2020年，勒索軟件已經(jīng)成為很多企業(yè)的頭號威脅，而2021年勒索軟件將繼續(xù)進(jìn)化，攻擊手段更加復(fù)雜，產(chǎn)業(yè)化程度不斷提高，攻擊范圍也將擴(kuò)大，更加難以防范。

隨著勒索軟件攻擊頻率和強(qiáng)度的不斷增加，一件事變得越來越清楚：企業(yè)和機(jī)構(gòu)需要行動起來保護(hù)自己。不幸的是，大多數(shù)組織都早早放棄了抵抗。已知的勒索軟件受害者中，大多數(shù)在遭到攻擊前都收到了有關(guān)潛在漏洞的警告，但并沒有在遭受打擊時做好準(zhǔn)備。以下是勒索軟件預(yù)防和事件響應(yīng)失敗的一些典型案例：

• 在2018年亞特蘭大市遭到勒索軟件攻擊的兩個月前，安全審計(jì)發(fā)現(xiàn)了1,500多個嚴(yán)重的安全漏洞。
• 2019年美國巴爾的摩市遭受勒索軟件攻擊，停機(jī)長達(dá)數(shù)周。攻擊發(fā)生之前，一項(xiàng)風(fēng)險評估工作已經(jīng)發(fā)現(xiàn)了大量嚴(yán)重漏洞，這是由于服務(wù)器運(yùn)行的操作系統(tǒng)過時(因此缺乏最新的安全補(bǔ)丁)以及備份不足以還原這些服務(wù)器。
• 本田集團(tuán)今年6月受到攻擊，導(dǎo)致全球工廠業(yè)務(wù)和網(wǎng)絡(luò)服務(wù)中斷，某些計(jì)算機(jī)對遠(yuǎn)程桌面協(xié)議(RDP)的公共訪問可能已成為黑客利用的攻擊手段。使問題更加復(fù)雜的是，本田的企業(yè)IT網(wǎng)絡(luò)缺少足夠的網(wǎng)絡(luò)分段措施。
• 最近其他一些勒索軟件的著名受害者包括Travelex、Blackbaud和Garmin。

[[356007]]

在所有這些案例中，這些都是大型企業(yè)和組織，具有非常成熟的安全系統(tǒng)，那么問題出在哪里了?

三種常見的錯誤會導(dǎo)致預(yù)防不足和無效響應(yīng)，并且各種規(guī)模的組織都犯了此類錯誤：

• 無法從業(yè)務(wù)角度提出風(fēng)險，這對于說服業(yè)務(wù)領(lǐng)導(dǎo)者提供適當(dāng)?shù)馁Y金和政策支持至關(guān)重要。
• 在測試?yán)账鬈浖?zhǔn)備情況方面不夠深入。
• DR(數(shù)據(jù)恢復(fù))計(jì)劃不足，無法解決可能感染備份的勒索軟件威脅。

常見錯誤一：無法從業(yè)務(wù)角度提出安全風(fēng)險，無法獲得資金和政策支持

當(dāng)我們查看勒索軟件攻擊模擬結(jié)果時，往往會發(fā)現(xiàn)繞過基本安全措施(例如防火墻、電子郵件安全網(wǎng)關(guān)和反惡意軟件解決方案)有多么容易。勒索軟件進(jìn)入之前，有效負(fù)載已經(jīng)建立“灘頭陣地”，隨后是諸如反向DNS查找之類的技術(shù)，以識別Active Directory服務(wù)，該服務(wù)具備造成實(shí)際損失的必要特權(quán)。最后，攻擊者使用Kerberoasting進(jìn)行接管和控制。

沒有一家企業(yè)的IT網(wǎng)絡(luò)能夠防彈，但攻擊確實(shí)需要相當(dāng)一段時間。這意味著要進(jìn)行早期檢測以及部署更高級的入侵檢測，給黑客制造一系列的障礙(例如，更好的網(wǎng)絡(luò)分段、適當(dāng)?shù)淖罱K用戶限制等)，對于勒索軟件的預(yù)防至關(guān)重要。

對于安全從業(yè)人員而言，這不是什么新鮮事。但是說服企業(yè)領(lǐng)導(dǎo)者進(jìn)行更多的網(wǎng)絡(luò)安全投資是另外一個挑戰(zhàn)。

解決方法：量化業(yè)務(wù)影響以實(shí)現(xiàn)基于成本的明智業(yè)務(wù)決策

嚴(yán)格的安全控制(通過技術(shù)和策略)對企業(yè)來說是摩擦。盡管沒有企業(yè)領(lǐng)導(dǎo)者希望成為勒索軟件的受害者，但預(yù)算并不是無限的。

為了證明額外的成本和更嚴(yán)格的控制的合理性，您需要制作一個業(yè)務(wù)案例，不僅要說明風(fēng)險，而且要說明可量化的業(yè)務(wù)影響。幫助高級領(lǐng)導(dǎo)者將蘋果與蘋果進(jìn)行比較，在這種情況下，是提高安全性的成本(資本支出和潛在的生產(chǎn)力摩擦)與安全性破壞的成本(延長停機(jī)時間的直接成本以及聲譽(yù)受損的長期成本)。

評估業(yè)務(wù)影響不必太繁瑣。關(guān)鍵系統(tǒng)的影響評估相當(dāng)準(zhǔn)確，可以在一天之內(nèi)完成。專注于一些關(guān)鍵應(yīng)用程序和數(shù)據(jù)集，以獲取具有代表性的樣本，并對成本、商譽(yù)、合規(guī)性和/或健康與安全影響進(jìn)行粗略估計(jì)，具體取決于您的組織。在此階段，您不必十分精確即可識別潛在的重大影響。

