勒索软件防御的盲区：端点麻木

2021年勒索软件已经成为全球企业的头号威胁，总结2020年勒索软件攻击事件的经验教训、漏洞和弱点，构建有效的勒索软件防御体系，已经成为企业安全主管们的重要议题。

近日，网络安全公司Illumio发布了远程端点可见性和安全性实践的调查报告，揭示了企业容易受到勒索软件攻击的原因，以及勒索软件攻击给企业带来的影响。

报告认为，疫情下全球远程办公人数激增，使得企业端点正在变得“麻木”，成为勒索软件的最佳突破口。大多数企业和组织都严重缺乏对远程端点的可见性，很少有企业能够阻止勒索软件在最初的漏洞被利用后在整个企业网络中传播。当员工将笔记本电脑带回办公室并连接到园区网络时，易受攻击且可能受到感染的端点会造成更大的损害。

Illumio的报告调查了344家大中型企业的IT专业人员，发现59％的受访者无法看到尝试通过本地家庭网络上的其他设备连接到员工工作笔记本的设备。

调查还显示，有45％的受访者表示可见性仅限于VPN，而26％的受访者依靠其端点检测和响应（EDR）工具查看员工本地家庭网络上的流量和连接。

尽管安全团队希望部署软件定义的边界（SDP）来取代VPN，但调查显示，VPN在网络安全方面仍然发挥着举足轻重的作用，90％的受访者要求员工至少在某些时候使用VPN。

由于VPN无法看到家庭网络的流量，因此企业IT团队容易产生错觉，认为从VPN中获得的可见性就足够了。实际上，这使他们对办公设备所处的真实环境视而不见。报告指出，家庭网络上的设备很容易受到不知情的对等或横向攻击。这些脆弱的端点可能使整个组织面临系统性风险，即使员工通过VPN连接工作时也是如此。而一旦员工开始返回办公室，将可能被入侵的设备连接到公司网络会构成更大的威胁。

在勒索软件防御中，端点+零信任才是最有效的纵深防御策略。

勒索软件的“雪天”（即组织由于攻击而瘫痪的时间）可以对企业造成极大的损害。81％的用户至少需要两到三天时间才能完全恢复，而此时的工作负载不到日常的四分之一。这意味着至少要损失整个工作日的生产力。

尽管所有企业都在关注勒索软件，但数据表明他们没有足够的能力来防范或遏制勒索软件。74％的受访者指出，他们仅依靠端点检测和响应工具来遏制勒索软件的传播，期望它们能够阻止每次初始攻击，检测其恶意行为并在检测到病毒后隔离感染的端点。这种单一防线使企业容易受到新威胁或经过修改的威胁的攻击，这些新威胁在数小时或数天内未被发现，然后横向转移到其他端点和数据中心。

该调查还询问了受访者，他们如何计划在发生安全事件时阻止勒索软件在笔记本电脑之间移动。尽管零信任技术继续受到关注，但大多数组织尚未部署零信任控件来主动遏制勒索软件的横向移动或传播。取而代之的是，大多数企业仅依靠传统的端点安全性（下一代防病毒、端点检测和响应等）来阻止勒索软件的初始访问。

“EDR和EPP解决方案是大多数网络安全战略的重要组成部分，但勒索软件在2020年取得的巨大成功表明，单靠这些还不够。”Illumio首席技术官PJ Kirner说道。“安全团队需要更加纵深的防御，尤其是在端点上，他们需要从端点到数据中心和云的端到端策略，这是阻止勒索软件在整个网络中传播并不能染指高价值数据的唯一方法。特别是当我们大规模浏览混合工作模型时，组织将零信任策略纳入其网络安全方法至关重要。”

令问题雪上加霜的是，受疫情和远程办公影响，2021年企业可能会减少或推迟对园区网络安全技术的投资。

调查显示，IT团队在2021年将网络安全支出列为优先事项，但会减少防火墙（30％）、Wi-Fi技术（26％）和网络访问控制（25％）的支出。这意味着企业可能会尝试充分利用现有的资源，因此，随着劳动力的回流并开始在远程和办公网络之间轮换，到2021年，企业将更容易受到不断演变发展的安全威胁的攻击。