2020年，勒索軟件已經(jīng)成為很多企業(yè)的頭號(hào)威脅，而2021年勒索軟件將繼續(xù)進(jìn)化，攻擊手段更加復(fù)雜，產(chǎn)業(yè)化程度不斷提高，攻擊范圍也將擴(kuò)大，更加難以防范。

隨著勒索軟件攻擊頻率和強(qiáng)度的不斷增加，一件事變得越來(lái)越清楚：企業(yè)和機(jī)構(gòu)需要行動(dòng)起來(lái)保護(hù)自己。不幸的是，大多數(shù)組織都早早放棄了抵抗。已知的勒索軟件受害者中，大多數(shù)在遭到攻擊前都收到了有關(guān)潛在漏洞的警告，但并沒(méi)有在遭受打擊時(shí)做好準(zhǔn)備。以下是勒索軟件預(yù)防和事件響應(yīng)失敗的一些典型案例：

• 在2018年亞特蘭大市遭到勒索軟件攻擊的兩個(gè)月前，安全審計(jì)發(fā)現(xiàn)了1,500多個(gè)嚴(yán)重的安全漏洞。
• 2019年美國(guó)巴爾的摩市遭受勒索軟件攻擊，停機(jī)長(zhǎng)達(dá)數(shù)周。攻擊發(fā)生之前，一項(xiàng)風(fēng)險(xiǎn)評(píng)估工作已經(jīng)發(fā)現(xiàn)了大量嚴(yán)重漏洞，這是由于服務(wù)器運(yùn)行的操作系統(tǒng)過(guò)時(shí)(因此缺乏最新的安全補(bǔ)丁)以及備份不足以還原這些服務(wù)器。
• 本田集團(tuán)今年6月受到攻擊，導(dǎo)致全球工廠業(yè)務(wù)和網(wǎng)絡(luò)服務(wù)中斷，某些計(jì)算機(jī)對(duì)遠(yuǎn)程桌面協(xié)議(RDP)的公共訪問(wèn)可能已成為黑客利用的攻擊手段。使問(wèn)題更加復(fù)雜的是，本田的企業(yè)IT網(wǎng)絡(luò)缺少足夠的網(wǎng)絡(luò)分段措施。
• 最近其他一些勒索軟件的著名受害者包括Travelex、Blackbaud和Garmin。

[[356007]]

在所有這些案例中，這些都是大型企業(yè)和組織，具有非常成熟的安全系統(tǒng)，那么問(wèn)題出在哪里了?

三種常見(jiàn)的錯(cuò)誤會(huì)導(dǎo)致預(yù)防不足和無(wú)效響應(yīng)，并且各種規(guī)模的組織都犯了此類(lèi)錯(cuò)誤：

• 無(wú)法從業(yè)務(wù)角度提出風(fēng)險(xiǎn)，這對(duì)于說(shuō)服業(yè)務(wù)領(lǐng)導(dǎo)者提供適當(dāng)?shù)馁Y金和政策支持至關(guān)重要。
• 在測(cè)試?yán)账鬈浖?zhǔn)備情況方面不夠深入。
• DR(數(shù)據(jù)恢復(fù))計(jì)劃不足，無(wú)法解決可能感染備份的勒索軟件威脅。

常見(jiàn)錯(cuò)誤一：無(wú)法從業(yè)務(wù)角度提出安全風(fēng)險(xiǎn)，無(wú)法獲得資金和政策支持

當(dāng)我們查看勒索軟件攻擊模擬結(jié)果時(shí)，往往會(huì)發(fā)現(xiàn)繞過(guò)基本安全措施(例如防火墻、電子郵件安全網(wǎng)關(guān)和反惡意軟件解決方案)有多么容易。勒索軟件進(jìn)入之前，有效負(fù)載已經(jīng)建立“灘頭陣地”，隨后是諸如反向DNS查找之類(lèi)的技術(shù)，以識(shí)別Active Directory服務(wù)，該服務(wù)具備造成實(shí)際損失的必要特權(quán)。最后，攻擊者使用Kerberoasting進(jìn)行接管和控制。

沒(méi)有一家企業(yè)的IT網(wǎng)絡(luò)能夠防彈，但攻擊確實(shí)需要相當(dāng)一段時(shí)間。這意味著要進(jìn)行早期檢測(cè)以及部署更高級(jí)的入侵檢測(cè)，給黑客制造一系列的障礙(例如，更好的網(wǎng)絡(luò)分段、適當(dāng)?shù)淖罱K用戶(hù)限制等)，對(duì)于勒索軟件的預(yù)防至關(guān)重要。

