当地时间5月7日,美国ColonialPipeline公司遭遇勒索软件攻击,被迫暂停运营,直接导致了美国东部沿海各州的关键管道被迫关闭,影响到了美国东海岸45%的燃料供应。最终该公司向黑客支付了巨额赎金,以此来解除对于关键数据的勒索。支付赎金之后,Colonial公司也逐步恢复了运行。
此次美国网站遭勒索停运,给整个能源行业敲响了警钟。能源行业作为关系国计民生的关键基础设施,安全问题至关重要。此前的勒索攻击事件最严重的影响是带来大规模数据泄露或者支付巨额赎金,但是这次发生在能源行业的网络勒索软件事件,直接大范围影响到现实社会安全,甚至推动了美国政府发布“改善国家网络安全的行政命令”来提高国家网络安全防御能力。
如今,政府和企业同时面临着一个不断演变的网络威胁环境。最初的黑客攻击是为了炫耀和获得影响力而实施网络攻击,而现在已演变成为了经济、政治等目的的攻击。勒索软件的目的更直接,就是通过加密文件来勒索额赎金。
勒索软件也从最初的AIDStrojan再到CryptoLocker,CTBLocker等。直至WannaCry勒索蠕虫大规模爆发,常规的勒索木马技术日益成熟,已将攻击目标从最初的大面积撒网无差别攻击,转向精准攻击高价值目标。比如直接攻击医疗行业,企事业单位,更有甚者破坏对方的服务甚至国家的基础设施。关键信息基础设施关系着国计民生,是经济运行和社会稳定的基础,也是网络安全防护的重中之重。随着经济社会对网络的依赖程度不断加深,关键信息基础设施安全防护更加紧迫。网络空间军事化,网络工具平民化,网络攻击常态化日趋明显,关键信息基础设施已成为网络攻击的主要目标。
Colonial公司在紧急处理勒索事件的同时,美国总统拜登发布“改善国家网络安全行政命令“,呼吁联邦政府和私营部门合作,共同应对威胁美国安全的"持续不断、越来越复杂的恶意网络活动"。其中的重点一项就是联邦政府必须采⽤最佳安全实践;迈向零信任架构,增加对安全最佳实践的采用,并持续部署基础安全工具,如多因素身份验证和数据加密。
美国颁布行政命令,零信任将作为重要的一个举措应用于网络安全领域,同时要求NIST制定实施零信任架构的计划,以确保零信任能够完全发挥作用。零信任架构的先进性弥补传统防护理念在应对勒索攻击中的先天不足,能够极大减少攻击暴露面,以及横向移动的可能,最大限度保证内网应用以及数据安全。
零信任架构指⼀种安全模型,基于对传统⽹络边界之内和之外都存在威胁动态协调⽹络安全和系统管理策略。零信任消除了对任何单一元素,节点或服务的隐式信任,⽽是需要通过来⾃多个数据源的实时信息对操作行为进⾏连续验证,以确定访问链接合规。在应对勒索软件的过程中,零信任架构确实具备得天独厚的三大优势:
Ø 环境感知,多方验证终端可信
Ø 端口隐藏,避免恶意扫描传播
Ø 持续评估,动态调整安全策略
勒索软件主要通过钓鱼邮件,操作系统和应用程序漏洞,以及账号密码暴力破解等方式传播。一旦感染某台主机,勒索软件会以类似于蠕虫病毒的方式进行横向传播,来达到加密更多的文件、勒索更高额赎金的目的。
在零信任环境中,所有通信都被视为不信任,除非这种信任关系能够得到证明,而且这种证明也必须是多方面的证明,终端层面要实时监测主机状态,包括主机入侵检测,主机防护响应任务调度,主机环境陷阱设置,主机杀毒以及主机基线等情况。身份层面通常利用双因素认证或多因素认证的加强,通过短信、指纹、令牌多种认证方式建立一个多层次的身份验证层面的防御,人员在经过认证之后才能实现对应用层面访问。在网络层面会持续判断主机行为,终端接入网络之后就会对其网络行为进行检测,即使设备感染了新颖的勒索软件,安装在设备上的防病毒软件无法检测,但在网络上,可以通过网络流量检测到设备的扫描或者暴力破解等行为。
假如某台主机感染勒索软件,勒索软件试图扫描其他主机端口进行网络侦察,基于身份的零信任策略将阻止该通信,因为该主机未通过零信任网络认证、同时他的访问行为、以及传播链路都将被阻断。这样即使勒索软件感染了内网主机,它所能造成的损害也仅限于此。
在整个零信任架构中,还应用了SPA技术,弥补了TCP/IP开放且不安全性质的不足。在允许主机访问其他主机或者应用的所在的网络之前先检查设备或用户身份。SPA默认应用服务是被隐藏的,并丢弃所有TCP和UDP数据包,不回复连接尝试,从而不为潜在的攻击者提供任何关于端口的信息,只有在用户得到认证和授权后,用户才会被允许访问该应用。
SPA技术很大程度上减少了扫描和相关侦查技术带来的威胁。这种对未授权用户不可见的规则,显著减小了整个网络的攻击面。除此之外的一个显著优势是,当某个新到的漏洞被发现时,如果只有被认证的用户才能够访问受影响的服务,能够使该漏洞的破坏性显著减小,进而更好的保护内网应用。
零信任另一个关键的能力是对访问链路持续评估、以及对评估结构能够动态调整策略。在用户对应用的访问过程中从最初的认证到最终访问注销,伴随着持续的风险和信任的评估,根据不同的评估结果会进行动态的访问控制。通过多方感知到安全数据的汇聚,零信任相关组件会将汇聚的数据结合资产组网、防护关系、历史行为数据、安全事件等等,多维度对用户、终端、网络访问行为进行风险和信任分析。当访问主体的信任级别与客体安全分析后的结果是平衡状态的时候,才能保持应用访问使用。否则会进行阻断或者强行要求二次认证等决策。
零信任的这种能力对我们实时阻断勒索软件的攻击是十分有利的,假使我们的用户已经通过零信任体系的验证,与应用建立访问链接,但是在访问过程中,主机被恶意攻击并感染勒索软件,零信任会通过前端主机设备、网络行为等多个方面感知到异常,同时可以利用 SOAR能力建立基于剧本(Playbook)响应流程,自动化的联动前端具备阻断能力的设备,实现终端网络访问阻断,切断勒索软件传播的风险。
美国政府已经逐渐意识到传统防护思路的不足,在经过多年对零信任的研究、落地实践中,形成了一套完善的零信任体系架构。本次通过政府发布的“改善国家⽹络安全的⾏政命令”的形式,要求采用零信任架构作为最佳实践实现网络安全,足以可见零信任架构在应对网络攻击的优势。我们今后的网络安全规划思路,也要从传统网络安全架构逐步向零信任迁移,从实战角度、业务视角出发,融入零信任思想,突破了传统网络安全的界限,构建全网信任模型,在动态威胁环境中实时保障数据安全,以应对数字化经济形势下复杂多变的网络环境与威胁。