如何为勒索软件攻击做准备？

勒索软件攻击继续增加，使用越来越复杂和有针对性的技术。安全和风险管理领导者需要超越端点来帮助保护组织免受勒索软件的侵害。

概述

主要挑战

远程桌面协议、自带 PC 以及虚拟专用网络漏洞和配置错误正在成为攻击者最常见的切入点。疫情导致远程工作的增长加剧了这种情况。
勒索软件越来越多地由人类操作，而不是由技术资源作为垃圾邮件传递。
勒索软件攻击后的恢复成本和由此产生的停机时间以及声誉损失可能是赎金的 10 到 15 倍。

建议

负责端点和网络安全的安全和风险管理负责人必须关注勒索软件攻击的所有三个阶段：

通过构建包括备份、资产管理和用户权限限制在内的事件前准备策略，为勒索软件攻击做好准备。确定组织是否最终准备好支付赎金。
通过部署基于行为异常的检测技术来识别勒索软件攻击，从而实施检测措施。
通过培训员工和安排定期演习来建立事故后响应程序。

介绍

勒索软件继续对组织构成重大风险。最近的攻击已经从诸如 Wannacry 和 NotPetya 之类的自动传播攻击演变为更具针对性的示例，它们攻击的是组织，而不是单个端点。这些攻击对组织的影响已经增加到一些组织已经倒闭的程度，3并且在医疗保健方面，生命处于危险之中。安全和风险管理 (SRM) 领导者需要适应这些变化，并不仅仅局限于端点安全控制来防范勒索软件。

最近的勒索软件活动，如 REvil 和 Ryuk，已成为“人为操作的勒索软件”，其中攻击由操作员控制，而不是自动传播。此类攻击通常利用众所周知的安全漏洞来获取访问权限。例如，最近的一些勒索软件事件被认为是从配置不当或易受攻击的远程桌面协议 (RDP) 配置开始的。以前泄露的凭据也用于访问帐户。

一旦进入内部，攻击者将在网络中四处走动，识别有价值的数据，并评估所使用的安全控制，通常会禁用端点保护工具并删除备份文件。然后，当数据被识别后，可以上传并稍后用于勒索，或者启动勒索软件对数据进行加密。恶意活动的第一个证据和勒索软件部署之间的典型停留时间是三天。目标是最大限度地提高支付赎金的可能性，通常包括在不迅速支付赎金的情况下公开数据的威胁。

保护组织免受这些攻击不仅仅是端点保护，还包括许多不同的安全工具和控制。图 1 描述了勒索软件防御生命周期。检查所有这些阶段并假设攻击将成功并计划相应地响应是很重要的。

图 1：勒索软件防御生命周期

分析

构建事前准备策略

SRM 领导者应遵循勒索软件攻击成功的原则，并确保组织做好尽早发现和尽快恢复的准备。

第一个也是最常见的问题是，“应该支付赎金吗？” 最终，这必须是一个商业决策。它需要在董事会层面进行，并提供法律建议。执法机构建议不要付款，因为它鼓励继续进行犯罪活动。在某些情况下，支付赎金可能被视为非法，因为它为犯罪活动提供资金。即使支付了赎金，加密文件通常也无法恢复。

然而，如果一个组织想要准备好支付，建立一个包括首席执行官、董事会和主要运营人员在内的治理和法律流程非常重要。设置加密货币钱包可能需要时间，因此，如果可以付款，那么做好必要的准备将加快恢复时间。

良好的备份流程和策略是抵御勒索软件的主要防线。确保备份解决方案能够抵御勒索软件攻击，并持续监控备份的状态和完整性。特别是，大多数备份供应商提供了一种机制来创建不可变的第二个备份副本或不可变的快照。

恢复不仅仅是恢复数据。勒索软件将使用勒索软件注释有效地锁定机器，将机器恢复到已知的良好状态可能比恢复数据更复杂。拥有将端点恢复到最好映像的工具和流程可以加快恢复时间。一些组织在远程和海外位置使用 USB 设备。偶尔也会看到客户甚至没有尝试清理或恢复机器。相反，勒索软件事件是更新其硬件的原因。不管是什么过程，都应该定期模拟，以发现不足之处。

