随着云计算的兴起,企业可以在线存储大量数据,并在任何时间任何地点访问这些数据。然而,这种便利是有代价的。网络犯罪分子始终在云计算中寻找漏洞,其中最令人担忧的威胁之一就是云勒索软件。
云勒索软件是一种恶意软件,它针对基于云的存储系统,并加密保存在云中的数据,使其无法访问,除非受攻击方同意支付赎金以换取解密密钥。虽然一些专家认为云勒索软件是一个神话,但其他人坚持认为这是一个真实的威胁,企业必须认真对待。
这篇文章探讨了云勒索软件的现实,并揭穿了围绕这种威胁的最常见的误解。
云勒索软件的工作原理很像传统的勒索软件。首先,网络犯罪分子会感染受害者的系统,通常是通过网络钓鱼电子邮件等社会工程策略,或者利用云提供商安全系统中的漏洞。一旦进入内部,云勒索软件就会扩散到整个基础设施,感染所有连接的设备和云存储系统。
攻击者会使用加密算法扰乱受害者的文件,使它们在没有解密密钥的情况下无法读取。这个密钥通常是由攻击者持有的私钥,攻击者提出在受害者支付赎金后将其提供给受害者。此外,威胁行为者还会试图窃取数据,以进一步利用这些数据,这种策略被广泛称为“双重勒索”。
全球企业对云勒索软件攻击的担忧持续增长,特别是随着越来越多的企业开始实施数字化转型项目,并将其数据和应用程序迁移至云端。随着Kubernetes(K8s)容器编排平台的崛起,许多组织怀疑自己是否有可能成为云勒索软件攻击的受害者。
简单的回答是“是的”。由于k8s的分布式特性,它们特别容易受到勒索软件攻击,这使得检测和遏制攻击变得极具挑战性。
勒索软件对k8s的攻击可以通过几种不同的方式实现。常见的方法包括Kubernetes API服务器漏洞,允许攻击者未经授权访问集群及其资源。一旦进入,攻击者就可以发起勒索软件攻击,加密文件并要求支付赎金以换取解密密钥。
勒索软件攻击k8s的其他潜在入口点是漏洞和错误配置。如果攻击者可以访问不安全的容器映像,他们就可以在映像中插入勒索软件,然后在映像部署到K8s集群时发起攻击。
为了防止k8s受到云勒索软件的攻击,实施全面的安全策略非常重要,其中包括定期的漏洞评估和渗透测试。此外,还必须确保K8s集群的所有组件都得到适当的保护,并且访问权限仅限于需要它的人。
防止k8受到云勒索软件攻击的其他最佳实践包括:
实现严格的访问控制,包括多因素身份验证和基于角色的访问控制(RBAC);
确保扫描所有容器映像以查找漏洞,并且只使用可信映像;
定期监视K8s集群的可疑活动,例如不寻常的文件访问或对配置文件的更改;
使用最新的安全补丁和更新所有K8s组件;
实施灾难恢复计划,包括定期备份关键数据和应用程序。
虽然k8s可能容易受到云勒索软件攻击,但组织可以采取措施保护自己,并将成为受害者的风险降至最低。通过实施全面的安全策略并遵循保护k8s的最佳实践,组织可以降低勒索软件攻击成功的可能性,并确保其数据和应用程序保持安全。
误解1:“云勒索软件并非真实的威胁”
现实:云勒索软件是一个真实的、日益增长的威胁。随着越来越多的企业将数据转移到云端,网络犯罪分子开发了新的技术来攻击基于云的系统。
根据Gartner在云计算方面的最新预测,全球企业在云服务上的支出将增加20.7%。如今,云服务和应用程序对于日常运营和安全越来越重要。
威胁行为者已经遵循了云采用的这些趋势,现在正在针对这一攻击面,专门设计了新一代勒索软件,以通过云基础设施传播并加密存储在其中的数据。由于云支持大量用户和敏感信息,它们已经成为威胁行为者的高价值目标。
误解2:“云服务提供商全权负责保护您的数据”
现实:虽然云服务提供商有适当的安全措施,但最终用户同样有责任保护他们自己的数据。云提供商通常会提供基本的安全措施(如防火墙),但具体效果还要取决于用户正确配置这些设置,并实现额外的安全措施,如多因素身份验证(MFA)和加密。
云服务提供商负责确保其基础设施和提供给客户的应用程序的安全性。这包括实施安全措施,如防火墙、防病毒软件和加密协议,以保护其系统免受网络威胁。它们还提供安全的存储、网络访问和数据传输。然而,他们并不承担保护企业数据的全部责任。
云共享责任模型
云安全是云服务提供商和客户之间的共同责任。提供商确保基础设施的安全性,包括物理数据中心、网络和服务器硬件。同时,客户负责保护他们的数据。客户的责任包括保护他们的帐户访问、配置他们的安全设置、管理他们的数据和监视他们的活动。
云共享责任模型已经成为云安全的关键工具,因为它帮助企业和云服务提供商明确谁负责什么,并确保有效的云安全。如果没有这样的模型,责任往往会被误解和混淆,导致出现安全覆盖缺口和工作重叠。
客户保护其云数据的责任
客户负责在数据存储、传输和使用期间保护其数据。这包括实现访问控制、加密和监控任何未经授权的活动。客户还应确保其数据已备份并存储在安全的位置。数据保护失败可能导致数据丢失、被盗或数据泄露。
误解3:“备份数据就足以抵御云勒索软件”
