勒索软件攻击越来越针对事件响应

网络安全 2021年08月04日

勒索软件攻击正变得更具破坏性,通过擦除日志文件、发起拒绝服务攻击,甚至在某些情况下开始破坏数据以贬低受害者,来抵制事件响应 (IR)。

这是安全公司 VMWare Carbon Black 的 2021 年网络安全展望:针对英国 IT 专业人员的攻击者与防御者调查的发现,该调查强调了有史以来最经济危险的恶意软件如何继续其令人不快的演变。

通常,像这样的调查提供了大多数专业人士可能自己猜到的那种头条新闻——勒索软件越来越糟,从更广泛的受害者中提取更大的勒索软件。但在这些可预测的趋势背后往往隐藏着不那么明显的片段,这些片段为我们提供了有关勒索软件在未来几个月的发展方向的重要线索。历史表明,IT 专业人员和企业主应始终将此类数据视为未来问题的预警。

最重要的是勒索软件攻击者越来越倾向于在拒绝服务之前针对反 IR 系统,特别是可能用于向防御者揭示攻击程度的安全工具(33% 的受访者提到)( 26%),通常用于在进攻进行时分散防守者的注意力。其他技术包括销毁日志文件 (15%),在检测和事件后取证响应期间使用,监控电子邮件渠道 (9%) 以跟踪防御者对攻击的反应,以及彻底的破坏性攻击 (7%),大概是一种方式恐吓防御者付出代价。总而言之,三分之二的受访者表示他们至少接受过其中一种技术。


勒索软件攻击越来越投机取巧


毋庸置疑,勒索软件已经以备份系统为目标并窃取数据,这是一种双重勒索新策略的一部分,在这种策略中,除非迅速支付赎金,否则攻击者威胁要发布敏感数据。调查中没有提到的另一个容易忽视的趋势是勒索软件攻击现在攻击某些类型的软件漏洞的速度,通常在这些漏洞公开后的几个小时内。

这种现象的一个完美例子是最近针对 3 月 2 日首次披露的所谓 ProxyLogon 漏洞针对本地 Microsoft Exchange 服务器的攻击浪潮。最初,这些攻击是由民族国家攻击者发起的,但勒索软件很快就发现了利用一个严重问题的机会,该问题允许后门访问任何未打补丁的服务器。到 3 月 11 日,一种名为 DearCry 的勒索软件开始感染易受攻击的服务器,包括英国的一些服务器。 Microsoft 使用带外补丁修复了 ProxyLogon 漏洞,但每个人通常需要数周或数月才能应用此漏洞。不管这可能是可以理解的,在网络安全方面,这实在是太慢了。


如何防止勒索软件攻击


除了勒索软件的存在加强了对持续人工分析和监视的需求之外,没有其他简单的方法可以解决勒索软件的问题。较小的公司将越来越需要投资于托管服务,以支持他们应对现在对内部安全团队来说过于复杂的威胁。较大的组织有更多的选择,但即使在这里,将安全视为可以留给自动化的东西的趋势可能会受到现实的影响。至少,组织需要多层保护和流程保证来评估其暴露和风险水平。随着攻击的发展,防御者必须在一场战斗中与他们一起发展,在这种战斗中,遏制可能代表着最好的胜利。防御者可以做些什么来保护自己?

验证

第一个反勒索软件防御是预防。这意味着,首先,使用强身份验证锁定所有用户帐户,包括特权帐户。许多勒索软件攻击始于某种形式的凭据滥用,不仅包括用户帐户,还包括远程桌面协议 (RDP) 等内容,这一事实证明了这一建议。身份验证的意思是,即使员工成功被钓鱼,攻击者仍然必须攻克身份验证系统。在基于令牌的身份验证的情况下,在记录的攻击中从未实现过成功的网络钓鱼。

测试备份

第二道防线是确保组织拥有良好的备份策略,包括离线备份。这将使服务重新上线成为一个更容易的过程,但是,这会带来一些警告。首先,如果恢复需要数天或数周才能实施,仅靠备份是不够的。组织必须在攻击前测试他们的备份过程,以了解这需要多长时间。

最大限度地减少数据暴露

今天的勒索软件攻击者不仅会加密数据,还会窃取数据。事实上,这在某种程度上一直都是如此,但战术已经成为许多攻击的主要动机。这给受害者带来了令人不安的问题。即使组织可以在遭受攻击后恢复其服务器,他们如何检索被盗数据?可悲的是,答案是他们不能。这些数据永远消失了,永远不可能“被盗”。这使得最大限度地减少任何攻击可以访问的数据量至关重要。一些组织甚至严格限制了任何 PC 可以看到的数据量,从而限制了本地存储。许多中小型企业会对此望而却步,但可以说是勒索软件攻击使这种方法成为必要。

渗透测试

进行渗透测试提供了一个很好的基线评估,这将发现明显的弱点。更好的是,投资于“红队演习”,在其中测试组织的整个安全性,包括员工的行为和人身安全。渗透测试的局限性在于它只能提供漏洞的快照,因此必须进行跟进。

支付赎金

Sophos 的《2021 年勒索软件现状报告》发现,大约三分之一的成功攻击者支付了赎金,但只有 8% 的人取回了所有数据。平均数据恢复率仅为 65%,这引发了一个问题,即采用简单的选项是否是一个简单的选项。赎金还可能导致受害者被标记为资金的“软”目标,从而鼓励未来的攻击。网络保险会承保吗?不太可能,此外还有人猜测供应商可能会在成本上升的某个时候离开市场。

事件响应

当勒索信出现在多个 PC 屏幕上时,这意味着攻击者几乎可以肯定已经进入网络数天或数周。这使得制定应对计划变得至关重要。如果做不到这一点,中小企业必须准备好求助于具有处理勒索软件攻击专业知识的托管服务提供商 (MSP)。这不会便宜,但它可能是紧急情况下的唯一希望。受害者还可以向国家网络安全中心 (NCSC) 寻求建议,其工作之一是支持遭受此类攻击的英国组织。


第三方认证


根据您组织的规模和您可能拥有的网络安全专业知识的访问级别,您的领导团队可能正在寻找所有必要措施都已到位的安慰。独立的第三方认证将是实现这一目标的一种方式。从政府资助的 Cyber?? Essentials 和 Cyber?? Essentials Plus 计划到 UKAS 认可的 ISO 27001 认证,这些都为负责确保组织适当保护自己免受攻击的人提供了不同程度的保证。


员工培训的重要性


即使有专家和第三方对您的网络安全工作提供独立评估,对大多数组织的最大威胁也不一定是您所期望的。正如本白皮书所解释的那样,黑客并不是您安全的最大威胁。如果您想有机会避免成为受害者,那么确保员工就需要注意的威胁以及如何应对这些威胁进行适当的培训至关重要。这些面向初学者的网络安全和网络钓鱼意识电子学习课程是确保您的员工不会成为您最大弱点的理想方式。


返回所有文章


留言