反思：网络勒索攻击事件频发，企业网络安全该如何防护？ – 作者:AnGeek

当地时间 2021 年 5 月 7 日，美国最大成品油类管道公司 Colonial Pipeline 受到勒索病毒攻击，导致系统下线，所有管线停止运营。此次勒索病毒攻击在许多维度上是网络安全史上迄今为止最严重的，几乎使美国东南部瘫痪，并给 Colonial Pipeline 造成数百万美元的损失。

丨美国最大成品油类管道公司Colonial Pipeline （图源：BBC网站）

据报道，尽管 Colonial Pipeline 向黑客组织 DarkSide 支付了近 500 万美元的赎金，但黑客提供的解密工具速度非常慢，公司不得不依靠自己的备份来恢复服务。

就在美国燃油类管道被攻击事件不久后，爱尔兰也遭受了史上“最严重的网络攻击”，其卫生部门的 IT 系统在勒索事件中被迫关闭，在线预约接种疫苗也被迫中断，对爱尔兰疫情防控带来了巨大影响。

丨网络图

有调查报告预计，2021 年每 11 秒将发生一次勒索攻击，带来的直接经济损失将超过 300 亿美元，是 2015 年的 57 倍。频发的勒索攻击事件是一个不容忽视的警告，企业在不断增强自身网络安全防范意识的同时，也对新的安全技术——零信任产生了更加迫切的需求。

让我们看看零信任如何能够帮助减少勒索病毒和其它网络攻击造成的损害：

01. 限制横向移动

传统边界安全防护手段（例如防火墙）的最大问题是，入侵者一旦突破防火墙进入内网，便可以畅通无阻，随意访问到包括核心数据和业务等企业敏感信息。零信任安全架构可以 “在没有墙的地方筑起墙” ，将安全性嵌入到 IT 架构的 DNA 中。零信任安全架构有三大实现技术——SDP 即软件定义边界、IAM 即身份识别与访问管理、MSG 即微隔离。

SDP 在网络的第3层和第4层（网络层和传输层）上运行，根据权限和策略创建细粒度的链接/通信关系，并根据关系来限制横向移动，屏蔽关系外的连接。

丨网络图

02. 限制非法访问

举个例子，一个企业的关键应用只有特定的用户可以访问，SDP 通过服务隐藏功能阻止来自其他用户和互联网的访问请求，使端口无法被探测到，从而限制非法访问，极大降低遭受勒索病毒/黑客攻击的风险。

丨网络图

03. 限制物理访问

由于很多行业的特殊性，导致物理设施比网络更容易遭受攻击，SDP 技术与 MSG 技术的结合可以实现物理访问的限制。其中，不仅仅是基于 IP 地址来分区并隔离网络，并且基于业务的重要性，将设备识别并分组，通过用户、群组、协议、网络等策略来限制对设备的访问（甚至考虑一天中的访问时间），以保护更易受攻击的设备。

| 传统网络安全边界防护与微隔离防护

物联网设备和传感器的应用也是造成许多行业关键基础设施独特漏洞的因素。同样可以通过 MSG 技术进行适当的分区和隔离，并通过 SDP 技术为进出流量建立”检查站“。

04. 零信任的工作原理

零信任是一种安全理念，其架构是基于以下原则：默认一切试图接入的设备/用户/网络等皆不可信，从零开始构建信任。完整的零信任安全架构离不开三大实现技术——SDP 即软件定义边界、IAM 即身份识别与访问管理、MSG 即微隔离。三者相辅相成、缺一不可。

丨完整的零信任安全架构

自成立以来，安几网安一直将“让智能世界更安全，为数字化保驾护航” 列为首要使命。凭借持续的研发和创新，独立研发出具有自主知识产权的专利级智能零信任网络安全产品，并作为代表厂商出现在多份行业报告中，成长为中国领先的零信任网络安全厂商。

安几天域智能零信任网络安全产品在数字化时代协助企业轻松升级至下一代网络架构，为企业重新构建信任及以软件定义的边界，解决信息泄露、IT特权、网络攻击等长期痛点。通过结合前沿科技技术，确保企业核心数据及业务的安全，实现自适应安全与完整的P2DR安全模型，应对新基建时代的新挑战。

来源：freebuf.com 2021-07-06 15:45:18 by: AnGeek