随着时间的推移,勒索软件威胁的频率、复杂性和有效性都在增加。最初可能只是简单的勒索赎金计划,现在已经发展成为成熟的勒索软件即服务(RaaS)提供商生态系统,网络攻击者甚至利用双重甚至三重威胁勒索策略来确保他们的需求被满足。今天,没有企业是安全的。勒索软件即服务(RaaS)市场使网络犯罪分子能够使用最先进的技术针对特定组织(根据规模、行业、地理位置以及它们是在公共部门还是私营部门)。那有什么好担心的呢?企业对勒索软件攻击的主要担忧是他们无法开展业务,因为数据、应用程序和系统可能会被阻止。然后,他们担心网络攻击的代价是什么;是否为勒索软件付费的问题,因为77%的网络攻击还包括泄露数据的威胁。然后是收入损失、平均停机时间23天、补救成本以及对商业声誉的影响等问题。但这些都是网络攻击后出现的问题,企业应首先关注他们可以采取哪些有效步骤来阻止勒索软件攻击。真正关注勒索软件大规模增长的企业正在努力了解网络威胁参与者使用的策略、技术和程序,以制定预防、检测和响应措施,以降低风险或最大限度地减少网络攻击的影响。此外,企业需要仔细审查他们现有的技术、流程和框架,并询问他们的第三方供应链供应商。最终,他们试图确定必须保护免受勒索软件攻击的最关键系统。但是,这些都不是企业应该主要关注的地方。归根结底,凭据泄露是勒索软件攻击的主要原因,因为凭据为黑客提供了劫持企业系统所需的访问权限。如果企业消除了用户名/密码凭证,他们就消除了进入其系统的最简单点。关注凭证要了解勒索软件攻击中的凭证问题,有必要了解凭证的真正含义。凭据代表用户的身份,通常由用户名和密码组成,企业有时会采用第二种形式的身份验证(2FA)或多因素身份验证(MFA)。在这种情况下,凭据中企业的“身份”就是密码,大多数安全系统都假定密码由其合法所有者使用。不幸的是,这些凭据可能被盗、共享、购买或被黑客入侵并用于获得初始访问权限。一旦进入内部,威胁行为者通常会寻求破坏特权访问凭据以进一步渗透目录服务。一个简单的8字符密码可以在1小时内破解,而一个12字符密码可以在几周内破解。随着计算机变得越来越快,软件越来越智能,破解密码所需的时间越来越少,使网络攻击者更容易找到和使用凭据。他们使用Mimikatz和Microsoft的PsExec等合法工具从系统内存中转储凭据并在远程系统上执行进程。经验不足的威胁行为者可以购买窃取的凭据,他们可以以低至20美元的价格购买低级别凭据,管理员级别帐户的价格从500美元到120,000美元不等。既然您知道应该关注哪里,那么您如何应对风险呢?为什么用户名和密码不够好?用户名/密码凭据基本上假设谁在访问尝试的另一端。仅使用用户名和密码,企业实际上从未将经过身份验证的身份附加到凭据,因为任何人都可以使用它们。即使是双因素身份验证(2FA)、多因素身份验证(MFA)以及FaceID和TouchID等生物识别系统也只是建立在密码和用户名的基础上——它们当然有助于提高企业的安全性,但它们并不能解决密码中的核心漏洞和用户名。此外,还有无数的一次性密码破解、短信劫持、SIM交换等示例。所有这些都表明,如果威胁行为者故意绕过双因素身份验证,他们很可能会这样做。这并不是说企业不应该使用多因素身份验证(MFA)和辅助安全来源。安全系统应该始终有不止一层的身份验证,但要使这些措施真正有效,企业必须建立与他们正在验证的凭据相关联的经过验证的身份。如何将身份与凭证相关联首先,用户必须改变他们对什么是身份以及身份如何在他们的安全和身份验证中发挥作用的观念。身份验证依赖于三个要素:知道的东西、拥有的东西和身份。“知道某事”是最容易受到网络攻击的身份验证形式,因为如果知道某事,其他人也会知道。但是,它是用户名/密码凭证的核心。为了在认证过程中建立可验证的身份,有必要消除“要知道的东西”,而将重点放在“要有的东西”和“身份”上。随着最近关于改善网络安全的行政命令,身份验证和生物特征认证正在获得动力。在其中,美国总统乔拜登呼吁美国政府机构为本地和基于云的环境转向零信任架构。零信任基于“从不信任,始终验证”的原则。在凭证的上下文中,这意味着企业不相信账户所有者正在发出访问系统、应用程序或数据的请求,直到它被绝对验证。遵循零信任验证身份需要将“您拥有的东西”(例如驾照或护照)与“身份”(例如活体生物特征)结合起来。由于最近的技术进步,用户可以将政府颁发的文件上传到公司安全系统,并在每次尝试登录时根据这些文件验证他们的实时生物特征。用户现在已经建立了确认身份并将其附加到他们的凭证中。因此,在勒索软件的背景下,这意味着企业甚至可以大幅减少经验丰富的勒索软件威胁参与者对其凭据的访问。它会去哪里?随着企业努力确定勒索软件攻击的预防策略,答案在于查看威胁行为者更频繁地使用的是什么。凭据问题不能通过简单地消除密码和用户名来解决。无密码解决方案肯定是未来,但如果不先对用户进行身份验证,它们就毫无用处。身份验证是在企业安全系统中提供访问权限的最重要步骤,在建立身份之前无法完成。这称为基于身份的身份验证,它是有效安全措施的基础。一旦建立了有效的身份,基于密码的凭证就会过时。最终目标不是无密码解决方案,目标是基于身份的身份验证,而无密码解决方案是实现这一目标的手段。勒索软件攻击的成功取决于给网络攻击者的机会。采用正确的技术将使组织能够超越被动的安全方法,有效地应对日益复杂的网络攻击。
