[[434298]]

隨著時間的推移，勒索軟件的威脅在頻率、復(fù)雜度和有效性上都在不斷增加。最初可能只是簡單的勒索贖金計劃，現(xiàn)在已發(fā)展成為成熟的勒索軟件即服務(wù)(RaaS)提供商生態(tài)系統(tǒng)，網(wǎng)絡(luò)攻擊者甚至利用雙重甚至三重威脅勒索策略來確保滿足他們的勒索要求。

如今，沒有任何一家企業(yè)是安全的。勒索軟件即服務(wù)(RaaS)市場使網(wǎng)絡(luò)犯罪分子能夠利用最先進(jìn)的技術(shù)針對特定組織(基于規(guī)模、行業(yè)、地理位置以及它們是在公共部門還是私營部門)進(jìn)行攻擊。

那么應(yīng)該擔(dān)心些什么?

企業(yè)對于勒索軟件攻擊主要的擔(dān)憂是，由于數(shù)據(jù)、應(yīng)用程序和系統(tǒng)可能被封鎖，這使得他們無法開展業(yè)務(wù)。然后，他們擔(dān)心網(wǎng)絡(luò)攻擊會付出什么代價;是否需要支付勒索軟件費用的問題，因為77%的網(wǎng)絡(luò)攻擊還包括泄露數(shù)據(jù)的威脅。接下來是收入損失、平均23天的停機時間、補救成本以及對企業(yè)聲譽的影響等問題。

但這些都是網(wǎng)絡(luò)攻擊之后出現(xiàn)的問題，企業(yè)首先應(yīng)該專注于可以采取哪些有效措施來阻止勒索軟件攻擊。

真正關(guān)注勒索軟件大規(guī)模增長的企業(yè)正在努力了解網(wǎng)絡(luò)威脅行為者使用的策略、技術(shù)和程序，以制定預(yù)防、檢測和響應(yīng)措施，以減輕風(fēng)險或最大限度地減少網(wǎng)絡(luò)攻擊的影響。此外，企業(yè)需要仔細(xì)審查他們現(xiàn)有的技術(shù)、流程和框架，并詢問他們的第三方供應(yīng)鏈供應(yīng)商。最終，他們正在努力確定必須防范勒索軟件的最關(guān)鍵系統(tǒng)。

但是，這些都不是企業(yè)應(yīng)該主要關(guān)注的地方。在這一切的核心中，憑據(jù)泄露是勒索軟件攻擊的主要原因，因為憑據(jù)為黑客提供了將企業(yè)的系統(tǒng)劫持為人質(zhì)所需的訪問權(quán)限。如果企業(yè)消除用戶名/密碼憑證，就消除了它們最容易進(jìn)入其系統(tǒng)的入口點。

關(guān)注憑據(jù)

要了解勒索軟件攻擊中的憑據(jù)問題，必須了解憑據(jù)的真正含義。憑證代表用戶的身份，通常由用戶名和密碼組成，企業(yè)有時也會采用第二種形式的身份驗證(2FA)或多因素身份驗證(MFA)。在這種情況下，企業(yè)在憑證中的“身份”是密碼，大多數(shù)安全系統(tǒng)假定它是由其合法所有者使用的。

不幸的是，這些憑據(jù)可能會被盜、共享、購買或黑客攻擊并用于實現(xiàn)初始訪問。一旦進(jìn)入，威脅參與者通常會尋求破壞特權(quán)訪問憑證以進(jìn)一步滲透目錄服務(wù)。

一個簡單的8個字符的密碼可以在1小時內(nèi)破解，一個12個字符的密碼可以在幾周內(nèi)破解。隨著計算機處理速度的提高和軟件的智能化，破解密碼的時間會越來越短，這使用網(wǎng)絡(luò)攻擊者查找和使用憑證變得容易。他們使用Mimikatz和Microsoft的PsExec等合法工具從系統(tǒng)內(nèi)存中轉(zhuǎn)儲憑據(jù)，并在遠(yuǎn)程系統(tǒng)上執(zhí)行進(jìn)程。

經(jīng)驗較少的威脅行為者可以購買被盜的憑據(jù)，他們能夠以低至20美元的價格購買低級別憑證，管理員級別帳戶的憑證價格從500美元到12萬美元不等。

既然知道將重點放在何處，那么如何應(yīng)對風(fēng)險?

