根据2022年Verizon数据泄露调查报告显示,勒索软件攻击的增长率比过去五年的总和都多,达到13%。疯狂的增长速度,和惊人的破坏力,使得勒索软件攻击已成为笼罩在全球企业心头的一团“乌云”。尽管目前,很多大型企业都已拥有了严密的安全防控系统,但面对不断升级的新型攻击技术和勒索方式,传统安全手段已无法有效抵御勒索软件攻击。
勒索软件攻击模型
新型勒索软件攻击与之前的一些最臭名昭著的勒索软件攻击形成鲜明对比,即使企业建立了安全防御体系,采用了强大的端点安全工具,例如具有安全加密协议的企业VPN等,风险仍然普遍存在。
传统的勒索软件攻击主要依赖于“spray and pray”(即广泛部署勒索攻击,非针对性)的模式。这种模式主要涉及进入系统,通常通过电子邮件网络钓鱼活动或利用目标企业内隐藏的漏洞。一旦勒索软件进入系统,就会不加选择的传播恶意软件以加密来自各种受害者的文件和数据。例如著名的“WannaCry”事件,黑客利用此前美国国家安全局网络武器库泄露的WindowsSMB服务漏洞进行攻击,在短短几小时内就在150多个国家加密了数十万台电脑,造成了数十亿美元的损失。
然而,这种攻击方法正在迅速过时,黑客现在专注于开发更先进的策略,以传播复杂的攻击方法,从而更好地达到勒索目的。新型勒索软件攻击的一些关键特征是:
· “人为操作”,这意味着它们是为目标量身定制的;
手动操作的勒索软件往往具有较高的针对性,常见于APT行动中,攻击者需要具有广泛的系统管理知识,以及对常见的网络错误配置进行检查的能力。微软曾指出,这些人为操纵的勒索软件活动正变得越来越复杂,攻击者在感染策略和横向移动技术上常做更新迭代,传统的防御团队很难应对这种快速的变化。
· 依靠双重勒索技术;
双重勒索即向受害企业收取双份赎金:一个是为了换取解锁受感染系统所需的数字密钥,另一个是为了确保任何被盗数据都将被销毁,不会被出版或出售。
· 涉及多个群组协作(如RaaS模式);
主要涉及一种商业模型。其中,RaaS是指勒索软件开发者向感兴趣的恶意行为者提供工具,以便发起勒索软件攻击。使用者通过签约创建恶意软件即服务或加入联盟计划,并分发一系列勒索软件以换取一定比例的利润。
四种最佳方法防范新型勒索软件攻击
在防范勒索软件攻击时,除了提高企业员工安全意识之外,还需要建立一个全面的安全计划,专注于技术投资。以下是企业可以采取的一些最佳方法来防止勒索软件攻击:
· 端点保护平台
端点检测与响应(EDR),不同于以往的端点被动防护思路,而是通过云端威胁情报、机器学习、异常行为分析、攻击指示器等方式,主动发现来自外部或内部的安全威胁,并进行自动化的阻止、取证、补救和溯源。此外,还可以采取XDR解决方案。两者的区别在于 EDR 侧重于端点,XDR 则更全面地保护多个安全控制点,借助深度分析和自动化来更快地检测出威胁。
部署此平台可以为端点提供可见性和控制,定期渗透测试还有助于企业监测薄弱环节,并确保在风险造成任何损害之前就对其进行预防措施,加快威胁检测,更快做出更精准的响应。
· 建立网络攻击链模型
“网络攻击链模型”由美国著名的军工企业洛克希德马丁公司(Lockheed Martin)提出,描述了从初始阶段—侦察到最后阶段—数据泄露的整个网络攻击步骤,可用于分析可能的攻击面,并允许制定相应对策以减轻对企业造成的威胁。这是一种帮助安全团队防范勒索软件和其他高级持续攻击(APT)的有效方法。
· 零信任架构
企业还可以依靠零信任方法来抵御勒索软件攻击。员工是威胁行为者访问企业网络的轻松切入点,零信任方法从限制员工访问开始,通过使用双重身份验证来实现,并确保所有用户在访问任何应用程序或网络之前都经过身份验证和验证。
·补丁管理
补丁管理是指为网络设备识别、获取、部署和验证软件更新的做法。这包括操作系统、应用程序代码和嵌入式系统(包括服务器)的更新。补丁管理工具可以确定漏洞的优先级,并定期扫描应用程序、网络和系统,持续更新,避免不必要的网络风险。
勒索软件是一种多产的攻击载体,不太可能在短期内消失,随着勒索软件风险的增加,企业需要严格遵循定期更新的网络安全策略。此外,还可以部署如强密码策略、启用2FA或使用数据加密软件。企业还必须考虑使用其他有效、先进的预防技术,如端点安全工具、网络杀戮链模型、零信任架构和漏洞补丁管理等。