Akamai 收购 Guardicore 以拓展 Zero Trust 解决方案,从而更好地帮助客户抵御勒索软件攻击。 阅读全文

Dark background with blue code overlay

博客

Akamai + Guardicore:端到端 Zero Trust

Akamai blue wave

Written by

Dr. Robert Blumofe and Ariel Zeitlin

November 03, 2021

bobby-blumofe-blog-ransomware.png

随处可见:勒索软件攻击呈现爆炸式增长,根据某些指标衡量,其在 2020 年的增长幅度 超过 150% 。犯罪分子在发明访问网络和系统的新方法,攻击面也在扩大。不仅如此,随着在家办公的趋势延续,以及支持互联网的设备不断增多,导致这种威胁只会变得越来越大。考虑到这一趋势,我们对于 Akamai 和 Guardicore 正式联手感到激动不已。勒索软件固然带来了巨大的挑战,而我们两家公司在合并之后,也拥有了切实可行的机会来有效防范攻击。我们可以携手对抗不断涌现的威胁。

勒索软件是一个复杂的问题,但就防范勒索软件而言,可归结为一个简单的原则:不管是什么端点,都需要检查和控制所有流量流动。 

关键在于,勒索软件要执行它的功能,就必须移动。无论它来自哪里,它都必须找到一个可以访问和加密高价值数据的地方。这种移动通常需要多次跳跃(跨越多个设备和服务器)。每次跳跃都是一次流量流动,可能是纵向(即在用户设备和服务器之间移动),也可能是横向(即在服务器之间移动)。因此,要阻止勒索软件,就必须检查和控制所有流量流动,以确认该流量已获得授权,且不包含恶意软件。

随着 Akamai 和 Guardicore 如今完成合并,我们有能力实现这一战略。利用我们的联合技术,客户能够检查和控制其企业的纵向和横向流量流动。

malware1v2.png

攻击者究竟是如何获得访问权限的? 

攻击者可利用多种策略在企业中获得最初的立足点。第一次跳跃便是获得这个立足点。攻击者用于第一次跳跃的策略包括网络钓鱼、偷占、利用被盗凭据、利用面向公众的应用程序的漏洞以及在现实中接触笔记本电脑或服务器。对勒索软件的防御需要考虑所有这些策略。

在防御网络钓鱼时,往往过度依赖于培训。当然,培训十分重要,但不应完全让员工来确定某事是否可疑,因为威胁形势以及犯罪分子使用的工具变化得太快了。理想情况下,在员工不得不做出任何判断之前,技术应优先进行干预。技术还有助于纠正人为错误,从而提供另一层防御,例如,即使员工点击了恶意链接,技术也可以阻止可疑网站。

Akamai 提供了一些产品,可以在勒索软件试图获得立足点时,在第一次跳跃过程中阻止它。 

  • 我们的 DNS 防火墙和我们的安全 Web 网关 (SWG)(两者都是 Enterprise Threat Protector 的一部分)可以通过主机名和 URL 过滤来阻止对网络钓鱼网站和偷占网站的访问 

  • 我们可防止网络钓鱼的多重身份验证 (MFA)(最好没有任何一个因素是密码)可以阻止那些试图使用被盗凭据的攻击者 

  • 我们的 Zero Trust 访问产品(如今被称为 Enterprise Application Access)可确保服务器只对已经过身份验证和授权的用户可见,从而阻止攻击者利用服务器漏洞 

  • 此外,我们的 Web 应用程序防火墙 (WAF) 可以确保流量不包含任何攻击,毕竟,即使是授权访问也可能包含攻击

防止勒索软件传播 

当然,没有任何防御是完美的,那么,如果攻击者找到了入侵的方法,情况会怎样?当供应链成为攻击目标,且攻击者立即获得网络访问权限时,情况会怎样? 

虽然我们都希望防患于未然,但现实是,威胁偶尔会绕过防御措施。企业必须部署一个策略,以在勒索软件突破了这些初始防御后,保护关键信息和基础架构。这就是为什么也必须检查和控制横向流量(或内部的服务器间流量)。在大多数情况下,勒索软件至少需要执行一次横向跳跃,以找到高价值数据并造成损害。此外,在通过实地接触发起的攻击中,阻止攻击在服务器间跳跃可能是您防止勒索软件传播的唯一机会。

Guardicore 的 微分段技术 是阻止恶意软件在企业内部传播的一项重要保护手段。此技术从逻辑上将企业划分为不同的分段,每个分段都有自己明确的安全控制措施,因此,每个进程只能与它需要通信的其他进程进行通信。这种方法解决了恶意软件通过横向移动在企业内扩散的问题。

下一个前沿领域

通过 Akamai 和 Guardicore 的解决方案来对所有企业流量进行检查和控制,我们正在开辟一个新领域:没有边界的企业。

许多企业仍在运用“带有防火墙的受保护企业网络”这一过时的概念来处理安全问题。但这种方法并不符合随时随地办公的云优先环境的要求。面向公众的应用程序、虚拟化服务器、本地技术与云技术的混合,这些因素意味着,“受保护的边界”安全方法(用户或应用程序要么位于网络中并受到信任,要么位于网络外且不受信任)使企业极易受到攻击。原因有二:一是,如果这些防御措施失败(或攻击者可以访问受信任的设备),就没有什么东西可以阻止攻击者了;二是,企业既要通过传统的安全防御措施来保护基于云的应用程序和基础架构,又要保持性能,要做到这一点非常困难。随着在家办公模式继续模糊个人和工作、家庭和办公室之间的界限,这种复杂性必然会进一步增加。

我们需要完全接受 Zero Trust 的概念,摆脱“企业网络内的任何东西都可以信任”的想法。特别是,随着远程工作继续成为常态,所有对公司系统的访问都应被视为远程访问,任何设备(无论是实习生的设备还是 CEO 的设备)都不应具有完全的、不受限制的访问权限。这有助于阻止攻击者利用漏洞,并确保在一台设备遭到入侵时,整个企业生态系统不会遭到入侵。

当我们处理企业安全性时(无论最终用户、地点或设备如何),只要确立一个统一的前提(任何流量都是不可信任的),那么,企业的防御就会强大很多。全面的 Zero Trust 方法将 Akamai 和 Guardicore 的保护措施结合到了一起,使得勒索软件很难对您的环境造成破坏。



Akamai blue wave

Written by

Dr. Robert Blumofe and Ariel Zeitlin

November 03, 2021