为勒索软件防御添加新维度

勒索软件是一种特别无情的尝试。犯罪分子以学校、重要基础设施甚至患者记录为目标 在精神病治疗机构.美国国土安全部将其视为头号威胁,安全专家将防御性勒索软件策略列为他们的首要任务。与其他所有网络安全计划一样,纵深防御对于有效的勒索软件保护是不言而喻的。建立内容意识是一种简单易行的方法,可以为您的反勒索软件策略添加另一层。

勒索软件防御

可以理解,大多数防御策略都是从最大限度地减少攻击者在组织 IT 环境中找到的立足点开始的。检查入站电子邮件中是否存在勒索软件负载,为用户提供有关互联网“街头智慧”的实用建议,以及监控网络是否存在可疑活动,这些都是有效反勒索软件策略的基本要素。新兴的基于 AI 的数据治理解决方案为对抗勒索软件提供了额外的武器:通过对内容的深入洞察而获得的态势感知。

内容意识可构建勒索软件弹性。要了解原因,将自己置于对手的鞋子(或键盘后面)并思考他们如何计划、执行攻击并从中获利是有帮助的。了解攻击过程并深入了解您的内容后,您将拥有在勒索软件事件发生之前、期间和之后最大限度地减少损害所需的一切。

所以,让我们从攻击者开始的地方开始——建立立足点。攻击者使用加密使有价值的数据无法访问。为此,他们需要控制帐户。理想情况下(当然,从攻击者的角度来看),受感染的帐户将可以访问各种关键业务数据。实际上,这是掷骰子。攻击者的社会工程和恶意电子邮件活动诱捕随机目标。

这就像阿甘正传的一盒巧克力。一旦帐户被盗用,这个盒子就会打开。有时,该帐户充满了好东西,可以访问各种文件和数据。其他帐户几乎是空盒子,访问权限要有限得多。如果你在防守,你的目标是保持禁区关闭。而且,万一攻击者设法撬开​​它,如果里面没有太多好东西,那就太好了。

今天的大部分 勒索软件缓解策略 专注于保持盒子关闭,这是有道理的。人们对管理盒子里的巧克力的关注较少。最低权限数据访问模型旨在仅授予用户访问他们需要的数据的权限,是在可能发生的帐户泄露事件中限制暴露的好方法。最小特权不是一种预防策略。这是一种损害限制策略,它假设(正如您应该的那样)勒索软件攻击者最终将控制您的一个或多个帐户。

但如果最小特权有效,为什么这种做法不更普遍?一个典型的组织管理着 1000 万个文件,从野餐邀请到私人财务文件。这些文件中约有三分之一是关键业务(因此勒索软件犯罪者感兴趣)。这是一个令人生畏的文件,其中包含一系列内容,即使是熟练的 IT 团队也可能难以评估、理解和保护。

无论好坏,这意味着最终用户通常负责谁可以看到和不能看到他们的内容。有时,关键的源代码文档或嵌入客户信息的电子表格会比必要的更广泛地共享。由于过度共享,大约 12% 的关键业务文档面临勒索软件入侵的风险。

为了帮助降低风险,基于 AI 的数据访问治理技术通过使用自然语言处理算法扫描组织的数百万份文档来对内容进行分类并检测过度共享,从而提供帮助。这是一个强大的工具,有助于限制不必要的访问——以及随之而来的勒索软件风险。

当涉及到检测正在进行的攻击时,内容感知也有帮助,因为勒索软件漏洞利用与其他网络犯罪在一个关键方面不同:犯罪分子不需要拥有数据。由于数据不会移动,外围的安全措施无法很好地发现或阻止正在进行的攻击。这改变了检测情况:安全专业人员需要密切关注整个组织中数量惊人的文件,而不是几个外围控制点。

因此,勒索软件攻击检测策略寻求在文件级别监控加密活动和加密工件。通过在攻击前建立基线,区分常规活动和恶意活动要简单得多。如果基线包括对该内容的业务重要性的洞察,您可以检测不需要的加密并评估威胁以做出更有效的缓解决策。

最后,如果您发现自己面临赎金要求,内容意识是无价的。在任何情况下,决定是否支付恢复数据的费用都是一个艰难的决定,但在完全了解哪些数据有丢失风险的情况下做出这个决定,比不知道什么是危险的数据要好得多。您的攻击者通常不知道他们拥有的东西是重要的还是微不足道的。内容意识可以让你占上风。

毫无疑问,勒索软件是网络犯罪军备竞赛的升级。通过使用最低权限访问控制来增强您的反恶意软件和反网络钓鱼工作,您可以在发生攻击时将损失降至最低。内容和活动意识建立了一个基线,可以更容易地发现不需要的加密,并更快、更有效地缓解活动。如果您发现自己正在就赎金进行谈判,您会很高兴自己清楚了解哪些数据处于危险之中。




分享这个