亚投网app

亚投网app|首页

防勒索软件最关键指标驻留时间

亚投网app

勒索软件是企业当今面临的最普遍最隐蔽最危险的安全威胁之一仅在2020年从本田佳能佳明(Garmin)到Jack Daniels的数十个知名品牌遭遇了勒索软件团伙的洗劫支付高昂赎金的同时企业还要接受业务停摆和品牌受损的双重打击

 

业界在勒索软件攻击防御方面的注意力大多集中在攻击者在网络中横向移动的方法一个关键方面却常常被忽略攻击者的驻留时间也就是入侵者在企业网络内部潜伏且未被检测到的时间长度

过去十年大多数勒索软件攻击都属于“无差别”抢劫式攻击成功部署的恶意文件将以尽可能快的速度加密尽可能多的文件和计算机然后以锁定屏幕的形式“收网”最近勒索软件攻击开始变得更加隐蔽和有针对性会潜伏在网络中进行侦察并耐心等待以期发现更高价值的资产

与其他恶意软件相比勒索软件的攻击驻留时间相对较短平均为43天而高级持续攻击APT的驻留时间可长达数月甚至数年但是43天对于勒索软件攻击者和受害者来说都过于漫长驻留时间每增加一天攻击者的怒火和潜在破坏性都在增长

新一代勒索软件攻击

在过去的十年中勒索软件已成为黑客和犯罪组织首选的恶意软件工具安全团队需要防御成千上万的变体但糟糕的是新的攻击者不再遵循相同的攻击剧本而是开始不断“创新”

例如Sodinokibi勒索软件背后的团伙成功地找到了创新的方法可以在加密锁定目标系统之前先窃取数据然后威胁说要泄漏或拍卖被盗的数据除非受害者支付赎金

其他犯罪集团(例如REvil)通过提供价格合理且易于使用的恶意软件即服务使黑客和脚本小子的攻击变得非常简单大大降低了勒索软件攻击的成本和门槛使勒索软件实质上实现了民主化“订阅模式”使得勒索软件运营商可以采用会员模式以收取赎金分成的方式来扩大营收规模这种模式还可以减轻风险因为勒索软件运营商自身并没有带头攻击

2020年让勒索软件运营商感到鼓舞的是由于新冠疫情全球肆虐现在有大量人员在远程工作他们利用远程桌面协议中的已知安全漏洞以及大量不熟悉正确使用远程安全协议的员工

为什么驻留时间是关键指标

随着勒索软件运营商更加关注目标的质量而不是数量安全团队的重点必须从不惜一切代价阻止攻击者的思维方式转变为假设他们已经进入网络内部

当攻击者能够在网络内保持未被检测到的状态时他们可能会花费数周或数月的时间对其进行深入研究以尝试提升权限并将勒索软件投送到尽可能多的端点设备上他们还可以利用驻留时间来确定关键的网络资源例如系统备份存储敏感数据的网段以及可用于广泛传播勒索软件的其他关键系统

减少攻击者驻留时间的3种方法

虽然预防的投入成效十倍于事后补救但是安全团队必须重新考虑现有的安全模式不是试图使攻击者远离关键网络资产而是假设他们已经在内部正如安全专家迈克·泰森(Mike Tyson)所说的“每个用户都有防御计划直到他们受到打击为止”

因此我们必须正视这样一个现实我们不可能始终将入侵者拒之门外但企业可以采取以下几个措施将攻击者造成的损失降至最低

·持续危害评估框架与实践定期的渗透测试和威胁搜寻是成熟的企业安全实践的标志但许多企业无法做到通过采用持续危害评估的框架安全团队可以集成企业已收集的各种网络和事件管理源以便他们可以更精细地衡量其危害程度

·关联网络分析情报攻击者将网络用作其进入端口并且还必须使用网络进行横向移动与命令服务器进行通信并最终泄露数据所有这些动作都会产生元数据碎片无论是尝试解析DNS查询还是扫描防火墙中的开放端口通过将这些少量数据关联到一个统一的视图中网络防御者可以清楚地确定其网络是否与对手的基础结构进行通信

·实施零信任框架零信任是网络安全中最热门的主题之一因为它试图用软件定义层来代替传统的信任验证模型该层可以更轻松地在整个网络中实施最小特权访问和微分段从勒索软件攻击的角度来看这将使攻击者更难跳越网络并提升权限

总之勒索软件运营商正在不断寻找新的方法来入侵网络并植入恶意文件真正的挑战不是将它们阻止在安全边界之外而是要不断消除网络中的盲区和死角防止较小的入侵事件演变为灾难性的大规模数据泄露事件