未來的勒索軟件攻擊是什么樣的?企業(yè)如何實(shí)現(xiàn)自身安全防護(hù)?

在過去十年左右的時(shí)間里，勒索軟件已經(jīng)逐漸發(fā)展成熟——從最初相對簡單的病毒，到現(xiàn)在有能力削弱全球醫(yī)療保健系統(tǒng)、干擾燃料供應(yīng)鏈或破壞交通基礎(chǔ)設(shè)施。它對惡意行為者的巨大吸引力在于其簡單易操作。勒索軟件攻擊無需特別復(fù)雜的操作即可實(shí)現(xiàn)大規(guī)模破壞，同時(shí)為犯罪分子賺取豐厚的贖金。出于這個(gè)原因，此類攻擊的數(shù)量未來仍將加速增長。

近日，英國情報(bào)機(jī)構(gòu)GCHQ披露稱，2021年，淪為勒索軟件攻擊目標(biāo)的英國企業(yè)數(shù)量高達(dá)去年的兩倍。其實(shí)，勒索軟件攻擊之所以如此危險(xiǎn)，部分原因在于它們會不斷發(fā)展演變。本文探討了勒索軟件在未來幾年變得更具危險(xiǎn)和破壞性的三種方式，以及組織可以保護(hù)自身免受此類攻擊的最佳實(shí)踐方案。

[[438130]]

趨勢1：勒索軟件將使用物聯(lián)網(wǎng)作為攻擊入口

如今，物聯(lián)網(wǎng)設(shè)備可謂無處不在，Gartner預(yù)測，到今年年底，物聯(lián)網(wǎng)設(shè)備的數(shù)量將超過250億。這其中許多設(shè)備都可作為攻擊入口，供惡意行為者實(shí)施非法企圖。在許多情況下，物聯(lián)網(wǎng)錯(cuò)誤配置(例如未更改的默認(rèn)設(shè)置，或仍在啟用不需要的服務(wù))會使設(shè)備暴露于危險(xiǎn)之中。

一項(xiàng)研究的結(jié)果顯示，18個(gè)月的時(shí)間內(nèi)，研究人員在14個(gè)TCP/IP協(xié)議棧中發(fā)現(xiàn)了總共97個(gè)漏洞，涉及遠(yuǎn)程代碼執(zhí)行、拒絕服務(wù)(DoS)攻擊和敏感信息獲取等方面。這些漏洞影響成百上千種產(chǎn)品，研究人員估計(jì)大約造成30億臺設(shè)備容易遭到黑客攻擊。

可以肯定地說，物聯(lián)網(wǎng)設(shè)備被用作攻擊入口的風(fēng)險(xiǎn)是真實(shí)存在的。

緩解建議：

• 想要適當(dāng)保護(hù)自身免受此類威脅的企業(yè)，需要確保他們對所有設(shè)備擁有全面的可見性，并了解與之相關(guān)的風(fēng)險(xiǎn)。畢竟，企業(yè)無法保護(hù)他們看不到的東西。
• 然后，他們可以確保采取糾正措施，例如更改默認(rèn)設(shè)置(包括密碼)以及禁用不需要的服務(wù)以保護(hù)自身免受常見漏洞的侵害。
• 此外，網(wǎng)絡(luò)分段是最強(qiáng)大、最有效的方法之一，可確保在發(fā)生違規(guī)事件時(shí)，惡意行為者無法利用一臺設(shè)備的漏洞對整個(gè) 企業(yè)造成嚴(yán)重破壞。

趨勢2：勒索軟件將越來越多地針對第三方軟件

惡意行為者不一定總是直接攻擊企業(yè)或其系統(tǒng)。越來越多的黑客將目標(biāo)瞄準(zhǔn)供應(yīng)鏈軟件，包括遠(yuǎn)程監(jiān)控和管理軟件(例如Kaseya和SolarWinds)，或者通過利用“內(nèi)存計(jì)劃”(Project Memoria)發(fā)現(xiàn)的廣泛的TCP/IP堆棧漏洞。幾十年來，第三方軟件中的一些潛在漏洞一直沒有得到修補(bǔ)，攻擊者將繼續(xù)利用它們來破壞和控制設(shè)備。