對(duì)于安全從業(yè)人員而言，這不是什么新鮮事。但是說(shuō)服企業(yè)領(lǐng)導(dǎo)者進(jìn)行更多的網(wǎng)絡(luò)安全投資是另外一個(gè)挑戰(zhàn)。

解決方法：量化業(yè)務(wù)影響以實(shí)現(xiàn)基于成本的明智業(yè)務(wù)決策

嚴(yán)格的安全控制(通過(guò)技術(shù)和策略)對(duì)企業(yè)來(lái)說(shuō)是摩擦。盡管沒(méi)有企業(yè)領(lǐng)導(dǎo)者希望成為勒索軟件的受害者，但預(yù)算并不是無(wú)限的。

為了證明額外的成本和更嚴(yán)格的控制的合理性，您需要制作一個(gè)業(yè)務(wù)案例，不僅要說(shuō)明風(fēng)險(xiǎn)，而且要說(shuō)明可量化的業(yè)務(wù)影響。幫助高級(jí)領(lǐng)導(dǎo)者將蘋(píng)果與蘋(píng)果進(jìn)行比較，在這種情況下，是提高安全性的成本(資本支出和潛在的生產(chǎn)力摩擦)與安全性破壞的成本(延長(zhǎng)停機(jī)時(shí)間的直接成本以及聲譽(yù)受損的長(zhǎng)期成本)。

評(píng)估業(yè)務(wù)影響不必太繁瑣。關(guān)鍵系統(tǒng)的影響評(píng)估相當(dāng)準(zhǔn)確，可以在一天之內(nèi)完成。專(zhuān)注于一些關(guān)鍵應(yīng)用程序和數(shù)據(jù)集，以獲取具有代表性的樣本，并對(duì)成本、商譽(yù)、合規(guī)性和/或健康與安全影響進(jìn)行粗略估計(jì)，具體取決于您的組織。在此階段，您不必十分精確即可識(shí)別潛在的重大影響。

以下是向企業(yè)高管介紹勒索軟件安全防御計(jì)劃的要點(diǎn)示例(用數(shù)字說(shuō)話)：

勒索軟件造成的損失預(yù)估 資料來(lái)源：2020年ITRG《業(yè)務(wù)影響分析范例》

常見(jiàn)錯(cuò)誤二：對(duì)勒索軟件防御能力的測(cè)試不夠深入

如果您尚未采用滲透測(cè)試驗(yàn)證相關(guān)安全技術(shù)和配置，請(qǐng)立即開(kāi)始。如果您無(wú)法獲得資金，請(qǐng)重新閱讀如何解決錯(cuò)誤一。

組織最常見(jiàn)的錯(cuò)誤就是停止?jié)B透測(cè)試，并且不驗(yàn)證端到端事件響應(yīng)。對(duì)于需要與多個(gè)團(tuán)隊(duì)快速協(xié)調(diào)評(píng)估、遏制和恢復(fù)的大型組織而言，這尤其重要。

解決方法：進(jìn)行深入的桌面規(guī)劃練習(xí)，以涵蓋一系列假設(shè)場(chǎng)景

大多數(shù)桌面計(jì)劃練習(xí)的問(wèn)題在于，它們僅設(shè)計(jì)用于簡(jiǎn)單地驗(yàn)證您現(xiàn)有的事件響應(yīng)計(jì)劃(IRP)。

取而代之的應(yīng)該是深入研究攻擊可能如何發(fā)生以及您將采取什么措施來(lái)檢測(cè)，遏制并從攻擊中恢復(fù)。例如，如果您的IRP說(shuō)要檢查其他受感染的系統(tǒng)，請(qǐng)具體說(shuō)明如何進(jìn)行。您將使用哪些工具?您會(huì)查看哪些數(shù)據(jù)?您會(huì)尋找什么模式?

