勒索软件是企业当今面临的最普遍、最隐蔽、最危险的安全威胁之一。仅在2020年,从本田、佳能、佳明(Garmin)到Jack Daniels的数十个知名品牌遭遇了勒索软件团伙的洗劫,支付高昂赎金的同时,企业还要接受业务停摆和品牌受损的双重打击。
业界在勒索软件攻击防御方面的注意力大多集中在攻击者在网络中横向移动的方法,一个关键方面却常常被忽略:攻击者的驻留时间,也就是入侵者在企业网络内部潜伏且未被检测到的时间长度。
过去十年,大多数勒索软件攻击都属于“无差别”抢劫式攻击,成功部署的恶意文件将以尽可能快的速度加密尽可能多的文件和计算机,然后以锁定屏幕的形式“收网”。最近,勒索软件攻击开始变得更加隐蔽和有针对性,会潜伏在网络中进行侦察,并耐心等待,以期发现更高价值的资产。
与其他恶意软件相比,勒索软件的攻击驻留时间相对较短,平均为43天,而高级持续攻击APT的驻留时间可长达数月甚至数年。但是,43天对于勒索软件攻击者和受害者来说都过于漫长,驻留时间每增加一天,攻击者的怒火和潜在破坏性都在增长。
新一代勒索软件攻击
在过去的十年中,勒索软件已成为黑客和犯罪组织首选的恶意软件工具。安全团队需要防御成千上万的变体,但糟糕的是,新的攻击者不再遵循相同的攻击剧本,而是开始不断“创新”。
例如Sodinokibi勒索软件背后的团伙成功地找到了创新的方法,可以在加密锁定目标系统之前先窃取数据,然后威胁说要泄漏或拍卖被盗的数据,除非受害者支付赎金。
其他犯罪集团(例如REvil)通过提供价格合理且易于使用的恶意软件即服务,使黑客和脚本小子的攻击变得非常简单,大大降低了勒索软件攻击的成本和门槛,使勒索软件实质上实现了民主化。“订阅模式”使得勒索软件运营商可以采用会员模式,以收取赎金分成的方式来扩大营收规模。这种模式还可以减轻风险,因为勒索软件运营商自身并没有带头攻击。
2020年让勒索软件运营商感到鼓舞的是,由于新冠疫情全球肆虐,现在有大量人员在远程工作,他们利用远程桌面协议中的已知安全漏洞,以及大量不熟悉正确使用远程安全协议的员工。
为什么驻留时间是关键指标
随着勒索软件运营商更加关注目标的质量而不是数量,安全团队的重点必须从不惜一切代价阻止攻击者的思维方式转变为假设他们已经进入网络内部。
当攻击者能够在网络内保持未被检测到的状态时,他们可能会花费数周或数月的时间对其进行深入研究,以尝试提升权限并将勒索软件投送到尽可能多的端点设备上。他们还可以利用驻留时间来确定关键的网络资源,例如系统备份、存储敏感数据的网段以及可用于广泛传播勒索软件的其他关键系统。
减少攻击者驻留时间的3种方法
虽然预防的投入成效十倍于事后补救,但是安全团队必须重新考虑现有的安全模式,不是试图使攻击者远离关键网络资产,而是假设他们已经在内部。正如安全专家迈克·泰森(Mike Tyson)所说的:“每个用户都有防御计划,直到他们受到打击为止。”
因此,我们必须正视这样一个现实,我们不可能始终将入侵者拒之门外,但企业可以采取以下几个措施,将攻击者造成的损失降至最低:
- 持续危害评估框架与实践:定期的渗透测试和威胁搜寻是成熟的企业安全实践的标志,但许多企业无法做到。通过采用持续危害评估的框架,安全团队可以集成企业已收集的各种网络和事件管理源,以便他们可以更精细地衡量其危害程度。
- 关联网络分析情报:攻击者将网络用作其进入端口,并且还必须使用网络进行横向移动,与命令服务器进行通信并最终泄露数据。所有这些动作都会产生元数据碎片,无论是尝试解析DNS查询还是扫描防火墙中的开放端口。通过将这些少量数据关联到一个统一的视图中,网络防御者可以清楚地确定其网络是否与对手的基础结构进行通信。
- 实施零信任框架:零信任是网络安全中最热门的主题之一,因为它试图用软件定义层来代替传统的信任验证模型,该层可以更轻松地在整个网络中实施最小特权访问和微分段。从勒索软件攻击的角度来看,这将使攻击者更难跳越网络并提升权限。
总之,勒索软件运营商正在不断寻找新的方法来入侵网络并植入恶意文件。真正的挑战不是将它们阻止在安全边界之外,而是要不断消除网络中的盲区和死角,防止较小的入侵事件演变为灾难性的大规模数据泄露事件。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】