為什么用戶名和密碼不夠好?

用戶名/密碼憑證本質(zhì)上假定誰在訪問嘗試的另一側(cè)。僅使用用戶名和密碼，企業(yè)實際上永遠(yuǎn)不會將經(jīng)過驗證的身份附加到憑據(jù)中，因為任何人都可以使用它們。即使是雙因素身份驗證(2FA)、多因素身份驗證(MFA)和FaceID和TouchID等生物識別系統(tǒng)也只建立在密碼和用戶名上——它們當(dāng)然有助于提升企業(yè)的安全性，但并不能解決密碼和用戶名的核心漏洞。此外，還有無數(shù)的一次性密碼破解、短信劫持、SIM卡交換等示例。所有這些都表明，如果威脅行為者有意繞過雙因素身份驗證，他們很可能做到。

這并不是說企業(yè)不應(yīng)使用多因素身份驗證(MFA)和二級安全來源。對安全系統(tǒng)的驗證應(yīng)該始終不止一層，但要使這些措施真正有效，企業(yè)必須建立一個與它們正在驗證的憑據(jù)相關(guān)聯(lián)的經(jīng)過驗證的身份。

如何將身份與憑證相關(guān)聯(lián)

首先，用戶必須改變其對身份是什么以及它如何在其安全和身份驗證中起作用的心態(tài)。身份驗證依賴于三個要素：知道的東西、擁有的東西和身份。“知道的東西”是最容易受到網(wǎng)絡(luò)攻擊的身份驗證形式，因為如果知道這些，那么其他人也可以。然而，它是用戶名/密碼憑證的核心。為了在認(rèn)證過程中建立一個可驗證的身份，必須消除“知道的東西”，專注于“擁有的東西”和“身份”。

隨著最近關(guān)于改善網(wǎng)絡(luò)安全的行政命令，身份驗證和生物特征認(rèn)證正在獲得動力。在其中，美國總統(tǒng)拜登呼吁美國政府機構(gòu)為內(nèi)部部署設(shè)施和基于云計算的環(huán)境轉(zhuǎn)向零信任架構(gòu)。零信任基于“永不信任，始終驗證”的原則。在憑據(jù)的場景中，這意味著企業(yè)不相信帳戶所有者正在提出訪問系統(tǒng)、應(yīng)用程序或數(shù)據(jù)的請求，直到它得到絕對驗證。

遵循零信任驗證身份需要將“擁有的東西”(例如駕照或護(hù)照)與“身份”(例如活的生物識別特征)相結(jié)合。由于最近的技術(shù)進(jìn)步，用戶可以將政府部門頒發(fā)的文件上傳到企業(yè)的安全系統(tǒng)，并且在每次登錄嘗試時都會根據(jù)這些文件驗證他們的實時生物識別信息。用戶現(xiàn)在已經(jīng)建立并附加了確認(rèn)的身份到他們的憑證中。

因此，在勒索軟件的背景下，這意味著企業(yè)甚至可以大幅減少經(jīng)驗豐富的勒索軟件威脅參與者對其憑據(jù)的訪問。

將何去何從?

隨著企業(yè)努力確定勒索軟件攻擊的預(yù)防策略，答案在于查看威脅行為者更常使用的內(nèi)容。憑證問題不能通過簡單地消除密碼和用戶名來解決。無密碼解決方案無疑是未來的趨勢，但如果不首先驗證用戶的身份，它們就毫無用處。

身份驗證是企業(yè)安全系統(tǒng)中提供訪問權(quán)限的最重要步驟，在身份建立之前無法進(jìn)行身份驗證。這稱為基于身份的身份驗證，它是有效安全措施的基礎(chǔ)。一旦建立了具有高效率的身份，基于密碼的憑證就會過時。最終目標(biāo)不是無密碼解決方案，其目標(biāo)是基于身份的身份驗證，無密碼解決方案是實現(xiàn)這一目標(biāo)的手段。

勒索軟件攻擊的成功取決于給予網(wǎng)絡(luò)攻擊者的機會。采用正確的技術(shù)將使企業(yè)能夠擺脫被動的安全方法，并有效應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)攻擊。