企業(yè)預(yù)防勒索病毒，如何減少攻擊面？

SentinelOne最近發(fā)布了一份關(guān)于企業(yè)的安全報(bào)告——《了解企業(yè)中的勒索軟件》，這是一份全面的企業(yè)安全指南，可幫助組織理解、計(jì)劃、響應(yīng)和防范這種目前普遍存在的威脅。

這篇文章就是選取了其中的部分章節(jié)，還原了一個(gè)關(guān)于如何減少攻擊面的示例。

隨著網(wǎng)絡(luò)辦公成為一種常態(tài)，勒索軟件攻擊也呈現(xiàn)了上升態(tài)勢(shì)，事實(shí)上，勒索即服務(wù)（Raas）和其相關(guān)產(chǎn)業(yè)所帶來(lái)的好處（低風(fēng)險(xiǎn)和豐厚回報(bào)）表明，在可預(yù)見(jiàn)的未來(lái)，勒索軟件將繼續(xù)發(fā)展，并變得越來(lái)越復(fù)雜。

勒索軟件即服務(wù)模式是指，勒索軟件編寫(xiě)者開(kāi)發(fā)出惡意代碼，并提供給其他犯罪分子（有時(shí)通過(guò)購(gòu)買），讓他們可以通過(guò)網(wǎng)絡(luò)釣魚(yú)或其他攻擊發(fā)送給目標(biāo)用戶。隨著云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)的持續(xù)演進(jìn)，網(wǎng)絡(luò)安全形勢(shì)變得尤為復(fù)雜嚴(yán)峻。網(wǎng)絡(luò)攻擊“道高一尺，魔高一丈”，網(wǎng)絡(luò)安全問(wèn)題層出不窮，給政府、企事業(yè)單位帶來(lái)風(fēng)險(xiǎn)威脅級(jí)別升高，挑戰(zhàn)前所未有。目前灰產(chǎn)、黑產(chǎn)環(huán)境比較復(fù)雜，很多攻擊手段已經(jīng)向云和SaaS服務(wù)方面發(fā)展，暗網(wǎng)已經(jīng)存在專業(yè)提供勒索即服務(wù)（Raas）的服務(wù)模式，另外很多勒索攻擊軟件已經(jīng)開(kāi)源，易用性得到了極大的提高，同時(shí)也大大降低了網(wǎng)絡(luò)攻擊的技術(shù)門(mén)檻。??

例如，DopplePaymer勒索軟件，SpaceX和美國(guó)宇航局NASA首次載人火箭發(fā)射成功后不久，一個(gè)名為DopplePaymer的勒索團(tuán)伙即刻宣布他們?nèi)肭至艘患颐麨镈MI的公司內(nèi)網(wǎng)，這家公司正是NASA的一家IT供應(yīng)商，該團(tuán)伙甚至囂張地留下了祝賀信息來(lái)挑釁。按照慣例，DopplePaymer團(tuán)伙在“泄密網(wǎng)站”上發(fā)布一些竊取的數(shù)據(jù)是為了向被入侵網(wǎng)絡(luò)系統(tǒng)的公司索取贖金，倘若受害者（通常是一家大公司）仍然拒絕支付，他們將會(huì)公開(kāi)所有的文件作為報(bào)復(fù)，并且向記者提供泄露信息。

通常，DopplePaymer使用閃電般的有效載荷在不到7秒的時(shí)間內(nèi)對(duì)主機(jī)執(zhí)行超過(guò)2000次惡意操作。這意味著，傳統(tǒng)的檢測(cè)和響應(yīng)方法無(wú)法防止這種攻擊，而防御者對(duì)勒索軟件的響應(yīng)往往是在勒索軟件達(dá)到其目標(biāo)后才開(kāi)始。

