SentinelOne最近發(fā)布了一份關(guān)于企業(yè)的安全報告——《了解企業(yè)中的勒索軟件》，這是一份全面的企業(yè)安全指南，可幫助組織理解、計劃、響應(yīng)和防范這種目前普遍存在的威脅。

這篇文章就是選取了其中的部分章節(jié)，還原了一個關(guān)于如何減少攻擊面的示例。

[[339977]]

隨著網(wǎng)絡(luò)辦公成為一種常態(tài)，勒索軟件攻擊也呈現(xiàn)了上升態(tài)勢，事實上，勒索即服務(wù)(Raas)和其相關(guān)產(chǎn)業(yè)所帶來的好處(低風(fēng)險和豐厚回報)表明，在可預(yù)見的未來，勒索軟件將繼續(xù)發(fā)展，并變得越來越復(fù)雜。

勒索軟件即服務(wù)模式是指，勒索軟件編寫者開發(fā)出惡意代碼，并提供給其他犯罪分子(有時通過購買)，讓他們可以通過網(wǎng)絡(luò)釣魚或其他攻擊發(fā)送給目標用戶。隨著云計算、移動互聯(lián)網(wǎng)、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)的持續(xù)演進，網(wǎng)絡(luò)安全形勢變得尤為復(fù)雜嚴峻。網(wǎng)絡(luò)攻擊“道高一尺，魔高一丈”，網(wǎng)絡(luò)安全問題層出不窮，給政府、企事業(yè)單位帶來風(fēng)險威脅級別升高，挑戰(zhàn)前所未有。目前灰產(chǎn)、黑產(chǎn)環(huán)境比較復(fù)雜，很多攻擊手段已經(jīng)向云和SaaS服務(wù)方面發(fā)展，暗網(wǎng)已經(jīng)存在專業(yè)提供勒索即服務(wù)(Raas)的服務(wù)模式，另外很多勒索攻擊軟件已經(jīng)開源，易用性得到了極大的提高，同時也大大降低了網(wǎng)絡(luò)攻擊的技術(shù)門檻。  

例如，DopplePaymer勒索軟件，SpaceX和美國宇航局NASA首次載人火箭發(fā)射成功后不久，一個名為DopplePaymer的勒索團伙即刻宣布他們?nèi)肭至艘患颐麨镈MI的公司內(nèi)網(wǎng)，這家公司正是NASA的一家IT供應(yīng)商，該團伙甚至囂張地留下了祝賀信息來挑釁。按照慣例，DopplePaymer團伙在“泄密網(wǎng)站”上發(fā)布一些竊取的數(shù)據(jù)是為了向被入侵網(wǎng)絡(luò)系統(tǒng)的公司索取贖金，倘若受害者(通常是一家大公司)仍然拒絕支付，他們將會公開所有的文件作為報復(fù)，并且向記者提供泄露信息。

通常，DopplePaymer使用閃電般的有效載荷在不到7秒的時間內(nèi)對主機執(zhí)行超過2000次惡意操作。這意味著，傳統(tǒng)的檢測和響應(yīng)方法無法防止這種攻擊，而防御者對勒索軟件的響應(yīng)往往是在勒索軟件達到其目標后才開始。

為了更有效地防止勒索軟件，請盡可能采取以下步驟。

威脅情報的收集

你對你的攻擊面了解多少，只有知己知彼才能增強你的防御能力，并幫助你了解和控制你的攻擊面。

高度組織化的犯罪軟件組織，如Dridex和TrickBot已經(jīng)證明了他們利用勒索軟件作為主要攻擊載體所取得的成功。Dridex 早期版本很原始，但這幾年來該惡意軟件變得越來越專業(yè)和復(fù)雜。事實上，Dridex 攻擊活動在 2015 和 2016 年里非常活躍，已成最為普遍的電子犯罪惡意軟件家族。TrickBot銀行木馬自2016年問世以來，一直活躍至今。它從最初的銀行木馬發(fā)展到今天已經(jīng)成為一款強大的惡意家族軟件，其功能包括盜取用戶電子郵箱、收集系統(tǒng)信息以及盜取瀏覽器隱私信息等等。經(jīng)過幾年的發(fā)展，TrickBot銀行木馬已經(jīng)變得高度模塊化，其可以由威脅參與者根據(jù)目標環(huán)境進行配置，進而實現(xiàn)不同的惡意功能。在它們曾經(jīng)主要依賴銀行欺詐的地方，它們的業(yè)務(wù)已經(jīng)發(fā)生了明顯的變化。這吸引了許多新的創(chuàng)業(yè)公司試圖效仿他們的成功。毫無疑問，RaaS的泛濫已經(jīng)對許多公司網(wǎng)絡(luò)造成了嚴重破壞。