用户的安全意识也很重要。通过定期警报和安全“通讯”不断向用户宣传所看到的攻击类型，以加强教育。创建一组定期重复的简单安全消息。一个警觉的用户不仅不太可能陷入社会工程学，而且可以起到预警的作用。确保用户定期接受如何识别恶意电子邮件的培训。提供一个简单的机制来报告可疑电子邮件，并通过确认用户做了正确的事情来加强它。考虑以电子邮件为中心的安全编排自动化和响应 (SOAR) 工具，例如 M-SOAR，以自动化和改进对电子邮件攻击的响应。

安全环境对于防范“人为操作”的勒索软件至关重要，因此需要对整个组织进行全面了解。SRM 领导者应将以下内容作为其防范勒索软件的策略的一部分：

建立可靠的资产管理流程，以确定需要保护的内容和责任人。应特别注意遗留系统（请参阅企业资产管理软件魔力象限）。
实施包含威胁情报 (TI) 的基于风险的漏洞管理流程。勒索软件通常依赖未打补丁的系统来允许横向移动。这应该是一个持续的过程。随着漏洞被攻击者利用，与漏洞相关的风险会发生变化（请参阅有效漏洞管理的基本要素）。
删除用户在端点上的本地管理权限并限制对最敏感的业务应用程序的访问，包括电子邮件，以防止帐户被盗（请参阅特权访问管理魔力象限）。
对配置错误和不合规的系统实施合规扫描，以及渗透测试和破坏攻击模拟 (BAS)工具。
为特权用户实施强身份验证，例如数据库和基础设施管理员以及服务帐户。记录活动。不良行为者通常会使用已知的、检测到的恶意软件来访问更高特权的帐户凭据。

勒索软件攻击通常遵循图2 所示的攻击模式

SRM 领导者应使他们的安全策略与攻击者使用的模式和技术保持一致。MITRE ATT & CK 框架可用于评估和评分组织针对每个阶段的保护。MITRE 还提供SHIELD ，这是一个将攻击技术映射到防御技术的主动防御知识库，以及一个网络 TI 存储库，其中列出了所使用的后妥协技术和策略。

攻击从入口开始，即攻击的初始点。这通常采取通过网络钓鱼或有针对性的攻击提供的受感染网站的形式。安全电子邮件网关 (SEG) 和安全 Web 网关 (SWG) 可以帮助提供保护。网络隔离等技术也可以限制影响。如前所述，另一种常见的攻击方法是通过易受攻击的 RDP 端口。渗透测试可以有效地发现防御漏洞。

一旦受到攻击，端点保护平台 (EPP)、端点检测和响应 ( EDR ) 以及移动威胁防御 (MTD) 解决方案应作为防御的一部分。如果内部团队没有必要的技能或带宽，请使用托管服务补充 EDR（请参阅托管检测和响应服务市场指南）。EDR 工具旨在检测加密活动并阻止其继续进行。

受感染的机器通过命令和控制通道接收指令。DNS 安全、SWG 和其他网络检测和响应 (NDR) 解决方案可以检测和阻止这些通道。当攻击者试图在组织中移动时，会发生进一步的隧道或横向移动。端点防火墙和网络分段，以及强大的漏洞和补丁管理，限制了攻击者能够实现的目标。

实施检测措施以识别勒索软件攻击

不可避免地，勒索软件可能会越过您的防御和实施的保护措施。然后，您能够以多快的速度检测到事件就变成了问题。为保护而描述的许多工具还将提供用于检测的数据和遥测。特别是，EDR 工具收集的危害指标 (IOC) 和事件可能不足以具体识别和防止攻击，但可以表明“可能”正在发生攻击。EDR 还可以帮助识别“挖掘”，即攻击保持安静，同时收集进一步受损的帐户和特权。

对这些IOC和事件的理解、解释和调查往往需要更高水平的专业知识。它越来越多地作为 EDR 解决方案的一部分或作为更广泛的 MDR 或托管解决方案购买。使用这些服务可能对没有员工或技能集以拥有自己的安全运营中心 (SOC) 的组织有益。