為了更有效地防止勒索軟件，請(qǐng)盡可能采取以下步驟。

威脅情報(bào)的收集

你對(duì)你的攻擊面了解多少，只有知己知彼才能增強(qiáng)你的防御能力，并幫助你了解和控制你的攻擊面。

高度組織化的犯罪軟件組織，如Dridex和TrickBot已經(jīng)證明了他們利用勒索軟件作為主要攻擊載體所取得的成功。Dridex 早期版本很原始，但這幾年來(lái)該惡意軟件變得越來(lái)越專業(yè)和復(fù)雜。事實(shí)上，Dridex 攻擊活動(dòng)在 2015 和 2016 年里非?；钴S，已成最為普遍的電子犯罪惡意軟件家族。TrickBot銀行木馬自2016年問(wèn)世以來(lái)，一直活躍至今。它從最初的銀行木馬發(fā)展到今天已經(jīng)成為一款強(qiáng)大的惡意家族軟件，其功能包括盜取用戶電子郵箱、收集系統(tǒng)信息以及盜取瀏覽器隱私信息等等。經(jīng)過(guò)幾年的發(fā)展，TrickBot銀行木馬已經(jīng)變得高度模塊化，其可以由威脅參與者根據(jù)目標(biāo)環(huán)境進(jìn)行配置，進(jìn)而實(shí)現(xiàn)不同的惡意功能。在它們?cè)?jīng)主要依賴銀行欺詐的地方，它們的業(yè)務(wù)已經(jīng)發(fā)生了明顯的變化。這吸引了許多新的創(chuàng)業(yè)公司試圖效仿他們的成功。毫無(wú)疑問(wèn)，RaaS的泛濫已經(jīng)對(duì)許多公司網(wǎng)絡(luò)造成了嚴(yán)重破壞。

然而，在迅速發(fā)展的勒索軟件服務(wù)領(lǐng)域，各組織爭(zhēng)奪主導(dǎo)地位的競(jìng)爭(zhēng)似乎有所升級(jí)。運(yùn)營(yíng)商不再滿足于個(gè)人用戶，他們現(xiàn)在正在尋求巨額回報(bào)。運(yùn)營(yíng)商會(huì)在網(wǎng)絡(luò)上連續(xù)數(shù)日或數(shù)周搜索，試圖繪制數(shù)據(jù)點(diǎn)，找到最誘人的數(shù)據(jù)目標(biāo)，從而為他們提供最佳的攻擊手段。

勒索軟件運(yùn)營(yíng)商現(xiàn)在正試圖完善他們的勒索方案，美國(guó)聯(lián)邦調(diào)查局在RSA發(fā)布的最新數(shù)據(jù)顯示，RYUK勒索軟件的運(yùn)營(yíng)者總共獲得了6100萬(wàn)美元的收入。這一數(shù)字只包括了2018年2月至2019年10月期間的行動(dòng)。2020年1月至今，工業(yè)企業(yè)的生產(chǎn)網(wǎng)絡(luò)或辦公網(wǎng)絡(luò)遭受數(shù)十起勒索軟件攻擊，其中僅Ryuk勒索軟件就感染了EVRAZ、EMCOR Group、EWA等多家工業(yè)企業(yè)，加密企業(yè)關(guān)鍵數(shù)據(jù)信息，導(dǎo)致企業(yè)停工、停產(chǎn)，造成重大的經(jīng)濟(jì)損失。

Maze和Revil （sodinokibi）的運(yùn)營(yíng)商正在利用媒體和數(shù)據(jù)泄露網(wǎng)站，以進(jìn)一步威脅和羞辱受害者，以威脅支付他們滿足勒索要求。Maze勒索軟件在過(guò)去的大約一年時(shí)間里被廣泛使用，成為全世界許多不同參與者的最終有效載荷。今年，臭名昭著的Maze運(yùn)營(yíng)商不僅開(kāi)始通過(guò)加密文件勒索公司，而且威脅會(huì)在線發(fā)布被竊取的文件，從而勒索公司。最近，我們抓住了一個(gè)Maze會(huì)員，該會(huì)員嘗試通過(guò)借由我們客戶的網(wǎng)絡(luò)進(jìn)行傳播。許多勒索軟件家族，如DoppelPaymer， Clop， Netwalker， ATO和其他類似的網(wǎng)站都有泄露網(wǎng)站的操作。隨著網(wǎng)絡(luò)辦公的興起，這種攻擊不太可能在短期內(nèi)消失，這些惡意組織現(xiàn)在擁有大量的資金來(lái)加強(qiáng)他們的攻擊并進(jìn)一步改進(jìn)他們的產(chǎn)品。

