勒索軟件攻擊的復雜性和頻率繼續增長。根據 Akamai 首席技術官 Robert Blumofe 的說法，勒索軟件已經成為“一種可重復、可擴展、賺錢的商業模式，徹底改變了網絡攻擊格局。”

例如，網絡犯罪巨頭 Conti 的運營方式與它所針對的企業非常相似——擁有人力資源部門和月度最佳員工——不僅旨在賺錢，而且還進行出于政治動機的攻擊。（在2022 年上半年勒索軟件威脅報告中了解更多信息。）

另一個令人擔憂的發展：雖然勒索軟件仍然主要針對大型組織，但越來越多的中小型組織成為受害者。伊利諾伊州林肯學院于 2022 年 5 月宣布，它將在 157 年后關閉大門，理由是勒索軟件攻擊是一個促成因素。

如何避免勒索軟件災難

對于組織來說，采取強有力的措施來阻止勒索軟件訪問其 IT 環境（通常稱為南北移動）具有良好的安全意義。但日益復雜的流量加上分散的勞動力讓許多安全團隊迎頭趕上，并在權衡取舍上做出艱難的決定。

在這個入侵后的世界中，專注于實施微分段以確保組織能夠阻止勒索軟件攻擊——除了預防攻擊之外——可能是確保沒有災難的最佳方法。

微分段的力量

微分段完成了組織現在迫切需要的兩件事。首先是能見度。執行零信任政策——這是最終目標——首先要了解受保護的資產以及它們如何（以及應該如何）相互通信。

微分段有助于實現這一目標：使用人工智能 (AI) 和機器學習，微分段可以對流量進行分類并標記數據，從而加快策略創建的速度。然后，安全團隊可以確信這些規則將執行所需的操作：在不中斷業務的情況下防止惡意操作。

其次，微分段支持細化策略，限制橫向移動并禁止惡意行為。這是勒索軟件的致命一擊。如果它不能在您的 IT 環境中橫向（東西向）傳播，它就無法訪問您的寶貴數據并對其進行加密。

人工智能輔助

從微分段開始防御策略的另一個好處是，人工智能正在幫助我們所有人組織、保護和理解我們用來開展業務的大量數據。因此，無論您身處哪個行業，使用 AI 映射所有數據和信息流都可以讓您更有機會在日益復雜的網絡攻擊中保持領先地位。

為什么微分段是限制勒索軟件損害的最佳方式？

正如我們從泄露的 Conti 文件中了解到的那樣，威脅行為者在獲得網絡控制權之前不會開始加密機器，而網絡控制權是通過在整個環境中橫向傳播來實現的。

他們最初訪問網絡通常不是通過特別有價值的設備，而是經常通過被網絡釣魚電子郵件欺騙并點擊在他們的設備上下載勒索軟件的鏈接的用戶。加密那臺機器對威脅行為者來說幾乎沒有價值；他們必須橫向移動以發現更有價值的資產，這些資產包含有價值的信息，例如客戶詳細信息、信用卡信息、健康記錄和其他個人身份信息。

為了防止這種移動發生，基于代理的微分段在邏輯上將企業網絡和資產劃分為多個部分，每個部分都有自己定義明確的安全控制。它還允許在細分市場內制定策略，具體到單個機器、流程和服務。這些控制確保每個進程只與執行其功能所必需的其他進程通信。

強大的勒索軟件防御策略的五個方面

強大的防御不僅是阻止橫向移動，還包括檢測威脅的存在。構建強大的勒索軟件防御策略有五個方面，微分段解決了所有五個問題。

為確保您的組織不成為勒索軟件的受害者，您需要：

1. 準備您的 IT 環境
2. 防止移動
3. 檢測嘗試訪問
4. 補救攻擊
5. 恢復和還原操作

準備您的 IT 環境

識別其中運行的每個應用程序和資產。微分段為您提供了這種級別的精細可見性，可幫助您快速映射關鍵資產、數據和備份，并更好地識別漏洞和風險。有了您的網絡環境的全貌，您可以快速響應，激活可以阻止違規的規則。

防止移動

創建規則以阻止常見的勒索軟件傳播技術。軟件定義的分段圍繞關鍵應用程序、備份、文件服務器和數據庫創建零信任微邊界。分段策略還可以限制用戶、應用程序和設備之間的流量，以阻止任何惡意橫向移動的嘗試，而不會觸發誤報。

檢測嘗試訪問

通過警報檢測任何被阻止的對分段應用程序和備份的訪問嘗試。這可以與基于信譽的檢測協同工作，提醒您已知惡意域和進程的存在。快速發現未遂攻擊可最大程度地減少停留時間并增加捕獲攻擊者的幾率。

補救攻擊

您可以使用微分段的自動威脅遏制和隔離措施來補救攻擊。當檢測到攻擊時，隔離規則允許快速斷開受影響的網絡區域，而分段策略則阻止對關鍵應用程序和系統備份的訪問。

恢復和還原操作

當網絡的不同區域被確定為完全暢通時，使用可視化功能逐漸恢復連接。