SentinelOne最近釋出了一份關於企業的安全報告——《瞭解企業中的勒索軟體》,這是一份全面的企業安全指南,可幫助組織理解、計劃、響應和防範這種目前普遍存在的威脅。
這篇文章就是選取了其中的部分章節,還原了一個關於如何減少攻擊面的示例。
隨著網路辦公成為一種常態,勒索軟體攻擊也呈現了上升態勢,事實上,勒索即服務(Raas)和其相關產業所帶來的好處(低風險和豐厚回報)表明,在可預見的未來,勒索軟體將繼續發展,並變得越來越複雜。
勒索軟體即服務模式是指,勒索軟體編寫者開發出惡意程式碼,並提供給其他犯罪分子(有時透過購買),讓他們可以透過網路釣魚或其他攻擊發送給目標使用者。隨著雲計算、移動網際網路、大資料、物聯網等新技術的持續演進,網路安全形勢變得尤為複雜嚴峻。網路攻擊“道高一尺,魔高一丈”,網路安全問題層出不窮,給政府、企事業單位帶來風險威脅級別升高,挑戰前所未有。目前灰產、黑產環境比較複雜,很多攻擊手段已經向雲和SaaS服務方面發展,暗網已經存在專業提供勒索即服務(Raas)的服務模式,另外很多勒索攻擊軟體已經開源,易用性得到了極大的提高,同時也大大降低了網路攻擊的技術門檻。
例如,DopplePaymer勒索軟體,SpaceX和美國宇航局NASA首次載人火箭發射成功後不久,一個名為DopplePaymer的勒索團伙即刻宣佈他們入侵了一家名為DMI的公司內網,這家公司正是NASA的一家IT供應商,該團伙甚至囂張地留下了祝賀資訊來挑釁。按照慣例,DopplePaymer團伙在“洩密網站”上釋出一些竊取的資料是為了向被入侵網路系統的公司索取贖金,倘若受害者(通常是一家大公司)仍然拒絕支付,他們將會公開所有的檔案作為報復,並且向記者提供洩露資訊。
通常,DopplePaymer使用閃電般的有效載荷在不到7秒的時間內對主機執行超過2000次惡意操作。這意味著,傳統的檢測和響應方法無法防止這種攻擊,而防禦者對勒索軟體的響應往往是在勒索軟體達到其目標後才開始。
為了更有效地防止勒索軟體,請儘可能採取以下步驟。
威脅情報的收集
你對你的攻擊面瞭解多少,只有知己知彼才能增強你的防禦能力,並幫助你瞭解和控制你的攻擊面。
高度組織化的犯罪軟體組織,如Dridex和TrickBot已經證明了他們利用勒索軟體作為主要攻擊載體所取得的成功。Dridex 早期版本很原始,但這幾年來該惡意軟體變得越來越專業和複雜。事實上,Dridex 攻擊活動在 2015 和 2016 年裡非常活躍,已成最為普遍的電子犯罪惡意軟體家族。TrickBot銀行木馬自2016年問世以來,一直活躍至今。它從最初的銀行木馬發展到今天已經成為一款強大的惡意家族軟體,其功能包括盜取使用者電子郵箱、收集系統資訊以及盜取瀏覽器隱私資訊等等。經過幾年的發展,TrickBot銀行木馬已經變得高度模組化,其可以由威脅參與者根據目標環境進行配置,進而實現不同的惡意功能。在它們曾經主要依賴銀行欺詐的地方,它們的業務已經發生了明顯的變化。這吸引了許多新的創業公司試圖效仿他們的成功。毫無疑問,RaaS的泛濫已經對許多公司網路造成了嚴重破壞。
然而,在迅速發展的勒索軟體服務領域,各組織爭奪主導地位的競爭似乎有所升級。運營商不再滿足於個人使用者,他們現在正在尋求鉅額回報。運營商會在網路上連續數日或數週搜尋,試圖繪製資料點,找到最誘人的資料目標,從而為他們提供最佳的攻擊手段。
勒索軟體運營商現在正試圖完善他們的勒索方案,美國聯邦調查局在RSA釋出的最新資料顯示,RYUK勒索軟體的運營者總共獲得了6100萬美元的收入。這一數字只包括了2018年2月至2019年10月期間的行動。2020年1月至今,工業企業的生產網路或辦公網路遭受數十起勒索軟體攻擊,其中僅Ryuk勒索軟體就感染了EVRAZ、EMCOR Group、EWA等多家工業企業,加密企業關鍵資料資訊,導致企業停工、停產,造成重大的經濟損失。
Maze和Revil (sodinokibi)的運營商正在利用媒體和資料洩露網站,以進一步威脅和羞辱受害者,以威脅支付他們滿足勒索要求。Maze勒索軟體在過去的大約一年時間裡被廣泛使用,成為全世界許多不同參與者的最終有效載荷。今年,臭名昭著的Maze運營商不僅開始透過加密檔案勒索公司,而且威脅會線上釋出被竊取的檔案,從而勒索公司。最近,我們抓住了一個Maze會員,該會員嘗試透過藉由我們客戶的網路進行傳播。許多勒索軟體家族,如DoppelPaymer, Clop, Netwalker, ATO和其他類似的網站都有洩露網站的操作。隨著網路辦公的興起,這種攻擊不太可能在短期內消失,這些惡意組織現在擁有大量的資金來加強他們的攻擊並進一步改進他們的產品。
如何發現勒索攻擊
勒索軟體犯罪分子利用社交,移動,雲和軟體定義的網路等技術,利用BYOD,物聯網和數字化轉型計劃所帶來的挑戰和漏洞。遠端工作人員要求能夠隨時隨地工作,同時訪問公司資料和使用雲應用程式也帶來了挑戰,並增加了攻擊面。為了控制並採取行動,防禦者的目標是使用主動和被動發現來連續發現所有連線的裝置並對其進行指紋識別,以識別並建立甚至間歇性連線的裝置的實時清單,以便使用者查詢和控制惡意終端。
軟體漏洞允許攻擊者使用開發工具包來傳播勒索軟體,通過了解終端和伺服器上具有哪些作業系統,軟體和版本,可以對終端發現進行補充,這對任何修補程式管理過程都很重要。比如:
1。哪些裝置連線到我的環境?
