防止勒索软件攻击是从IT管理员、CISO、CEO到政府的每个人的首要任务。虽然这不是一个新问题,但一系列技术含量高且具有破坏性的勒索软件攻击使全世界的注意力重新聚焦于此。与此同时,攻击者只会变得越来越老练,这使得组织比以往任何时候都更需要在造成无法弥补的损害之前制定全面的预防和保护策略。勒索软件攻击依然强大2021年3月,针对纽约布法罗公立学校系统的勒索软件攻击使学区关闭了一周。当月,一家台湾PC制造商也成为目标,并索要5000万美元的赎金。据彭博社报道,美国最大的保险公司之一CAN也遭到了勒索软件的攻击,并向攻击者支付了4000万美元的赎金。由于勒索软件攻击对其医疗保健服务造成严重破坏,爱尔兰公共卫生服务局已关闭其IT系统。类似的攻击趋势仍在继续,ColonialPipeline攻击中断了美国东海岸大部分地区的燃料供应数天,而美国主要牛肉生产商JBS则停止运营数天。为了应对这种前所未有的勒索软件攻击激增,美国政府发布了一项改善国家网络安全的行政命令,并正在组建一个跨部门工作组,以全面应对针对美国企业和政府的勒索软件攻击。响应包括开发识别、阻止、防御、检测和响应勒索软件攻击的能力。对策包括积极破坏负责勒索软件攻击的网络犯罪活动、解决使用加密货币支付赎金以及强制采用更好的安全方法来阻止攻击等策略,包括采用零信任架构。攻击者如何获得初始访问权限为防止勒索软件攻击和大多数其他恶意软件攻击,防御者必须阻止攻击者在网络上建立立足点的企图。因此,端点安全预防、检测和修复成为关键策略。一般来说,攻击者通常使用以下两种策略之一来获得对网络的初始访问权限:1.成功利用受害者网络中的漏洞。利用漏洞意味着找到软件错误或可以被操纵以部署恶意代码的错误,或者发现会给攻击者提供部署代码入口点的错误配置。例如,云资源配置错误或第三方依赖项可能导致此类漏洞发生,从而导致供应链攻击。2.未经授权访问有效帐户。对有效帐户的未授权访问是通过社会工程学窃取用户帐户的凭据来实现的。在勒索软件攻击通过更容易的访问而激增的环境中,采用传统安全套件和过去策略的防御者正在努力保护他们的数据安全。在不改变手段的情况下,老练的攻击者会不断寻找漏洞发起攻击。通过多种方法防止勒索软件攻击下一代身份和基于AI的端点保护为勒索软件提供了更好的解决方案。传统的老一代解决方案,例如基于密码的身份验证或基于AV签名的端点保护,在阻止现代勒索软件方面存在严重缺陷。由于预防的目的是阻止最初的渗透,让我们仔细看看这些现代安全解决方案如何提供新的武器来对抗勒索软件。策略1:部署以防止对用户身份验证的攻击许多成功的勒索软件攻击通过解密或窃取属于有效帐户的凭据在受害者的网络上获得初步立足点。为了有效防止这种情况,需要强大的用户身份验证凭据来保证难以猜测、泄露或窃取的凭据。例如,在今年早些时候对ColonialPipeline的成功攻击中,对有效帐户的访问权限为攻击者提供了初始访问权限。同样,MAZE和其他人为操作的勒索软件攻击的入口点通常是窃取通过RDP访问的面向互联网的系统的密码,或使用弱密码登录Citrix门户网站帐户。传统的多因素身份验证(MFA)方法有助于解决密码中固有的安全漏洞,但它们仍然从根本上依赖于人类用户必须记住和理解的东西,而基于电话的方法并非100%安全。更重要的是,MFA增加的安全性伴随着拥有和运营该解决方案的巨大成本,这在用户中引起了极大的焦虑。无密码MFA可防止凭据被盗,并使攻击者无法猜测密码。无密码MFA使用多种身份验证因素,不包括传统密码。无密码MFA最常见的身份验证因素是用户注册的移动设备,以及通过设备的内置指纹传感器提供的用户PIN或指纹。通过消除对传统密码的需求,安全性立即得到提高,用户体验得到简化,成本得到控制。策略2:立即检测、隔离和删除勒索软件实际上,采取适当的预防措施并不能保证攻击者永远不会成功渗透并访问用户的设备。因此,这条防线应该是一种自动化的、机器速度的保护、检测和响应机制,可以在任何下游数据丢失、财务损失或时间投资发生之前检测并遏制端点级别的可疑活动。