最近 ISACA® 杂志 ,我们发表了一篇两部分的文章避免在某处运行勒索软件.这篇文章深入探讨了什么是勒索软件, 它是如何渗透到大多数系统中的, 我们建议的十大预防方法, 以及一些人在受到攻击时的选择. 在这篇博文中, 我想谈谈留在编辑室地板上的第11步:网络分割.
在网络分段中, 其基本思想是简单地将较大的网络划分为较小的子网,子网之间只有有限和受控的连接. 有一个合理的论点是,网络分割可能是我们预防清单上的第一项, 然而不知何故,它并没有被删减. 原因很单一:执行.
我们只是不相信这种分割, 因为它正在现实世界中实现, 是真正的预防措施.
在一个理想版本的网络分段, 每个子网将被完全划分, 存在于完全不同的安全和IP区域, 并且只在非常有限的点上连接, 在非常有限的港口, 通过明确的监测点. 然而, 根据我在现实世界的经验, 即使是最善意的网络也已经屈服于时间, 用户请求, 有限的能力和, 最终, 让事情顺利进行的意图.
区域仍然存在,但往往名存实亡. 通常会有大量的ip和端口向网络上的域控制器开放,或者高优先级的内部财务服务器可以从开放到Internet的web应用程序连接. 这些都是现实世界场景的现实. 对于许多网络来说,在有限的用户中断和员工过度劳累的情况下快速解决这些问题通常是不现实的, 因此,它没有出现在我们的名单上. 我们的目标是向团队推送尽可能多的可操作信息,他们可以快速实现,而不是一个可能需要几个星期才能完成的项目.
尽管如此, 我想向生活在这些现实中的网络和网络专业人士提出一个简单的请求:如果不能限制区域之间的流量, 密切监控. 这可能是你限制潜在攻击者伤害的最好办法.
编者按: 有关此主题的进一步见解,请阅读 最近的期刊文章: “避免在某处运行勒索软件,” ISACA学报,第2卷,2020.
