍵資訊基礎設施已成為網路攻擊的主要目標。

美國透過行政命令來改善國家⽹絡安全措施

Colonial公司在緊急處理勒索事件的同時，美國總統拜登釋出“改善國家網路安全行政命令“，呼籲聯邦政府和私營部門合作，共同應對威脅美國安全的"持續不斷、越來越複雜的惡意網路活動"。其中的重點一項就是聯邦政府必須採⽤最佳安全實踐；邁向零信任架構，增加對安全最佳實踐的採用，並持續部署基礎安全工具，如多因素身份驗證和資料加密。

為什麼會是零信任

美國頒佈行政命令，零信任將作為重要的一個舉措應用於網路安全領域，同時要求NIST制定實施零信任架構的計劃，以確保零信任能夠完全發揮作用。零信任架構的先進性彌補傳統防護理念在應對勒索攻擊中的先天不足，能夠極大減少攻擊暴露面，以及橫向移動的可能，最大限度保證內網應用以及資料安全。

零信任架構指⼀種安全模型，基於對傳統⽹絡邊界之內和之外都存在威脅動態協調⽹絡安全和系統管理策略。零信任消除了對任何單一元素，節點或服務的隱式信任，⽽是需要透過來⾃多個資料來源的實時資訊對操作行為進⾏連續驗證，以確定訪問連結合規。在應對勒索軟體的過程中，零信任架構確實具備得天獨厚的三大優勢：

Ø  環境感知，多方驗證終端可信

Ø  埠隱藏，避免惡意掃描傳播

Ø  持續評估，動態調整安全策略

環境感知，多方驗證終端可信

在零信任環境中，所有通訊都被視為不信任，除非這種信任關係能夠得到證明，而且這種證明也必須是多方面的證明，終端層面要實時監測主機狀態，包括主機入侵檢測，主機防護響應任務排程，主機環境陷阱設定，主機防毒以及主機基線等情況。身份層面通常利用雙因素認證或多因素認證的加強，透過簡訊、指紋、令牌多種認證方式建立一個多層次的身份驗證層面的防禦，人員在經過認證之後才能實現對應用層面訪問。在網路層面會持續判斷主機行為，終端接入網路之後就會對其網路行為進行檢測，即使裝置感染了新穎的勒索軟體，安裝在裝置上的防病毒軟體無法檢測，但在網路上，可以透過網路流量檢測到裝置的掃描或者暴力破解等行為。

假如某臺主機感染勒索軟體，勒索軟體試圖掃描其他主機埠進行網路偵察，基於身份的零信任策略將阻止該通訊，因為該主機未透過零信任網路認證、同時他的訪問行為、以及傳播鏈路都將被阻斷。這樣即使勒索軟體感染了內網主機，它所能造成的損害也僅限於此。

埠隱藏，避免惡意掃描傳播

在整個零信任架構中，還應用了SPA技術，彌補了TCP/IP開放且不安全性質的不足。在允許主機訪問其他主機或者應用的所在的網路之前先檢查裝置或使用者身份。SPA預設應用服務是被隱藏的，並丟棄所有TCP和UDP資料包，不回覆連線嘗試，從而不為潛在的攻擊者提供任何關於埠的資訊，只有在使用者得到認證和授權後，使用者才會被允許訪問該應用。

SPA技術很大程度上減少了掃描和相關偵查技術帶來的威脅。這種對未授權使用者不可見的規則，顯著減小了整個網路的攻擊面。除此之外的一個顯著優勢是，當某個新到的漏洞被發現時，如果只有被認證的使用者才能夠訪問受影響的服務，能夠使該漏洞的破壞性顯著減小，進而更好的保護內網應用。

持續評估，動態調整安全策略

零信任另一個關鍵的能力是對訪問鏈路持續評估、以及對評估結構能夠動態調整策略。在使用者對應用的訪問過程中從最初的認證到最終訪問登出，伴隨著持續的風險和信任的評估，根據不同的評估結果會進行動態的訪問控制。透過多方感知到安全資料的匯聚，零信任相關元件會將匯聚的資料結合資產組網、防護關係、歷史行為資料、安全事件等等，多維度對使用者、終端、網路訪問行為進行風險和信任分析。當訪問主體的信任級別與客體安全分析後的結果是平衡狀態的時候，才能保持應用訪問使用。否則會進行阻斷或者強行要求二次認證等決策。

零信任的這種能力對我們實時阻斷勒索軟體的攻擊是十分有利的，假使我們的使用者已經透過零信任體系的驗證，與應用建立訪問連結，但是在訪問過程中，主機被惡意攻擊並感染勒索軟體，零信任會透過前端主機裝置、網路行為等多個方面感知到異常，同時可以利用 SOAR能力建立基於劇本（Playbook）響應流程，自動化的聯動前端具備阻斷能力的裝置，實現終端網路訪問阻斷，切斷勒索軟體傳播的風險。

安全理念的提升       

美國政府已經逐漸意識到傳統防護思路的不足，在經過多年對零信任的研究、落地實踐中，形成了一套完善的零信任體系架構。本次透過政府釋出的“改善國家⽹絡安全的⾏政命令”的形式，要求採用零信任架構作為最佳實踐實現網路安全，足以可見零信任架構在應對網路攻擊的優勢。我們今後的網路安全規劃思路，也要從傳統網路安全架構逐步向零信任遷移，從實戰角度、業務視角出發，融入零信任思想，突破了傳統網路安全的界限，構建全網信任模型，在動態威脅環境中實時保障資料安全，以應對數字化經濟形勢下複雜多變的網路環境與威脅。