以下是向企業(yè)高管介紹勒索軟件安全防御計(jì)劃的要點(diǎn)示例(用數(shù)字說話)：

勒索軟件造成的損失預(yù)估 資料來源：2020年ITRG《業(yè)務(wù)影響分析范例》

常見錯誤二：對勒索軟件防御能力的測試不夠深入

如果您尚未采用滲透測試驗(yàn)證相關(guān)安全技術(shù)和配置，請立即開始。如果您無法獲得資金，請重新閱讀如何解決錯誤一。

組織最常見的錯誤就是停止?jié)B透測試，并且不驗(yàn)證端到端事件響應(yīng)。對于需要與多個團(tuán)隊(duì)快速協(xié)調(diào)評估、遏制和恢復(fù)的大型組織而言，這尤其重要。

解決方法：進(jìn)行深入的桌面規(guī)劃練習(xí)，以涵蓋一系列假設(shè)場景

大多數(shù)桌面計(jì)劃練習(xí)的問題在于，它們僅設(shè)計(jì)用于簡單地驗(yàn)證您現(xiàn)有的事件響應(yīng)計(jì)劃(IRP)。

取而代之的應(yīng)該是深入研究攻擊可能如何發(fā)生以及您將采取什么措施來檢測，遏制并從攻擊中恢復(fù)。例如，如果您的IRP說要檢查其他受感染的系統(tǒng)，請具體說明如何進(jìn)行。您將使用哪些工具?您會查看哪些數(shù)據(jù)?您會尋找什么模式?

事實(shí)上，對于網(wǎng)絡(luò)安全專業(yè)人士來說，很難遇到一個真正擁有完善的事件響應(yīng)計(jì)劃的客戶。甚至具有成熟的安全體系和規(guī)范文檔的響應(yīng)計(jì)劃的組織，也經(jīng)常發(fā)現(xiàn)以下問題：

網(wǎng)絡(luò)安全和基礎(chǔ)架構(gòu)人員之間的協(xié)調(diào)不暢，評估階段的移交不清楚。

現(xiàn)有工具尚未得到充分利用(例如，配置自動包含功能)。

某些系統(tǒng)(例如，物聯(lián)網(wǎng)設(shè)備和舊系統(tǒng))的可見性有限。

常見錯誤三：備份策略和災(zāi)難恢復(fù)計(jì)劃沒有針對勒索軟件的預(yù)案

如以下圖例所示，在可擦寫存儲介質(zhì)上進(jìn)行數(shù)據(jù)快照和標(biāo)準(zhǔn)的每日備份還不夠好：

應(yīng)對勒索軟件的最后防線是您從備份中還原恢復(fù)，或者轉(zhuǎn)移到干凈的備用站點(diǎn)/系統(tǒng)的能力。

因此，勒索軟件攻擊的一個主要目標(biāo)就是消滅目標(biāo)的恢復(fù)能力。這意味著勒索軟件不僅會針對主要數(shù)據(jù)，還會針對備份和備用系統(tǒng)。如果你對勒索軟件沒有針對性的預(yù)案，那么這些花費(fèi)重金，主要用于防御颶風(fēng)和地震的災(zāi)備系統(tǒng)并不能有效抵擋勒索軟件的攻擊。

解決方法：將深度防御應(yīng)用于備份和災(zāi)難恢復(fù)策略

深度防御是當(dāng)下的最佳安全實(shí)踐，需要注意的是，數(shù)據(jù)備份和恢復(fù)也需要遵循深度防御的安全哲學(xué)。

深度防御不僅僅是試圖捕捉突破安全的漏洞，還應(yīng)當(dāng)包括花費(fèi)時間來檢測，遏制并從攻擊中恢復(fù)。

通過以下方法提高針對勒索軟件的備份與恢復(fù)的深度防御能力：

• 創(chuàng)建多個還原點(diǎn)，以便您可以更精細(xì)地進(jìn)行回滾，而不會丟失太多數(shù)據(jù)。
• 通過使用不同的存儲介質(zhì)(例如磁盤、NAS和/或磁帶)和備份位置(即異地備份)來降低感染備份的風(fēng)險。你給攻擊者設(shè)計(jì)的“溝”越多，越有可能在所有備份都被感染之前檢測到攻擊。從最關(guān)鍵的數(shù)據(jù)開始，設(shè)計(jì)一個兼顧業(yè)務(wù)需求、成本和風(fēng)險承受能力的勒索軟件數(shù)據(jù)安全解決方案。
• 投資防篡改備份的解決方案。大多數(shù)領(lǐng)先的備份解決方案都提供了確保備份不被篡改的功能(即，寫入后不能更改)。當(dāng)然，這樣做成本會更高，因此在確定需要更高級別保護(hù)時，請?jiān)俅慰紤]業(yè)務(wù)影響。

總結(jié)：

勒索軟件攻擊可能非常復(fù)雜，但大多數(shù)企業(yè)的基本安全實(shí)踐還不夠好。安全主管不僅需要提示攻擊風(fēng)險，而且還需要評估攻擊對業(yè)務(wù)的潛在影響，讓高層領(lǐng)導(dǎo)支持勒索軟件的準(zhǔn)備工作。總之，在勒索軟件越來越猖獗的今天，每個企業(yè)的安全主管都不能心存僥幸，請假設(shè)明天下班前就會遭遇攻擊，并盡早做好準(zhǔn)備，為可能發(fā)生的攻擊做出迅速響應(yīng)，同時進(jìn)行實(shí)際測試，制訂更有針對性的災(zāi)難恢復(fù)策略。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文