如何發(fā)現(xiàn)勒索攻擊

勒索軟件犯罪分子利用社交，移動(dòng)，云和軟件定義的網(wǎng)絡(luò)等技術(shù)，利用BYOD，物聯(lián)網(wǎng)和數(shù)字化轉(zhuǎn)型計(jì)劃所帶來(lái)的挑戰(zhàn)和漏洞。遠(yuǎn)程工作人員要求能夠隨時(shí)隨地工作，同時(shí)訪問(wèn)公司數(shù)據(jù)和使用云應(yīng)用程序也帶來(lái)了挑戰(zhàn)，并增加了攻擊面。為了控制并采取行動(dòng)，防御者的目標(biāo)是使用主動(dòng)和被動(dòng)發(fā)現(xiàn)來(lái)連續(xù)發(fā)現(xiàn)所有連接的設(shè)備并對(duì)其進(jìn)行指紋識(shí)別，以識(shí)別并創(chuàng)建甚至間歇性連接的設(shè)備的實(shí)時(shí)清單，以便用戶查找和控制惡意終端。

軟件漏洞允許攻擊者使用開(kāi)發(fā)工具包來(lái)傳播勒索軟件，通過(guò)了解終端和服務(wù)器上具有哪些操作系統(tǒng)，軟件和版本，可以對(duì)終端發(fā)現(xiàn)進(jìn)行補(bǔ)充，這對(duì)任何修補(bǔ)程序管理過(guò)程都很重要。比如：

哪些設(shè)備連接到我的環(huán)境？

在我的環(huán)境中連接了哪些設(shè)備？

設(shè)備最后一次或第一次出現(xiàn)在我的環(huán)境是什么時(shí)候？

哪些設(shè)備是未受管理和不受保護(hù)的？

什么是設(shè)備的IP？蘋(píng)果電腦？制造商？類型？

此設(shè)備是否打開(kāi)了特定端口？

設(shè)備在這個(gè)端口上報(bào)告什么信息？

它連接在哪個(gè)網(wǎng)絡(luò)（在哪個(gè)GW后面）？

連接的終端上安裝了哪些應(yīng)用程序？

組織中是否有未經(jīng)授權(quán)的應(yīng)用程序在運(yùn)行？

控制漏洞并強(qiáng)化配置

在你了解了環(huán)境中有哪些設(shè)備以及它們上安裝了哪些程序之后，你需要控制訪問(wèn)、減輕漏洞并加固這些終端及其上的軟件。

集中管理設(shè)備配置和遵從性的評(píng)估和實(shí)施對(duì)于減少攻擊面非常重要，不兼容的設(shè)備應(yīng)該重新配置和加固。加強(qiáng)虛擬專用網(wǎng)連接、強(qiáng)制磁盤(pán)加密和端口控制將減少勒索軟件的攻擊面。

修補(bǔ)程序管理是關(guān)鍵，但是由于每年都會(huì)出現(xiàn)數(shù)以千計(jì)的新漏洞，沒(méi)有哪個(gè)組織會(huì)真正地修補(bǔ)每一個(gè)漏洞。擁有一個(gè)基于風(fēng)險(xiǎn)的結(jié)構(gòu)化方法是最好的，但是沒(méi)有一種方法是絕對(duì)正確的。

通過(guò)集中管理應(yīng)用程序控制，安全團(tuán)隊(duì)可以控制在終端環(huán)境中運(yùn)行的所有軟件，并防止未修補(bǔ)的漏洞被利用。它允許新軟件的授權(quán)，并防止其他未經(jīng)授權(quán)的、惡意的、不可信的或不必要的應(yīng)用程序的執(zhí)行。