淪為此類攻擊的受害者所面臨的風(fēng)險(xiǎn)等級很高。然而，由于解決這些漏洞的責(zé)任由第三方設(shè)備或軟件制造商與使用它們的公司共同承擔(dān)，因此企業(yè)可能難以充分保護(hù)自己。

緩解建議：

• 就供應(yīng)商而言，他們應(yīng)該在其產(chǎn)品開發(fā)周期中包括軟件驗(yàn)證，并制定明確的流程來解決任何新發(fā)現(xiàn)的(會給客戶帶來風(fēng)險(xiǎn)的)漏洞。
• 企業(yè)作為這些產(chǎn)品的最終用戶，需要表現(xiàn)出高度的主動性，并使用強(qiáng)大的設(shè)備可見性和控制工具來保護(hù)自身免受這些漏洞的影響，并在遭遇攻擊后盡可能降低影響面。

趨勢3：勒索軟件將專注于運(yùn)營技術(shù)

過去，許多企業(yè)并未認(rèn)真考慮過運(yùn)營技術(shù)(OT)的網(wǎng)絡(luò)安全問題。但是發(fā)生在2021年的Colonial Pipeline網(wǎng)絡(luò)攻擊事件，已經(jīng)極大地顛覆了這一認(rèn)知。在Colonial Pipeline事件中，運(yùn)營商被迫完全關(guān)閉其OT環(huán)境以防止黑客在設(shè)備上移動，由此導(dǎo)致美國發(fā)生重大石油危機(jī)。最終，Colonial Pipeline被迫支付約500萬美元贖金以重新獲取對系統(tǒng)的訪問權(quán)限。此次事件也成為近年來最具破壞性且最有利可圖的網(wǎng)絡(luò)攻擊之一。

事實(shí)證明，OT系統(tǒng)遭受攻擊要比IT系統(tǒng)糟糕得多，因?yàn)樗鼈兡軌蜃寪阂庑袨檎咧兄惯\(yùn)營并幾乎立即使企業(yè)完全處于停滯狀態(tài)。一旦被鎖定在系統(tǒng)之外，除了交付贖金，幾乎沒有企業(yè)可以扭轉(zhuǎn)這種局面。

緩解建議：

對于勒索軟件而言，預(yù)防明顯優(yōu)于治療。為了正確保護(hù)他們的OT系統(tǒng)并阻止黑客進(jìn)入，企業(yè)需要加倍努力進(jìn)行網(wǎng)絡(luò)分段和可見性工作，以削弱攻擊者在網(wǎng)絡(luò)中橫向移動的能力，并將漏洞控制在受影響的設(shè)備中(理想狀態(tài)下)。

未來的勒索軟件攻擊

現(xiàn)實(shí)情況是，上述勒索軟件的未來趨勢其實(shí)已經(jīng)到來。鑒于近年來惡意行為者接連得手，針對物聯(lián)網(wǎng)設(shè)備、第三方軟件和運(yùn)營技術(shù)的攻擊數(shù)量只會繼續(xù)增長。但好消息是，企業(yè)不必坐以待斃。每家公司都可以采取一些明確且高效的步驟，以最大程度地降低成功的網(wǎng)絡(luò)攻擊對其系統(tǒng)造成嚴(yán)重破壞的可能性。

• 企業(yè)需要確保他們對連接到其網(wǎng)絡(luò)的所有設(shè)備擁有全面的可見性，以便確定他們的網(wǎng)絡(luò)安全盲點(diǎn)可能在哪里。
• 然后，他們需要確保讓這些設(shè)備符合最新的安全準(zhǔn)則，更改默認(rèn)設(shè)置并禁用不需要的服務(wù)。
• 公司應(yīng)進(jìn)一步制定嚴(yán)格的網(wǎng)絡(luò)安全政策，定期審查和更新以提供最佳保護(hù)。
• 最后，企業(yè)應(yīng)該利用網(wǎng)絡(luò)分段的力量來限制潛在攻擊的影響。

雖然沒有人可以告訴我們未來的網(wǎng)絡(luò)攻擊會是什么樣子，但如果企業(yè)現(xiàn)在積極主動地加強(qiáng)他們的網(wǎng)絡(luò)防御能力，他們將有能力應(yīng)對未來不可避免的勒索軟件攻擊。