然而，在迅速發(fā)展的勒索軟件服務(wù)領(lǐng)域，各組織爭奪主導(dǎo)地位的競爭似乎有所升級。運營商不再滿足于個人用戶，他們現(xiàn)在正在尋求巨額回報。運營商會在網(wǎng)絡(luò)上連續(xù)數(shù)日或數(shù)周搜索，試圖繪制數(shù)據(jù)點，找到最誘人的數(shù)據(jù)目標，從而為他們提供最佳的攻擊手段。

勒索軟件運營商現(xiàn)在正試圖完善他們的勒索方案，美國聯(lián)邦調(diào)查局在RSA發(fā)布的最新數(shù)據(jù)顯示，RYUK勒索軟件的運營者總共獲得了6100萬美元的收入。這一數(shù)字只包括了2018年2月至2019年10月期間的行動。2020年1月至今，工業(yè)企業(yè)的生產(chǎn)網(wǎng)絡(luò)或辦公網(wǎng)絡(luò)遭受數(shù)十起勒索軟件攻擊，其中僅Ryuk勒索軟件就感染了EVRAZ、EMCOR Group、EWA等多家工業(yè)企業(yè)，加密企業(yè)關(guān)鍵數(shù)據(jù)信息，導(dǎo)致企業(yè)停工、停產(chǎn)，造成重大的經(jīng)濟損失。

Maze和Revil (sodinokibi)的運營商正在利用媒體和數(shù)據(jù)泄露網(wǎng)站，以進一步威脅和羞辱受害者，以威脅支付他們滿足勒索要求。Maze勒索軟件在過去的大約一年時間里被廣泛使用，成為全世界許多不同參與者的最終有效載荷。今年，臭名昭著的Maze運營商不僅開始通過加密文件勒索公司，而且威脅會在線發(fā)布被竊取的文件，從而勒索公司。最近，我們抓住了一個Maze會員，該會員嘗試通過借由我們客戶的網(wǎng)絡(luò)進行傳播。許多勒索軟件家族，如DoppelPaymer, Clop, Netwalker, ATO和其他類似的網(wǎng)站都有泄露網(wǎng)站的操作。隨著網(wǎng)絡(luò)辦公的興起，這種攻擊不太可能在短期內(nèi)消失，這些惡意組織現(xiàn)在擁有大量的資金來加強他們的攻擊并進一步改進他們的產(chǎn)品。

如何發(fā)現(xiàn)勒索攻擊

勒索軟件犯罪分子利用社交，移動，云和軟件定義的網(wǎng)絡(luò)等技術(shù)，利用BYOD，物聯(lián)網(wǎng)和數(shù)字化轉(zhuǎn)型計劃所帶來的挑戰(zhàn)和漏洞。遠程工作人員要求能夠隨時隨地工作，同時訪問公司數(shù)據(jù)和使用云應(yīng)用程序也帶來了挑戰(zhàn)，并增加了攻擊面。為了控制并采取行動，防御者的目標是使用主動和被動發(fā)現(xiàn)來連續(xù)發(fā)現(xiàn)所有連接的設(shè)備并對其進行指紋識別，以識別并創(chuàng)建甚至間歇性連接的設(shè)備的實時清單，以便用戶查找和控制惡意終端。

軟件漏洞允許攻擊者使用開發(fā)工具包來傳播勒索軟件，通過了解終端和服務(wù)器上具有哪些操作系統(tǒng)，軟件和版本，可以對終端發(fā)現(xiàn)進行補充，這對任何修補程序管理過程都很重要。比如：

• 哪些設(shè)備連接到我的環(huán)境?
• 在我的環(huán)境中連接了哪些設(shè)備?
• 設(shè)備最后一次或第一次出現(xiàn)在我的環(huán)境是什么時候?
• 哪些設(shè)備是未受管理和不受保護的?
• 什么是設(shè)備的IP?蘋果電腦?制造商?類型?
• 此設(shè)備是否打開了特定端口?
• 設(shè)備在這個端口上報告什么信息?
• 它連接在哪個網(wǎng)絡(luò)(在哪個GW后面)?
• 連接的終端上安裝了哪些應(yīng)用程序?
• 組織中是否有未經(jīng)授權(quán)的應(yīng)用程序在運行?

