資訊中心管理
叡揚資安 發布網路微分段實戰對策 應對 LockBit 勒索軟體攻擊
下一篇 - 複雜的事情簡單做,簡單的事情自動做 Servicenow 將企業工作流程化繁為簡
前往目錄

叡揚資安 發布網路微分段實戰對策 應對 LockBit 勒索軟體攻擊

撰文 | 整理及翻譯│叡揚資訊 資安直屬事業處
隨著數位環境日趨複雜,資訊安全成為企業不可忽視的議題。作為資訊安全領域的領先者,叡揚資安一向以保護企業資產、確保客戶數據安全為己任。然而,近期 LockBit 勒索軟體攻擊事件,再次凸顯數位環境中企業面臨的極大威脅。全球眾多企業紛紛受到影響,不僅對業務運營造成嚴重困擾,更引起業界對資安措施的重新反思。

隨著數位環境日趨複雜,資訊安全成為企業不可忽視的議題。作為資訊安全領域的領先者,叡揚資安一向以保護企業資產、確保客戶數據安全為己任。然而,近期 LockBit 勒索軟體攻擊事件,再次凸顯數位環境中企業面臨的極大威脅。全球眾多企業紛紛受到影響,不僅對業務運營造成嚴重困擾,更引起業界對資安措施的重新反思。

eis112 17 1

勒索軟體的崛起使得大多數企業感受到一種無法避免的災難,強調預先制定網路災難應變計劃的重要性。叡揚資安深知單一防禦手段已無法應對日益複雜的威脅,為進一步強化網路的零信任微切分,叡揚資安引進 Illumio 網路微切分技術,將幫助企業更全面、更穩固地保護和管理資訊資產。引進 Illumio 的決策是叡揚資安持續致力於提升資訊安全水準的一部分,並期待透過這一產品為企業所身處的環境之資訊安全帶來更卓越的保護。

叡揚資安在此篇網路微切分實戰指南中, 提供更具體的對應 LockBit 勒索軟體的對策,讓企業能夠有效應對勒索軟體攻擊的威脅。Illumio 網路微切分利用阻止東西向橫向傳播來幫助組織預防網路災難。使用 Illumio 網路微切分技術,能在漏洞發生時,很快將其遏制。Illumio 禁止攻擊超越它劫持的第一個工作負載,並防止有價值的數據丟失。以下將引導您瞭解 LockBit 攻擊事件,以及 Illumio 可以如何防禦:

什麼是 LockBit ?

LockBit, 一個自 2019 年開始活躍的勒索軟體即服務的營運組織,長期以來屢次登上新聞頭條。雖然通常被歸類為 ABCD 勒索軟體之一,但近年來, LockBit 已逐漸崛起成為主要的資安威脅,佔據了 2022 年已知攻擊的 48%。

作為一種惡意軟體,LockBit 主要透過電子郵件附件和 Cascade 文件系統對組織發動攻擊。與其他針對企業和個人的勒 索軟體有所不同,LockBit 的影響主要集中在企業和政府組織。一旦被感染, LockBit 將利用 SMB 和 PowerShell 透過網路上的其他設備傳播。這些攻擊的主要焦點在 Windows 和 Linux 設備。讓我們深入瞭解這個組織在實際案例中的行動。

LockBit 勒索軟體 攻擊的實際案例

這正在影響世界各地的企業和機構。就在去年夏天,一家擁有超過 150,000 名 員工的大型跨國組織遭到勒索軟體的攻 擊。LockBit 聲稱對這次攻擊負責,並且他們能夠竊取數據。該企業能夠保持對其 IT 系統的控制,並採取防禦措施來恢復其 IT 系統的全部完整性。他們開始與第三方合作調查這一事件。截至深秋,他們仍在調查這個問題。

當出現這些情況時,解決起來可能非常昂貴和耗時。三個多月後,調查仍在進行中。對於遭受所有類型攻擊的企業來說, 這是一個常見的狀況。Illumio 網路微切分能夠幫助組織快速回應這些情況,以限制不可避免的違規行為的影響。這可以節省調查的時間和金錢。