控制端的人為漏洞

通常，勒索軟件最薄弱的環(huán)節(jié)是我們?nèi)祟?。主要的攻擊渠道仍然是電子郵件或訪問(wèn)有風(fēng)險(xiǎn)的網(wǎng)站。網(wǎng)絡(luò)釣魚(yú)、魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)正變得越來(lái)越復(fù)雜和有針對(duì)性，它們附帶著惡意文件或勒索軟件鏈接，引誘那些用戶去點(diǎn)擊。

因此制定一項(xiàng)員工教育和培訓(xùn)計(jì)劃，對(duì)于營(yíng)造一種懷疑和警惕的企業(yè)安全文化很重要，與員工分享現(xiàn)實(shí)世界的例子，以及測(cè)試彈性很重要，但即便是最優(yōu)秀的人也會(huì)有最脆弱的時(shí)刻。你可以降低風(fēng)險(xiǎn)，但不能僅僅通過(guò)培訓(xùn)來(lái)消除風(fēng)險(xiǎn)。

你可以使用包含以下功能的產(chǎn)品來(lái)提高電子郵件安全性：

對(duì)入站或存檔電子郵件進(jìn)行URL掃描，直到對(duì)網(wǎng)站進(jìn)行惡意軟件檢查后才允許點(diǎn)擊目標(biāo)網(wǎng)站;

在發(fā)送之前，檢測(cè)郵箱中帶有攻擊附件的郵件，并在點(diǎn)擊前重定向到沙箱。

防止假冒、社會(huì)工程，域名竊取和掩蓋;

勒索軟件只有在感染病毒的用戶更改和加密文件時(shí)才有權(quán)更改和加密文件，控制用戶對(duì)關(guān)鍵網(wǎng)絡(luò)資源的訪問(wèn)是必要的，以限制這種情況的暴露，并確保橫向移動(dòng)感染更加困難。

因此，確保特權(quán)是當(dāng)前的和最新的，并且用戶只能訪問(wèn)其職責(zé)所需的適當(dāng)文件和網(wǎng)絡(luò)位置是至關(guān)重要的。

監(jiān)控和控制網(wǎng)絡(luò)內(nèi)外的用戶行為將允許警報(bào)和操作自動(dòng)響應(yīng)對(duì)服務(wù)器，文件共享或網(wǎng)絡(luò)異常區(qū)域的可疑偏差。由終端記錄數(shù)據(jù)、憑證的使用和連接可以突出顯示生產(chǎn)率變化或可能的安全破壞信號(hào)?？梢允褂孟馝DR這樣的工具來(lái)記錄每個(gè)文件的執(zhí)行和修改、注冊(cè)表更改、網(wǎng)絡(luò)連接和跨組織連接終端的二進(jìn)制執(zhí)行，增強(qiáng)威脅的可見(jiàn)性以加快運(yùn)行速度。

改善終端安全性

幾乎所有組織都具有終端安全性，但是，為了防止勒索軟件，僅靠靜態(tài)檢測(cè)和防病毒已遠(yuǎn)遠(yuǎn)不夠。在終端保護(hù)中具有高級(jí)功能以及通過(guò)集中式管理系統(tǒng)執(zhí)行終端管理和防御的能力變得越來(lái)越重要。

良好的終端安全性應(yīng)該包括多個(gè)靜態(tài)和行為檢測(cè)引擎，使用機(jī)器學(xué)習(xí)和人工智能加速檢測(cè)和分析。開(kāi)發(fā)保護(hù)、設(shè)備控制、訪問(wèn)控制、漏洞控制和應(yīng)用程序控制也很重要。在組合中添加終端檢測(cè)和響應(yīng)（EDR），提供取證分析和根本原因，以及諸如隔離、轉(zhuǎn)移到沙箱和自動(dòng)修復(fù)的回滾功能等即時(shí)響應(yīng)操作，這些都是重要的考慮因素。
責(zé)編AJX