2020年,勒索病毒已经成为众多企业的头号威胁,而2021年,勒索病毒将继续进化,攻击方式更加复杂,产业化程度越来越高,攻击范围也越来越广。也增加。扩张更难预防。随着勒索软件攻击的频率和强度不断增加,一件事变得越来越清楚:企业和机构需要采取行动保护自己。不幸的是,大多数组织很早就放弃了抵制。大多数已知的勒索软件受害者在受到攻击之前都收到了潜在漏洞的警告,但在受到攻击时并没有做好准备。以下是勒索软件预防和事件响应失败的一些典型示例:在2018年亚特兰大市勒索软件攻击发生前两个月,一项安全审计发现了1,500多个严重的安全漏洞。2019年,美国巴尔的摩市遭受勒索软件攻击,导致数周的停机时间。在攻击之前,风险评估活动发现了一些严重的漏洞,这是由于服务器运行过时的操作系统(因此缺乏最新的安全补丁)和备份不足来恢复它们。在本田集团6月遭到攻击后,某些计算机上远程桌面协议(RDP)的公共访问可能已被黑客利用,扰乱了世界各地的工厂运营和网络服务。使问题更加复杂的是,本田的企业IT网络缺乏足够的网络分段措施。最近勒索软件的其他一些著名受害者包括Travelex、Blackbaud和Garmin。在所有这些案例中,这些都是拥有非常成熟的安全系统的大型企业和组织,那么哪里出了问题呢?三个常见错误导致预防不足和应对无效,各种规模的组织都会犯这样的错误:未能从业务角度阐明风险对于说服业务领导者提供适当的资金和政策支持至关重要。在测试勒索软件就绪性方面做得不够深入。DR(数据恢复)计划不足以解决可能感染备份的勒索软件威胁。常见错误#1:未能从业务角度解决安全风险,未能获得资金和政策支持当我们查看勒索软件攻击模拟结果时,我们常常会发现,基本的安全性)是多么容易。在勒索软件进入之前,有效载荷已经建立了一个“滩头阵地”,随后使用反向DNS查找等技术来识别ActiveDirectory服务,这些服务具有造成真正损害的必要特权。最后,攻击者使用Kerberoasting进行接管和控制。没有企业IT网络是无懈可击的,但攻击确实需要相当长的时间。这意味着早期检测以及部署更高级的入侵检测,为黑客创造一系列障碍(例如,更好的网络分段、适当的最终用户限制等)对于勒索软件预防至关重要。对于安全从业者来说,这并不是什么新鲜事。但说服商业领袖加大对网络安全的投资是另一个挑战。解决方案:量化业务影响以实现成本明智的业务决策严格的安全控制(通过技术和策略)对企业来说是一种摩擦。虽然没有企业领导者愿意成为勒索软件的受害者,但预算也不是没有限制的。为了证明额外的成本和更严格的控制是合理的,您需要制作一个业务案例,不仅说明风险,而且说明可量化的业务影响。帮助高级领导者比较苹果与苹果,在这种情况下,增加安全性的成本(资本支出和潜在的生产力摩擦)与破坏安全性的成本(延长停机时间和声誉受损的直接成本)长期成本)。评估业务影响并不一定很乏味。关键系统的影响评估相当准确,可以在一天内完成。专注于几个关键应用程序和数据集以获得代表性样本,并粗略估计成本、商誉、合规性和/或健康和安全影响,具体取决于您的组织。在此阶段,您不必非常精确地识别潜在的重大影响。以下是向企业高管解释勒索软件安全防御计划的关键点示例(以数字表示):勒索软件损失估计来源:ITRG2020《业务影响分析范例》常见错误#2:未对勒索软件防御进行足够深入的测试如果您尚未验证相关具有渗透测试的安全技术和配置,现在就开始吧。如果您无法获得资金,请重新阅读如何修复错误一。组织最常犯的错误是停止渗透测试而不验证端到端事件响应。这对于需要与多个团队快速协调评估、遏制和恢复的大型组织尤为重要。解决方案:进行深入的桌面规划练习,以涵盖一系列假设情景。大多数桌面计划练习的问题在于它们旨在简单地验证您现有的事件响应计划(IRP)。相反,深入研究攻击可能是如何发生的,以及您可以采取哪些措施来检测、遏制攻击并从中恢复。例如,如果您的IRP说要检查其他受感染的系统,请具体说明如何检查。你会使用什么工具?你会看什么数据?你会寻找什么模式?事实上,网络安全专业人员很少会遇到实际上拥有完善的事件响应计划的客户。即使是拥有成熟安全架构和完备响应计划的组织,也经常会发现网络安全和基础设施人员之间协调不力以及评估阶段交接不明确的问题。现有工具未得到充分利用(例如,配置自动包含)。某些系统,例如物联网设备和遗留系统,可见性有限。常见错误三:备份策略和灾难恢复计划没有针对勒索软件的计划如下图所示,可重写存储介质上的数据快照和标准每日备份还不够好:抵御勒索软件的最后一道防线是你从备份中恢复或移动到干净的备用站点/系统的能力。因此,勒索软件攻击的一个主要目标是消除目标的弹性。这意味着勒索软件不仅会针对原始数据,还会针对备份和备份系统。如果对勒索病毒没有针对性的预案,那么这些耗资巨大、主要用于抵御飓风和地震的灾备系统,是无法有效抵御勒索病毒攻击的。解决方案:将纵深防御应用于备份和灾难恢复策略纵深防御是当前最佳的安全实践。需要注意的是,数据备份和恢复也需要遵循纵深防御的安全理念。纵深防御不仅仅是试图捕捉安全漏洞,还应该包括花时间检测、遏制攻击并从攻击中恢复。通过以下方式改进针对勒索软件的备份和恢复纵深防御:创建多个还原点,以便您可以更精细地回滚,而不会丢失太多数据。通过使用不同的存储介质(例如磁盘、NAS和/或磁带)和备份位置(即场外备份)来降低感染备份的风险。您为攻击者创建的“漏洞”越多,在所有备份被感染之前检测到攻击的可能性就越大。从最关键的数据开始,设计一个考虑业务需求、成本和风险承受能力的勒索软件数据安全解决方案。投资防篡改备份解决方案。大多数领先的备份解决方案都提供确保备份防篡改(即写入后无法更改)的功能。当然,这样做的成本更高,因此在确定需要更高级别的保护时再次考虑对业务的影响。底线:勒索软件攻击可能非常复杂,但大多数企业的基本安全措施还不够好。安全领导者不仅需要警惕攻击风险,还需要评估攻击对业务的潜在影响,并让高级领导支持勒索软件准备工作。总之,在勒索软件越来越猖獗的今天,每个企业的安全主管都不能心存侥幸。请假设您明天下班前会遇到攻击,并尽快做好准备,以快速应对可能发生的攻击。同时,进行实际测试,制定更有针对性的容灾策略。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此阅读更多作者好文