控制漏洞并強化配置

在你了解了環(huán)境中有哪些設(shè)備以及它們上安裝了哪些程序之后，你需要控制訪問、減輕漏洞并加固這些終端及其上的軟件。

集中管理設(shè)備配置和遵從性的評估和實施對于減少攻擊面非常重要，不兼容的設(shè)備應(yīng)該重新配置和加固。加強虛擬專用網(wǎng)連接、強制磁盤加密和端口控制將減少勒索軟件的攻擊面。

修補程序管理是關(guān)鍵，但是由于每年都會出現(xiàn)數(shù)以千計的新漏洞，沒有哪個組織會真正地修補每一個漏洞。擁有一個基于風(fēng)險的結(jié)構(gòu)化方法是最好的，但是沒有一種方法是絕對正確的。

通過集中管理應(yīng)用程序控制，安全團隊可以控制在終端環(huán)境中運行的所有軟件，并防止未修補的漏洞被利用。它允許新軟件的授權(quán)，并防止其他未經(jīng)授權(quán)的、惡意的、不可信的或不必要的應(yīng)用程序的執(zhí)行。

控制端的人為漏洞

通常，勒索軟件最薄弱的環(huán)節(jié)是我們?nèi)祟悺Ｖ饕墓羟廊匀皇请娮余]件或訪問有風(fēng)險的網(wǎng)站。網(wǎng)絡(luò)釣魚、魚叉式網(wǎng)絡(luò)釣魚正變得越來越復(fù)雜和有針對性，它們附帶著惡意文件或勒索軟件鏈接，引誘那些用戶去點擊。

因此制定一項員工教育和培訓(xùn)計劃，對于營造一種懷疑和警惕的企業(yè)安全文化很重要，與員工分享現(xiàn)實世界的例子，以及測試彈性很重要，但即便是最優(yōu)秀的人也會有最脆弱的時刻。你可以降低風(fēng)險，但不能僅僅通過培訓(xùn)來消除風(fēng)險。

你可以使用包含以下功能的產(chǎn)品來提高電子郵件安全性：

• 對入站或存檔電子郵件進行URL掃描，直到對網(wǎng)站進行惡意軟件檢查后才允許點擊目標網(wǎng)站;
• 在發(fā)送之前，檢測郵箱中帶有攻擊附件的郵件，并在點擊前重定向到沙箱。
• 防止假冒、社會工程，域名竊取和掩蓋;

勒索軟件只有在感染病毒的用戶更改和加密文件時才有權(quán)更改和加密文件，控制用戶對關(guān)鍵網(wǎng)絡(luò)資源的訪問是必要的，以限制這種情況的暴露，并確保橫向移動感染更加困難。

因此，確保特權(quán)是當(dāng)前的和最新的，并且用戶只能訪問其職責(zé)所需的適當(dāng)文件和網(wǎng)絡(luò)位置是至關(guān)重要的。

監(jiān)控和控制網(wǎng)絡(luò)內(nèi)外的用戶行為將允許警報和操作自動響應(yīng)對服務(wù)器，文件共享或網(wǎng)絡(luò)異常區(qū)域的可疑偏差。由終端記錄數(shù)據(jù)、憑證的使用和連接可以突出顯示生產(chǎn)率變化或可能的安全破壞信號?？梢允褂孟馝DR這樣的工具來記錄每個文件的執(zhí)行和修改、注冊表更改、網(wǎng)絡(luò)連接和跨組織連接終端的二進制執(zhí)行，增強威脅的可見性以加快運行速度。

改善終端安全性

幾乎所有組織都具有終端安全性，但是，為了防止勒索軟件，僅靠靜態(tài)檢測和防病毒已遠遠不夠。在終端保護中具有高級功能以及通過集中式管理系統(tǒng)執(zhí)行終端管理和防御的能力變得越來越重要。

良好的終端安全性應(yīng)該包括多個靜態(tài)和行為檢測引擎，使用機器學(xué)習(xí)和人工智能加速檢測和分析。開發(fā)保護、設(shè)備控制、訪問控制、漏洞控制和應(yīng)用程序控制也很重要。在組合中添加終端檢測和響應(yīng)(EDR)，提供取證分析和根本原因，以及諸如隔離、轉(zhuǎn)移到沙箱和自動修復(fù)的回滾功能等即時響應(yīng)操作，這些都是重要的考慮因素。