事實(shí)上，對(duì)于網(wǎng)絡(luò)安全專(zhuān)業(yè)人士來(lái)說(shuō)，很難遇到一個(gè)真正擁有完善的事件響應(yīng)計(jì)劃的客戶(hù)。甚至具有成熟的安全體系和規(guī)范文檔的響應(yīng)計(jì)劃的組織，也經(jīng)常發(fā)現(xiàn)以下問(wèn)題：

網(wǎng)絡(luò)安全和基礎(chǔ)架構(gòu)人員之間的協(xié)調(diào)不暢，評(píng)估階段的移交不清楚。

現(xiàn)有工具尚未得到充分利用(例如，配置自動(dòng)包含功能)。

某些系統(tǒng)(例如，物聯(lián)網(wǎng)設(shè)備和舊系統(tǒng))的可見(jiàn)性有限。

常見(jiàn)錯(cuò)誤三：備份策略和災(zāi)難恢復(fù)計(jì)劃沒(méi)有針對(duì)勒索軟件的預(yù)案

如以下圖例所示，在可擦寫(xiě)存儲(chǔ)介質(zhì)上進(jìn)行數(shù)據(jù)快照和標(biāo)準(zhǔn)的每日備份還不夠好：

應(yīng)對(duì)勒索軟件的最后防線是您從備份中還原恢復(fù)，或者轉(zhuǎn)移到干凈的備用站點(diǎn)/系統(tǒng)的能力。

因此，勒索軟件攻擊的一個(gè)主要目標(biāo)就是消滅目標(biāo)的恢復(fù)能力。這意味著勒索軟件不僅會(huì)針對(duì)主要數(shù)據(jù)，還會(huì)針對(duì)備份和備用系統(tǒng)。如果你對(duì)勒索軟件沒(méi)有針對(duì)性的預(yù)案，那么這些花費(fèi)重金，主要用于防御颶風(fēng)和地震的災(zāi)備系統(tǒng)并不能有效抵擋勒索軟件的攻擊。

解決方法：將深度防御應(yīng)用于備份和災(zāi)難恢復(fù)策略

深度防御是當(dāng)下的最佳安全實(shí)踐，需要注意的是，數(shù)據(jù)備份和恢復(fù)也需要遵循深度防御的安全哲學(xué)。

深度防御不僅僅是試圖捕捉突破安全的漏洞，還應(yīng)當(dāng)包括花費(fèi)時(shí)間來(lái)檢測(cè)，遏制并從攻擊中恢復(fù)。

通過(guò)以下方法提高針對(duì)勒索軟件的備份與恢復(fù)的深度防御能力：

• 創(chuàng)建多個(gè)還原點(diǎn)，以便您可以更精細(xì)地進(jìn)行回滾，而不會(huì)丟失太多數(shù)據(jù)。
• 通過(guò)使用不同的存儲(chǔ)介質(zhì)(例如磁盤(pán)、NAS和/或磁帶)和備份位置(即異地備份)來(lái)降低感染備份的風(fēng)險(xiǎn)。你給攻擊者設(shè)計(jì)的“溝”越多，越有可能在所有備份都被感染之前檢測(cè)到攻擊。從最關(guān)鍵的數(shù)據(jù)開(kāi)始，設(shè)計(jì)一個(gè)兼顧業(yè)務(wù)需求、成本和風(fēng)險(xiǎn)承受能力的勒索軟件數(shù)據(jù)安全解決方案。
• 投資防篡改備份的解決方案。大多數(shù)領(lǐng)先的備份解決方案都提供了確保備份不被篡改的功能(即，寫(xiě)入后不能更改)。當(dāng)然，這樣做成本會(huì)更高，因此在確定需要更高級(jí)別保護(hù)時(shí)，請(qǐng)?jiān)俅慰紤]業(yè)務(wù)影響。

總結(jié)：

勒索軟件攻擊可能非常復(fù)雜，但大多數(shù)企業(yè)的基本安全實(shí)踐還不夠好。安全主管不僅需要提示攻擊風(fēng)險(xiǎn)，而且還需要評(píng)估攻擊對(duì)業(yè)務(wù)的潛在影響，讓高層領(lǐng)導(dǎo)支持勒索軟件的準(zhǔn)備工作?？傊诶账鬈浖絹?lái)越猖獗的今天，每個(gè)企業(yè)的安全主管都不能心存僥幸，請(qǐng)假設(shè)明天下班前就會(huì)遭遇攻擊，并盡早做好準(zhǔn)備，為可能發(fā)生的攻擊做出迅速響應(yīng)，同時(shí)進(jìn)行實(shí)際測(cè)試，制訂更有針對(duì)性的災(zāi)難恢復(fù)策略。

【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文