SentinelOne最近发布了一份关于企业的安全报告—《了解企业中的勒索软件》,这是一份全面的企业安全指南,可帮助组织了解、计划、响应和预防这种目前普遍存在的威胁。本文选取了部分章节,还原了一个如何减少攻击面的例子。随着网络工作成为常态,勒索软件攻击呈上升趋势,事实上,勒索即服务(Raas)及其相关行业(低风险和高回报)的好处表明,在可预见的未来,勒索软件将继续存在进化并变得更加复杂。勒索软件即服务模型是指勒索软件编写者开发恶意代码并将其提供给其他犯罪分子(有时通过购买),以便他们可以通过网络钓鱼或其他攻击将其发送给目标用户。随着云计算、移动互联网、大数据、物联网等新技术的不断演进,网络安全形势变得尤为复杂严峻。网络攻击“高一尺,魔高一丈”。网络安全问题层出不穷,给政府和企事业单位带来风险和威胁,挑战前所未有。目前,灰产和黑产的环境比较复杂,针对云和SaaS服务发展了很多攻击手段。已经有一种服务模型可以在暗网中提供专业的勒索软件即服务(Raas)。此外,很多勒索攻击软件已经开源,易用性得到提升。同时也大大降低了网络攻击的技术门槛。例如DopplePaymer勒索软件,SpaceX和NASA在NASA的第一枚载人火箭成功发射后不久,一个名为DopplePaymer的勒索团伙立即宣布他们入侵了一家名为DMI的公司的内网,这家公司是NASA旗下的公司。IT供应商,这帮人还嚣张的留下贺词招惹。按照惯例,DopplePaymer团伙将部分窃取的数据发布在“泄密网站”上,以向网络系统被入侵的公司索要赎金。如果受害人(通常是大公司)仍然拒绝付款,他们会公开所有文件作为报复,并将泄露的信息提供给记者。通常,DopplePaymer使用快如闪电的有效载荷在不到7秒的时间内对主机执行2,000多项恶意操作。这意味着传统的检测和响应方法无法阻止这种攻击,而防御者对勒索软件的响应往往是在勒索软件到达目标之后才开始的。为了更有效地防范勒索软件,请尽可能采取以下步骤。威胁情报收集你对你的攻击面了解多少?只有知己知彼,才能增强防御能力,帮助你了解和控制攻击面。Dridex和TrickBot等组织严密的犯罪软件团体已经证明了他们使用勒索软件作为主要攻击媒介的成功。Dridex的早期版本是原始的,但这些年来恶意软件变得更加专业和复杂。事实上,Dridex活动在2015年和2016年非常活跃,以至于它成为最流行的电子犯罪恶意软件系列。TrickBot银行木马自2016年诞生以来一直活跃,从最初的银行木马发展到今天已经成为一款功能强大的恶意家族软件,其功能包括窃取用户邮箱、收集系统信息、窃取浏览器隐私信息等.经过几年的发展,TrickBot银行木马已经高度模块化,攻击者可以根据目标环境进行配置,实现不同的恶意功能。在他们曾经主要依赖银行欺诈的地方,他们的业务发生了显着变化。这吸引了许多新的创业公司试图效仿他们的成功。毫无疑问,RaaS的激增已经对许多企业网络造成了严重破坏。然而,在新兴的勒索软件即服务领域,组织之间争夺主导地位的竞争似乎在升级。运营商不再满足于个人用户,他们追求的是巨额回报。运营商会花数天或数周的时间在网上搜索,试图映射数据点并找到最诱人的数据目标,从而为他们提供最佳的攻击手段。勒索软件运营商现在正试图完善他们的勒索计划,而FBI在RSA上发布的最新数据显示,RYUK勒索软件的运营商共赚取了6100万美元。该数字仅包括2018年2月至2019年10月期间的运营情况。自2020年1月以来,工业企业的生产网络或办公网络遭受了数十次勒索软件攻击。其中,仅Ryuk勒索病毒就感染了EVRAZ、EMCOR集团、EWA等多家工业企业,加密企业关键数据信息,导致企业停工停产,造成重大经济损失。MazeandRevil(sodinokibi)的运营商正在利用媒体和数据泄露网站,通过威胁支付他们的钱来满足他们的勒索要求,进一步恐吓和羞辱受害者。在过去一年左右的时间里,Maze勒索软件被广泛使用,成为世界各地许多不同攻击者的最终有效载荷。今年,臭名昭著的Maze运营商不仅开始用加密文件敲诈公司,还威胁要将窃取的文件发布到网上,对公司进行敲诈。