如何使用 Illumio 網路微切分 處理此勒索軟體場景

可見性是關鍵!收到警報,指出 LockBit 可能已進入我們的一台 Windows 10 電腦。在這種情況下,第一個關鍵步驟是瞭解有多少潛在設備可能會受到影響。使用 Illumio 網路微切分的 Illumination Plus, 可以根據作業系統進行分組並觀察所有的網路流量(如圖 1)。

使用 Illumio 網路微切分的 Illumination Plus,可以根據作業系統進行分組並觀察所有的網路流量

圖 1:使用 Illumio 網路微切分的 Illumination Plus,可以根據作業系統進行分組並觀察所有的網路流量。

可以通過作業系統群組,清楚地瞭解設備,並查看 Windows 10 設備與企業中的其他設備之間,是否存在任何活動中的流量,以便就下一步操作做出明智的決策。 需要注意的關鍵點是,此流量是即時且實體可見的,無需擔心看到的狀態是否已過時(如圖 2)

利用多維標籤群組相同的作業系統,不但可以看到作業系統所在的地理位置、環境或角色,也能一目了然知道之間的連線狀態並加以管理。

圖 2:利用多維標籤群組相同的作業系統,不但可以看到作業系統所在的地理位置、環境或角色,也能一目了然知道之間的連線狀態並加以管理。

現在,瞭解 Windows 10 設備與整個組織中的其他設備之間當前存在的網路流量, 需要快速制定計劃來關閉這些設備之間的流量。

LockBit 通常使用 SMB 和 PowerShell 在 整個網路中移動,首先進行一些威脅分析,接下來,把受影響的設備移動到隔離區,並關閉 SMB 和 PowerShell,除非確定它們是必要的則保持開啟。

迅速建立阻擋規則 以遏制擴散

為此,需要在 Illumio 網路微切分中創建一個阻擋規則。這些規則在產品中稱為「強制邊界(Enforcement Boundaries)」。首先,創建一個名稱為 「阻止 SMB 和 PowerShell 」的新規則。 當按下「Save」後,Illumio 會立即引導進入一個「預覽」,此新規則可能阻止所有連線的頁面。這是在執行規則策略之前,可以預先檢查所有會因為此規則而受到影響的好方法(如圖 3)。

Illumio 的使用靈活的自然語言標籤即可達成靈活的政策管理

圖 3:Illumio 的使用靈活的自然語言標籤即可達成靈活的政策管理。

在查看了哪些流量將受到影響後,按下「Provision」以實施新策略。如果在某些情況下,仍需要此連線開放才能繼續,例如,允許 Windows 工作站仍通過 SMB 存取指定的文件伺服器,則可以使用「允許」規則做例外處理。

立即保護

只需按一個按鈕,Illumio 網路微切分就會立即調整所有受影響的工作負載。這為企業在關鍵業務提供了快速保護。現 在,已經隔離了受影響的設備,對於未受影響的設備建立了規則來限制網路通訊,從而消除了進一步傳播的風險。此時,可以專心針對隔離的設備進行確認及後續的任務。Bishop Fox 報告證明, 與端點檢測和回應 (EDR) 解決方案相比,Illumio 可在不到 10 分鐘的時間內阻止勒索軟體。

使用 Illumio網路微切分 主動防範勒索軟體傳播

有了像 Illumio 網路微切分這樣的解決方案,企業就可以主動控制設備之間任何不需要的流量的傳播。Illumio 限制了攻 擊的水平橫向移動,為檢測和回應工具提供了識別威脅所需的時間。Illumio 網路微切分與 EDR、NDR、XDR 和週邊防火牆等傳統安全工具配合使用,以提高網路彈性。

立即聯繫叡揚資訊資安團隊,攜手應對嚴峻的資安挑戰,共同建立更安全的數位環境>>>https://www.gss.com.tw/product-services-nav/info-security/illumio#cta

eis112 17 5