现实:备份敏感数据是防止任何类型的服务中断的第一步,包括来自恶意软件(如勒索软件)的恶意攻击。然而,至少从2020年开始,勒索软件威胁行为者开始转向使用“双重勒索”技术来对抗试图从备份和安全软件恢复数据的受害者,这些软件可能会将受感染的机器回滚到感染前的状态。威胁泄露或出售被盗数据现在是许多勒索软件团伙普遍使用的策略。
此外,如果企业成为攻击的受害者,安全负责人和技术团队必须从干净的备份中恢复数据,这可能很耗时。根据攻击的严重程度,从备份中恢复数据可能需要几天、几周甚至几个月的时间。在此期间,组织可能无法正常运作,导致生产力和收入损失。
在不同的位置拥有多个备份并定期测试它们,这对于确保它们在需要时能正确运行至关重要。如果备份过程不全面,或者没有定期进行备份,则可恢复的数据中可能存在空白。在这种情况下,一些数据可能会永久丢失。
网络犯罪分子的战术正在不断演变,新形式的勒索软件也可以针对备份或破坏备份。在这种情况下,即使有备份,数据也可能无法恢复。
误解4:“云勒索软件只影响大公司”
事实:云勒索软件可以影响任何在云中存储数据的组织,无论其规模大小。事实上,一些网络犯罪分子更青睐于选择以中小型企业(SMB)为目标,因为它们往往缺乏经验丰富的安全态势和专门的安全资源。
中小企业同样持有有价值的数据,例如客户数据、财务数据和潜在的大量本地客户的知识产权。勒索软件运营商知道,如果他们能成功地加密这些数据,他们就可以索要赎金来解密这些严重影响业务正常运行的数据。
由于锁定了快速支付的潜力,勒索软件运营商通常将中小企业视为更容易攻击的目标,因为它们更有可能迅速支付赎金,以避免业务中断。相比之下,较大的企业和全球性企业可能有更多的资源从勒索软件攻击中恢复,而无需支付赎金。
误解5:“支付赎金能100%确保你的数据返回”
事实:为了帮助应对勒索软件事件的风险,CISA发起了一项名为“终止勒索软件”(Stop Ransomware)的持续全面运动,为企业提供关键的最佳实践和关于他们面临的威胁的知识。
这场运动最重要的提醒之一是,在遭遇攻击时,要坚决劝阻企业支付赎金。CISA警告称,由于支付勒索软件并不能完全确保数据将被解密,或者系统及数据将不再被破坏,因此联邦执法部门不建议受害组织支付赎金。此外,美国财政部也警告说,这些付款有遭受美国外国资产控制办公室(OFAC)制裁的风险。因此,预防仍是关键。
此外,即便支付了赎金,也不能保证攻击者会向受害者提供解密密钥。在活跃事件期间进行数据备份并与网络安全专家合作,可确保文件恢复而无需支付费用。
误解6:“云勒索软件很容易预防”
现实:如果组织没有适当的安全控制,云勒索软件很难预防。一旦攻击站稳脚跟,它可以在整个组织中迅速传播,因为它通常在后台默默地运行,加密关键数据而不会破坏日常工作流程。安全团队必须定期监控其基于云的系统,以了解云中相关设备上的任何异常活动和云工作负载保护。
本质上,云环境是高度动态的,资源不断地被创建、销毁和移动。这使得建立正常活动的基线变得困难,更难识别与勒索软件相关的异常行为。
此外,云环境通过多层抽象工作,这可能会导致安全团队在维护底层基础设施的完全可见性方面出现问题。例如,虚拟机可能运行在由云提供商管理的物理服务器上,因此很难检测到在虚拟机中运行的勒索软件。
误解7:“防止云勒索软件太过昂贵”
事实:虽然实现加密和MFA等安全措施可能会带来更大的前期成本,但勒索软件攻击的成本肯定要高得多。在IBM的《数据泄露成本报告》中,美国数据泄露的平均成本为944万美元,比全球平均成本高出509万美元。该报告指出,勒索软件攻击的破坏性越来越大,近一半的数据泄露发生在云中。
当组织推迟实施新的安全措施时,通常不会考虑攻击后的成本。数据泄露后,公司通常会面临长期的财务损失,这些损失往往是不可逆转的,如果严重到一定程度,可能会使公司面临丧失抵押品赎回权的风险。严重网络攻击后的常见成本包括:
经济损失——数据泄露可能会给受影响的个人或组织造成经济损失。这些损失可能来自财务信息被盗,欺诈,或由于组织声誉受损而导致的业务损失;
声誉损害——数据泄露会损害组织的声誉,导致客户信任和忠诚度的丧失。这种损害可能是长期的,而且难以修复。损失还包括任何潜在客户和未来的商业机会;
法律问题——数据泄露可能会导致法律问题,例如受影响的个人提起诉讼或因不遵守数据保护法规而受到监管罚款;
增加安全成本——数据泄露后,组织可能需要增加安全措施,以防止未来的泄露。这可能会增加安全人员、软件和硬件的成本;
身份盗窃——如果个人信息,如社会安全号码或信用卡信息在数据泄露中被盗,受影响的个人可能在未来几年面临身份盗窃的风险。
参考及来源:https://www.sentinelone.com/blog/a-myth-or-reality-debunking-misconceptions-surrounding-cloud-ransomware/