最近,我们发现一个Maze分支机构试图通过我们客户的网络进行宣传。许多勒索软件家族,例如DoppelPaymer、Clop、Netwalker、ATO和其他勒索软件家族,都已经破坏了网站的运行。随着网络办公室的兴起,此类攻击不太可能很快消失,这些恶意组织现在有大量资金来加强攻击并进一步改进产品。如何发现勒索软件攻击勒索软件犯罪分子利用社交、移动、云和软件定义网络等技术来利用BYOD、物联网和数字化转型计划带来的挑战和漏洞。远程工作人员需要能够在任何地方工作,而访问公司数据和使用云应用程序会带来挑战并增加攻击面。为了控制和采取行动,防御者旨在使用主动和被动发现不断发现所有连接的设备并对其进行指纹识别,以识别和创建甚至是间歇性连接设备的实时清单,以便用户可以找到并遏制恶意终端。软件漏洞允许攻击者使用漏洞利用工具包传播勒索软件。可以通过了解端点和服务器上存在的操作系统、软件和版本来补充端点发现,这对任何补丁管理过程都很重要。例如:哪些设备连接到我的环境?我的环境中连接了哪些设备?设备最后一次或第一次出现在我的环境中是什么时候?哪些设备不受管理和保护?设备的IP是多少?苹果?制造商?类型?此设备是否打开了特定端口?设备在该端口上报告什么信息?它连接到哪个网络(在哪个GW后面)?连接的端点上安装了哪些应用程序您的组织中是否正在运行未经授权的应用程序?控制漏洞并强化配置一旦您了解了您的环境中有哪些设备以及这些设备上安装了哪些程序,您就需要控制访问、缓解漏洞并强化这些端点及其在软件上的性能。集中管理的设备配置以及合规性评估和实施对于减少攻击面很重要,不合规的设备应该重新配置和强化。加强VPN连接、实施磁盘加密和端口控制将减少勒索软件的攻击面。补丁管理是关键,但由于每年都会出现数以千计的新漏洞,因此没有任何组织会真正修补每个漏洞。采用结构化的基于风险的方法是最好的,但没有一种方法是万无一失的。通过集中管理应用程序控制,安全团队可以控制端点环境中运行的所有软件,并防止未修补的漏洞被利用。它允许对新软件进行授权,并防止执行其他未经授权、恶意、不受信任或不需要的应用程序。控制端的人为漏洞通常,勒索软件最薄弱的环节是我们人类。主要的攻击媒介仍然是电子邮件或访问有风险的网站。网络钓鱼、鱼叉式网络钓鱼正变得越来越复杂和有针对性,附加恶意文件或勒索软件的链接以引诱这些用户点击。因此,制定员工教育和培训计划对于培养怀疑和警惕的企业安全文化、与员工分享现实世界的例子以及测试弹性很重要,但即使是最优秀的人也有最脆弱的时刻。您可以降低风险,但不能仅通过培训来消除风险。您可以使用以下产品提高电子邮件安全性:入站或存档电子邮件的URL扫描,在检查站点是否存在恶意软件之前不允许访问目标网站;在发送附件之前检测带有攻击的邮箱,并在单击之前重定向到沙箱。防止假冒、社会工程、域名盗用和掩蔽;勒索软件只有在受感染的用户更改和加密文件时才有权更改和加密文件,控制用户对关键网络资源的访问是限制这种情况发生暴露的机会所必需的,并且确保感染的横向移动更加困难。因此,确保权限是最新的并且用户只能访问其职责所需的适当文件和网络位置至关重要。监视和控制网络内外的用户行为将允许警报和操作自动响应服务器、文件共享或网络异常区域的可疑偏差。端点的日志记录数据、凭证使用和连接可以突出生产力的变化或表明可能存在的安全漏洞。EDR等工具可用于记录每个文件执行和修改、注册表更改、网络连接以及跨组织连接的端点的二进制执行,从而增强威胁可见性以加快操作速度。提高端点安全性几乎所有组织都拥有端点安全性,但单靠静态检测和防病毒已不足以抵御勒索软件。拥有先进的端点保护能力以及通过集中管理系统进行端点管理和防御的能力变得越来越重要。良好的端点安全应包括多个静态和行为检测引擎,这些引擎使用机器学习和人工智能来加速检测和分析。利用保护、设备控制、访问控制、漏洞控制和应用程序控制也很重要。将端点检测和响应(EDR)添加到组合中,提供取证分析和根本原因,以及即时响应操作(例如隔离、转移到沙箱和用于自动修复的回滚功能)是重要的考虑因素。
