防勒索軟件最關鍵指標:駐留時間
勒索軟件是企業當今面臨的最普遍、最隱蔽、最危險的安全威脅之一。僅在2020年,從本田、佳能、佳明(Garmin)到Jack Daniels的數十個知名品牌遭遇了勒索軟件團伙的洗劫,支付高昂贖金的同時,企業還要接受業務停擺和品牌受損的雙重打擊。
業界在勒索軟件攻擊防御方面的注意力大多集中在攻擊者在網絡中橫向移動的方法,一個關鍵方面卻常常被忽略:攻擊者的駐留時間,也就是入侵者在企業網絡內部潛伏且未被檢測到的時間長度。
過去十年,大多數勒索軟件攻擊都屬于“無差別”搶劫式攻擊,成功部署的惡意文件將以盡可能快的速度加密盡可能多的文件和計算機,然后以鎖定屏幕的形式“收網”。最近,勒索軟件攻擊開始變得更加隱蔽和有針對性,會潛伏在網絡中進行偵察,并耐心等待,以期發現更高價值的資產。
與其他惡意軟件相比,勒索軟件的攻擊駐留時間相對較短,平均為43天,而高級持續攻擊APT的駐留時間可長達數月甚至數年。但是,43天對于勒索軟件攻擊者和受害者來說都過于漫長,駐留時間每增加一天,攻擊者的怒火和潛在破壞性都在增長。
新一代勒索軟件攻擊
在過去的十年中,勒索軟件已成為黑客和犯罪組織首選的惡意軟件工具。安全團隊需要防御成千上萬的變體,但糟糕的是,新的攻擊者不再遵循相同的攻擊劇本,而是開始不斷“創新”。
例如Sodinokibi勒索軟件背后的團伙成功地找到了創新的方法,可以在加密鎖定目標系統之前先竊取數據,然后威脅說要泄漏或拍賣被盜的數據,除非受害者支付贖金。
其他犯罪集團(例如REvil)通過提供價格合理且易于使用的惡意軟件即服務,使黑客和腳本小子的攻擊變得非常簡單,大大降低了勒索軟件攻擊的成本和門檻,使勒索軟件實質上實現了民主化。“訂閱模式”使得勒索軟件運營商可以采用會員模式,以收取贖金分成的方式來擴大營收規模。這種模式還可以減輕風險,因為勒索軟件運營商自身并沒有帶頭攻擊。
2020年讓勒索軟件運營商感到鼓舞的是,由于新冠疫情全球肆虐,現在有大量人員在遠程工作,他們利用遠程桌面協議中的已知安全漏洞,以及大量不熟悉正確使用遠程安全協議的員工。
為什么駐留時間是關鍵指標
隨著勒索軟件運營商更加關注目標的質量而不是數量,安全團隊的重點必須從不惜一切代價阻止攻擊者的思維方式轉變為假設他們已經進入網絡內部。
當攻擊者能夠在網絡內保持未被檢測到的狀態時,他們可能會花費數周或數月的時間對其進行深入研究,以嘗試提升權限并將勒索軟件投送到盡可能多的端點設備上。他們還可以利用駐留時間來確定關鍵的網絡資源,例如系統備份、存儲敏感數據的網段以及可用于廣泛傳播勒索軟件的其他關鍵系統。
減少攻擊者駐留時間的3種方法
雖然預防的投入成效十倍于事后補救,但是安全團隊必須重新考慮現有的安全模式,不是試圖使攻擊者遠離關鍵網絡資產,而是假設他們已經在內部。正如安全專家邁克·泰森(Mike Tyson)所說的:“每個用戶都有防御計劃,直到他們受到打擊為止。”
因此,我們必須正視這樣一個現實,我們不可能始終將入侵者拒之門外,但企業可以采取以下幾個措施,將攻擊者造成的損失降至最低:
- 持續危害評估框架與實踐:定期的滲透測試和威脅搜尋是成熟的企業安全實踐的標志,但許多企業無法做到。通過采用持續危害評估的框架,安全團隊可以集成企業已收集的各種網絡和事件管理源,以便他們可以更精細地衡量其危害程度。
- 關聯網絡分析情報:攻擊者將網絡用作其進入端口,并且還必須使用網絡進行橫向移動,與命令服務器進行通信并最終泄露數據。所有這些動作都會產生元數據碎片,無論是嘗試解析DNS查詢還是掃描防火墻中的開放端口。通過將這些少量數據關聯到一個統一的視圖中,網絡防御者可以清楚地確定其網絡是否與對手的基礎結構進行通信。
- 實施零信任框架:零信任是網絡安全中最熱門的主題之一,因為它試圖用軟件定義層來代替傳統的信任驗證模型,該層可以更輕松地在整個網絡中實施最小特權訪問和微分段。從勒索軟件攻擊的角度來看,這將使攻擊者更難跳越網絡并提升權限。
總之,勒索軟件運營商正在不斷尋找新的方法來入侵網絡并植入惡意文件。真正的挑戰不是將它們阻止在安全邊界之外,而是要不斷消除網絡中的盲區和死角,防止較小的入侵事件演變為災難性的大規模數據泄露事件。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