现代扩展检测和响应(XDR)解决方案实时监控本地进程并详细分析它们的行为,使它们能够非常准确地识别恶意代码并立即采取缓解措施。这样,无论是从本地内存还是远程执行,攻击都会在攻击开始时停止。从技术角度来看,缓解方案各不相同。根据环境和组织策略,系统可以删除代码的源代码、终止所有相关进程、隔离可疑文件或将受影响的端点与网络完全断开。阻止正在进行的攻击是任何XDR解决方案最重要的工作,但它并不止于此。在采取关键步骤阻止正在进行的攻击后,IT和安全团队必须获得详细的取证视图,其中包括恶意软件活动的时间线、入口点和攻击向量,以及所有受影响的文件和网络的列表。然后,管理员可以分析攻击以更好地为未来的威胁做好准备,并将所有相关数据提供给他们的上级、执法部门和保险公司。在中国,微信和支付宝是最常用的移动支付方式。当然,ApplePay在美国实现了“垄断”。据Pulse发布的数据显示,去年北美市场92%的移动支付是通过ApplePay完成的。据悉,去年北美有20亿笔电子钱包交易,同比增长51%。除去ApplePay,剩下8%的市场份额被SamsungPay(三星智能支付)和GooglePay瓜分,不过它们的份额分别只有5%和3%。如今,ApplePay不仅可以在iPhone上使用,还可以在AppleWatch、Mac、iPad等设备上使用。近日,英国伯明翰大学和萨里大学的研究人员发现ApplePay的安全漏洞可以绕过锁屏进行欺诈性支付。研究人员发现,当iPhone上的Visa卡设置为Apple的ExpressTransit模式时,该漏洞可能允许攻击者绕过iPhone的锁定屏幕并在没有密码的情况下进行非接触式支付。Apple的ExpressTransit模型允许用户使用信用卡、借记卡或交通卡快速付款,而无需解锁设备。目前,该漏洞仅影响存储在钱包应用程序中的Visa卡。这是由TransitGate使用的唯一代码引起的,该代码向iPhone发出解锁ApplePay的信号。通过使用普通的无线设备,攻击者能够实施攻击,诱使iPhone相信它在TransitGate。概念验证攻击涉及支持ExpressTransit的iPhone向智能支付读卡器进行欺诈性支付。黑客可能已经利用了类似的攻击,但是,Visa表示,这种攻击似乎不可能大规模发生,而且仅停留在理论上。即使攻击者得逞,银行和金融机构也有其他机制通过检测可疑交易来阻止欺诈。策略3:回滚勒索软件更改这种多层方法中的第三个要素,也许对受勒索软件影响的人来说是最重要的,是能够让时间倒流并将所有资产和配置恢复到攻击之前的原始时间状态。这一关键步骤可实现快速恢复并确保完全的业务连续性,无论攻击的范围和深度如何。以前未知的恶意软件或新的攻击策略可能不会被检测组件自动捕获和阻止,因此撤消其操作是唯一的保护措施。此外,潜在的攻击不仅限于被加密或删除的文件。恶意软件还可以更改可在后续攻击中利用的访问权限和安全配置。这种多步骤攻击通常被黑客用来针对公司网络和公共基础设施,并构成特别危险的威胁。在这些长期活动中,第一阶段通常仅用于下载恶意程序,以便更容易在特定日期(例如假期或重要的商业活动)执行攻击。通过这种方式,攻击者可以让受害者措手不及,并利用他们缺乏准备,让他们别无选择,只能支付全额赎金。恶意或可疑代码执行的所有更改,无论多么小,都会自动恢复,为管理员提供一个安全网,保护他们和整个域免受成功网络攻击的可怕后果。勒索软件预防的安全建议总之,网络安全架构师和企业网络防御者的主要目标是预防,对于勒索软件,预防是拒绝攻击者初始访问企业的任何部分。一项全面的策略包括使用户身份验证攻击具有抵抗力,立即检测并消除威胁,最后回滚攻击者及其恶意软件针对无法检测到的攻击采取的所有操作。这一切都始于端点和该端点的固有安全特性。本文翻译自:https://www.sentinelone.com/blog/why-defense-in-depth-is-key-to-defeating-ransomware/如有转载请注明出处。
