快进到今天,任何人都可以在暗网上购买和部署负担得起的勒索软件即服务 (RaaS) 工具包,并且由于云和移动技术的依赖,攻击者有无数渠道可以渗透到组织中。
发起勒索软件攻击都是为了分散获取权限。由于员工现在可以从任何地方访问你的数据,因此你无法了解他们是如何访问的。为了防范这些攻击,你不仅要寻找恶意软件,还需要持续深入了解你的用户、他们使用的端点以及他们访问的应用程序和数据。
随时随地工作可以提高生产力和攻击者的渗透
虽然用于劫持数据的实际恶意软件被称为“勒索软件”,但这并不是你应该关注的。在部署任何东西之前,攻击者需要访问你的基础设施。
如今,用户正在使用你无法控制的网络和无法管理的设备访问数据,从而使你用过的任何本地安全措施都变得过时。
这意味着攻击者可以发起网络钓鱼攻击以破坏用户凭据或利用易受攻击的应用程序而不会造成什么后果。一旦他们进入你的基础设施,他们就会迅速部署恶意软件以创建持久的后门,使他们能够随心所欲地进出。如果他们升级特权,将无法阻止他们横向调动并挟持你的数据。
如何防范勒索软件
在攻击者访问你的基础设施和索要赎金之间会发生许多步骤。这些步骤在勒索软件攻击信息图的剖析中进行了概述,这里简要介绍了发生的情况以及如何保护你的组织。
1、阻止网络钓鱼攻击并隐藏启用 Web 的应用程序
攻击者获得访问权限的最简单方法之一是通过网络钓鱼攻击破坏凭据来接管用户帐户。能够检查任何设备上的网络流量,以阻止这些攻击影响 PC 和移动用户,这一点至关重要。这将确保勒索软件运营商不会通过泄露账户发起攻击。
攻击者还将爬取网络以查找易受攻击或暴露的面向互联网的基础设施以进行利用。许多组织都将应用程序或服务器暴露在Web 上以支持远程访问,但这意味着攻击者可以找到它们并寻找漏洞。隐藏这些应用程序不被发现是一项关键的防御策略。这可以帮助你摆脱 VPN 提供的无限制访问,并确保只有授权用户才能访问他们需要的数据。
2、检测和响应异常行为
如果攻击者设法进入你的基础设施,他们将开始横向移动以进行侦察。这是为了发现其他漏洞,最终目标是发现敏感数据。他们可能采取的一些操作包括更改你的设置以降低安全权限、窃取数据和上传恶意软件。
其中一些操作可能不是彻底的恶意行为,但可以被视为异常行为。这就是了解用户和设备行为以及在应用程序级别划分访问变得至关重要的地方。要阻止横向移动,需要确保没有用户可以自由访问你的基础设施,并且他们没有以恶意方式行事。能够检测过多或错误配置的权限也很重要,这可以防止更改你的应用程序和云状态。
3、通过主动加密使数据对勒索无用
勒索软件攻击的最后一步是挟持数据。除了加密数据并锁定管理员之外,攻击者还可以窃取一些数据加以利用,然后删除或加密基础设施中剩余的数据。
当攻击者最终暴露其存在时,通常会出现撤退或冲击的情况。他们对数据所做的更改,无论是静态还是动态的都会起到警示作用,并要求赎金。然而,如果这些数据被你的安全平台主动加密并使其对攻击者完全无用,那么攻击者的所有努力都将付诸东流。加密是任何数据丢失防护 (DLP)策略的关键部分,从上下文数据保护策略中触发它可以帮助你保护最敏感的数据免受损害。
防范勒索软件:单点产品与统一平台
勒索软件攻击不仅仅是一个事件,更是一个持续的威胁。为了保护你的组织,需要全面了解你的端点、用户、应用程序和数据正在发生的事情。这可以阻止网络钓鱼攻击、隐藏 Web 应用程序、检测和响应横向移动,并保护的的数据安全,即使数据被泄露并被勒索。
从历史上看,组织都会购买新工具来应对新问题。但这种方法不适用勒索软件等威胁。虽然你可能对用户的访问活动、他们公司拥有的设备的运行状况以及数据的处理方式进行了遥测,但你的安全团队将不得不管理多个互不兼容的控制台。