其他安全工具也在检测阶段发挥作用。入侵防御系统 (IPS) 以及 NDR 和网络流量分析 (NTA) 解决方案可以帮助提供早期检测（请参阅网络检测和响应市场指南）。欺骗工具也很有效。这可以像设置从未实际使用过的虚假“管理”帐户一样简单，因此，如果尝试使用它，则可以发送警报。其他类型的诱饵，例如欺骗平台和蜜罐，也可以作为勒索软件防御策略的一部分进行部署。

除了来自安全工具的 IOC 和警报之外，查看“未发生”的情况也很重要。如果备份计划重新更改或停止，备份量或更改率会意外增加。某些机器上禁用的卷影副本以及不再在机器上运行的安全工具可能表明攻击者在组织内部。

一旦检测到勒索软件攻击，将影响降至最低至关重要。最常用的技术是隔离。有多种隔离技术，许多 EDR 工具提供设备上隔离功能，使事件响应者能够将机器与网络的其余部分隔离，同时允许远程访问以进行补救。

基于网络的隔离更像是一种钝器，需要根据硬件级别的 MAC 地址禁止可疑设备（因此成熟的资产管理很重要）。这适用于本地网络交换机、虚拟专用网络 (VPN)、网络访问控制 (NAC) 和组织的 Wi-Fi 接入点。这通常会变成疯狂地拔出网络电缆。但是，这可能会减慢恢复阶段，因为它需要对设备进行物理访问以进行修复。

许多组织将需要帮助来帮助减轻攻击并从攻击中恢复。专业的事件响应团队可以发挥重要作用，并且拥有一个事件响应保留器可以降低响应的成本和速度。

战术恢复步骤会有所不同，具体取决于勒索软件的组织和范围，但将涉及：

从备份中恢复数据，包括验证这些备份的完整性以及了解哪些数据（如果有）已丢失。
一旦受到威胁，EPP 和 EDR 以及 MTD 解决方案应用作补救响应的一部分，以消除威胁并回滚任何更改。如前所述，恢复不仅仅是恢复数据。受感染的机器可能被“锁定”并且可能需要物理访问。在准备阶段，了解和计划如何实现这一点很重要。
在允许设备返回网络之前验证设备的完整性。
更新或删除受损凭据；没有这个，攻击者将能够再次获得进入。
对发生的方式和事件进行彻底的根本原因分析，包括任何已被泄露的数据。当不良行为者威胁要发布被盗信息时，就会发生。

如果受害者决定不支付赎金，这将越来越成为一种次要的勒索方法。

基础设施即服务 ( IaaS) 和平台即服务 (PaaS) 环境同样容易受到勒索软件攻击。从概念上讲，应该以同样的方式处理。改变的是需要执行以隔离受影响的设备/网段的战术活动。

通过培训人员和安排演习建立事故后响应程序

SRM 领导者最终必须为勒索软件攻击成功做好准备，并制定适当的计划、流程和程序。这些计划需要包括 IT 方面，以及与内部员工和合作伙伴\供应商的沟通计划。SRM 领导者快速清晰地传达问题对于恢复非常重要。提供有关状态以及系统何时恢复到系统可用点的定期更新。一些网络危机模拟工具可以帮助识别程序、角色和责任方面的差距。

这些计划将根据勒索软件攻击的程度和成功程度而有所不同。它可能只是组织的一小部分，影响可能很小。对于更大规模的攻击，影响可能会超出组织范围，影响到客户和合作伙伴。作为准备工作的一部分，定期进行消防演习或桌面练习来排练响应可能是有益的。

恢复进行后，收集足够的信息以了解攻击的根本原因并了解哪些控制措施失败或没有到位。同样，专业的数字取证和事件响应服务在此分析中发挥着重要作用。系统恢复后，实施经验教训并将其反馈到准备阶段至关重要。

收录于公众号合集 #网络研究院 46个

上一篇多个国家/地区根据使用、存储和共享旅行者数据的方式

下一篇 5家全球热门数据中心芯片供应商