2。在我的環境中連線了哪些裝置?
3。裝置最後一次或第一次出現在我的環境是什麼時候?
4。哪些裝置是未受管理和不受保護的?
5。什麼是裝置的IP?蘋果電腦?製造商?型別?
6。 此裝置是否打開了特定埠?
7。裝置在這個埠上報告什麼資訊?
8。它連線在哪個網路(在哪個GW後面)?
9。連線的終端上安裝了哪些應用程式?
控制漏洞並強化配置
在你瞭解了環境中有哪些裝置以及它們上安裝了哪些程式之後,你需要控制訪問、減輕漏洞並加固這些終端及其上的軟體。
集中管理裝置配置和遵從性的評估和實施對於減少攻擊面非常重要,不相容的裝置應該重新配置和加固。加強VPN連線、強制磁碟加密和埠控制將減少勒索軟體的攻擊面。
修補程式管理是關鍵,但是由於每年都會出現數以千計的新漏洞,沒有哪個組織會真正地修補每一個漏洞。擁有一個基於風險的結構化方法是最好的,但是沒有一種方法是絕對正確的。
控制端的人為漏洞
通常,勒索軟體最薄弱的環節是我們人類。主要的攻擊渠道仍然是電子郵件或訪問有風險的網站。網路釣魚、魚叉式網路釣魚正變得越來越複雜和有針對性,它們附帶著惡意檔案或勒索軟體連結,引誘那些使用者去點選。
因此制定一項員工教育和培訓計劃,對於營造一種懷疑和警惕的企業安全文化很重要,與員工分享現實世界的例子,以及測試彈性很重要,但即便是最優秀的人也會有最脆弱的時刻。你可以降低風險,但不能僅僅透過培訓來消除風險。
你可以使用包含以下功能的產品來提高電子郵件安全性:
1。對入站或存檔電子郵件進行URL掃描,直到對網站進行惡意軟體檢查後才允許點選目標網站;
2。在傳送之前,檢測郵箱中帶有攻擊附件的郵件,並在點選前重定向到沙箱。
3。防止假冒、社會工程,域名竊取和掩蓋;
勒索軟體只有在感染病毒的使用者更改和加密檔案時才有權更改和加密檔案,控制使用者對關鍵網路資源的訪問是必要的,以限制這種情況的暴露,並確保橫向移動感染更加困難。
因此,確保特權是當前的和最新的,並且使用者只能訪問其職責所需的適當檔案和網路位置是至關重要的。
監控和控制網路內外的使用者行為將允許警報和操作自動響應對伺服器,檔案共享或網路異常區域的可疑偏差。由終端記錄資料、憑證的使用和連線可以突出顯示生產率變化或可能的安全破壞訊號。可以使用像EDR這樣的工具來記錄每個檔案的執行和修改、登錄檔更改、網路連線和跨組織連線終端的二進位制執行,增強威脅的可見性以加快執行速度。
改善終端安全性
幾乎所有組織都具有終端安全性,但是,為了防止勒索軟體,僅靠靜態檢測和防病毒已遠遠不夠。在終端保護中具有高階功能以及透過集中式管理系統執行終端管理和防禦的能力變得越來越重要。
良好的終端安全性應該包括多個靜態和行為檢測引擎,使用機器學習和人工智慧加速檢測和分析。開發保護、裝置控制、訪問控制、漏洞控制和應用程式控制也很重要。在組合中新增終端檢測和響應(EDR),提供取證分析和根本原因,以及諸如隔離、轉移到沙箱和自動修復的回滾功能等即時響應操作,這些都是重要的考慮因素。
參考及來源:https://www。sentinelone。com/blog/ransomware-prevention-practical-steps-to-reducing-your-attack-surface/