勒索软件是当今企业面临的最常见、最隐蔽、最危险的安全威胁之一。仅在2020年,从本田、佳能、Garmin到JackDaniels等数十个知名品牌都遭到了勒索软件团伙的洗劫。在支付高额赎金的同时,企业不得不接受停业和品牌受损的双重打击。虽然业界在防御勒索软件攻击方面的大部分注意力都集中在攻击者用来在网络内横向移动的方法上,但一个关键方面往往被忽视:攻击者停留时间,或入侵者在公司网络内保持休眠状态而不被攻击的能力。检测到。检测到的时间长度。过去十年的大多数勒索软件攻击都是“不分青红皂白”的抢劫攻击,其中成功部署的恶意文件以尽可能快的速度加密尽可能多的文件和计算机,然后“包裹”为锁屏。最近,勒索软件攻击开始变得更加隐蔽和有针对性,潜伏在网络中进行侦察和耐心等待,以期发现更高价值的资产。与其他恶意软件相比,勒索软件的驻留时间相对较短,平均为43天,而高级持续性攻击APT则可以驻留数月甚至数年。但是43天对于勒索软件攻击者和受害者来说都太长了,而且每多停留一天,攻击者的愤怒和潜在的损害就会增加。新一代勒索软件攻击在过去十年中,勒索软件已成为黑客和犯罪组织首选的恶意软件工具。安全团队需要防御数以千计的变体,但最糟糕的是新的攻击者不再遵循相同的攻击剧本并开始“创新”。例如,Sodinokibi勒索软件背后的团伙在加密和锁定目标系统之前设法找到了窃取数据的创新方法,然后威胁要泄露或拍卖被盗数据,除非受害者支付赎金。其他犯罪集团,如REvil,通过提供价格合理且易于使用的恶意软件即服务,大大降低了勒索软件攻击的成本和进入门槛,使黑客和脚本小子很容易进行攻击,从而勒索软件本质上是一种民主化。“订阅模式”允许勒索软件运营商采用会员制模式,通过收取赎金来扩大收入。这种模式还降低了风险,因为勒索软件运营商本身并不是攻击的先锋。2020年让勒索软件运营商感到鼓舞的是,由于全球大流行,现在有大量的人在远程工作,利用远程桌面协议中已知的安全漏洞,还有大量的员工不熟悉如何正确使用远程安全协议。为什么停留时间是一个关键指标由于勒索软件运营商更多地关注目标的质量而不是数量,安全团队必须将他们的注意力从不惜一切代价阻止攻击者转移到假设他们在网络内部。当攻击者能够在网络中保持不被发现时,他们可以花费数周或数月的时间深入挖掘,以尝试提升权限并将勒索软件传递到尽可能多的端点设备。他们还可以使用驻留时间来识别关键网络资源,例如系统备份、存储敏感数据的网段以及可用于广泛传播勒索软件的其他关键系统。减少攻击者停留时间的3种方法虽然预防比事后补救有效十倍,但安全团队必须重新考虑他们现有的安全模型。不要试图让攻击者远离关键的网络资产,而是假设他们已经在里面。正如安全专家MikeTyson所说:“每个用户在受到攻击之前都有防御计划。”因此,我们必须正视这样一个事实,即我们无法始终将入侵者拒之门外。但是,组织可以采取以下几个步骤来最大程度地减少攻击者造成的损害:持续妥协评估框架和实践:定期渗透测试和威胁搜寻是成熟企业的标志安全实践,但许多组织未能这样做。通过采用持续的妥协评估框架,安全团队可以整合企业已经收集的各种网络和事件管理资源,以便他们能够在更精细的级别上衡量他们的妥协。关联网络分析情报:攻击者使用网络作为入口,还必须使用网络横向移动、与命令服务器通信并最终泄露数据。所有这些操作都会生成元数据片段,无论是尝试解析DNS查询还是扫描防火墙中的开放端口。通过将这些少量数据关联成一个统一的视图,网络防御者可以清楚地确定他们的网络是否正在与对手的基础设施进行通信。实施零信任框架:零信任是网络安全领域最热门的话题之一,因为它试图用软件定义层取代传统的信任验证模型,从而更容易在网络中实施最低权限访问和微分段。从勒索软件攻击的角度来看,这将使攻击者更难跨越网络并提升权限。总之,勒索软件运营商不断寻找新的方法来渗透网络和植入恶意文件。真正的挑战不是让他们远离安全边界,而是不断消除网络中的盲点和死角,以防止较小的入侵演变成灾难性的大规模数据泄露。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
