谋取经济利益是勒索软件攻击背后的驱动力之一,这就是勒索软件对企业构成最大威胁的原因,成本可能很高,不仅是因为赎金要求,还包括停机、补救以及在敏感数据泄露后在客户和合作伙伴中的声誉损失。勒索软件无处不在,每一家企业都是潜在的目标。
勒索软件在2023年的转变
近年来,我们看到的最大趋势之一是勒索软件即服务(RaaS)的激增。通过提供勒索软件工具和服务出租,RaaS扩大了潜在攻击者的范围,即使是非技术人员也更容易对公司发动复杂的攻击。网络威胁的民主化突出表明,各公司需要为更广泛的对手做好准备。
我们看到的另一个趋势是攻击的简单化。有人可能会想象,在当今复杂的数字世界中,勒索软件运动的特点是高度复杂。然而,成功的入侵通常可以追溯到基本的漏洞,例如员工因简单的网络钓鱼攻击或常规安全协议的漏洞而被攻击。事实上,勒索软件组织利用AI的主要方式之一是创建更复杂的钓鱼技术,如类似域名或欺诈性电子邮件,而不是恶意软件本身。
攻击时间线的加快是我们看到勒索软件组织取得巨大进展的另一个领域。我们目睹了威胁行为者几乎立即利用的漏洞,这表明,网络犯罪分子正在迅速将新披露的信息整合到他们频繁使用的攻击中。从防御的角度来看,发现漏洞并在它们被利用之前进行补救的竞赛已经开始,这是一个挑战,因为世界各地的安全团队都在继续推迟修补。
所谓的访问代理也已经成为网络犯罪世界的中间人,这些实体处理受损的凭据和接入点,简化了勒索软件组的流程,实质上是向他们提供漏洞和入口点,以简化和加速他们的攻击。访问代理可以访问网络钓鱼攻击的登录凭据,并将其保留数月甚至数年,直到恶意行为者支付正确的价格,并将其用作定向攻击的一部分。
更糟糕的是,LockBit、ALPHV、BlackBasta和AvosLocker等领先的勒索软件集团正在开拓新的规避技术来避免检测,例如利用设备上的安全模式重启功能。许多安全解决方案,包括防病毒和反恶意软件程序,可能无法在安全模式下运行或功能有限。通过强制系统在安全模式下重新启动,勒索软件可能会绕过这些安全解决方案,从而更容易在不被检测或干扰的情况下加密文件。
公司应采取的降低风险的步骤
勒索软件已成为公司面临的最大网络安全风险,导致董事会对这一话题的关注日益增加,这提出了一个重要的问题:公司如何降低其风险并最大限度地减少成为勒索软件攻击牺牲品的可能性?
至少,公司应该确保他们的所有软件都打了补丁,并且是最新的。作为漏洞管理活动的一部分,针对新攻击实施持续的虚拟补丁,但考虑到勒索软件威胁是如何演变的,公司必须采取额外的措施,将风险敞口降至最低。
建立可靠的数据备份协议。传统勒索软件攻击的目标是迫使受害者付费,以重新获得对其加密数据的访问。确保关键数据的定期和安全备份将使公司能够在发生攻击时恢复系统,而无需支付赎金。由于IT环境不断发展,在尝试确定任何客户网络安全态势中的薄弱环节时,进行网络安全评估可能至关重要。
开展网络意识培训。钓鱼电子邮件仍然是传播勒索软件的头号媒介,由于AI,它们的复杂性正在增长。通过教育员工了解钓鱼企图的迹象以及点击可疑链接或下载未经验证的附件的危险,公司可以降低泄密风险。
部署零钓鱼技术。采用可以检测零日网络钓鱼活动的技术,这些活动通常是勒索软件攻击的前兆。与传统的反病毒解决方案或手动扫描相比,此类技术可以检测到更多的零日钓鱼页面。
加强用户身份认证。实施强密码策略并要求使用多因素身份验证(MFA)来访问关键系统,还应采用零信任原则,仅这些步骤就可以增加额外的安全层,使攻击者更难在未经授权的情况下访问敏感数据池。
重在预防。自动威胁检测和预防工具可以在勒索软件攻击造成广泛破坏之前检测和解决大多数勒索软件攻击。好的解决方案将利用实时威胁情报来确保针对最新威胁和漏洞的防护。此外,在应对勒索软件攻击时,反恶意软件和EDR可以在终端安全方面改变游戏规则。
随着勒索软件技术的发展,威胁环境正在见证RaaS的增加,更快的加密方法,以及越来越多地转向数据提取而不是加密。大规模袭击的出现进一步突显了公司加强防御的必要性。面对这些不断变化的挑战,警惕和积极主动的网络安全措施将比以往任何时候都更加重要。