勒索软件是公司现如今遭遇的最广泛、最隐敝、最风险的安全性危害之一。仅在2020年,从广州本田、cannon、佳明(Garmin)到Jack Daniels的数十个大品牌遭受了勒索软件犯罪团伙的洗劫一空,付款昂贵保释金的与此同时,公司还需要接纳业务流程暂停和知名品牌损伤的双重打击。
业内在勒索软件攻击防御层面的专注力大多数聚集在攻击者在互联网中横着挪动的方式,一个重要层面却经常被忽视:攻击者的停留時间,也就是侵略者在企业网络内部结构埋伏且未被检验到的时间段长短。
以往十年,大部分勒索软件进攻都归属于“无差”打劫式进攻,取得成功布署的虚假文档将以尽量快的速率数据加密尽量多的资料和电子计算机,随后以屏幕锁屏的方式“抓网”。近期,勒索软件进攻逐渐变的更为隐敝和有目的性,会埋伏在互联网中开展侦查,并耐心等待,以期发觉更高一些使用价值的财产。
与其它恶意程序对比,勒索软件的进攻停留時间相比较短,均值为43天,而高級不断进攻APT的停留時间能长达数月乃至多年。可是,43天针对勒索软件攻击者和受害人而言都过度悠长,停留時间每提升一天,攻击者的怒气和潜在性毁灭性都是在提高。
新一代勒索软件进攻
在过去的的十年中,勒索软件已变成网络黑客和违法犯罪机构优选的恶意程序专用工具。安全性精英团队必须防御力不计其数的组合,但糟心的是,新的攻击者不会再遵循同样的进攻台本,反而是逐渐持续“自主创新”。
例如Sodinokibi勒索软件身后的犯罪团伙取得成功地找到自主创新的方式,可以在数据加密瞄准系统软件以前先盗取数据信息,随后危害说要泄露或竞拍失窃的数据信息,除非是受害人缴纳保释金。
别的犯罪团伙(例如REvil)根据给予价格实惠且便于应用的故意saas模式,使网络黑客和脚本小子的进攻越来越比较简单,大幅度降低了勒索软件进攻的成本费用和门坎,使勒索软件本质上保持了民主制。“定阅方式”促使勒索软件营运商可以选用vip会员方式,以扣除保释金分为的方法来扩张营业收入经营规模。这类方式还能够缓解风险性,由于勒索软件营运商本身并沒有带领进攻。
2020年让勒索软件营运商觉得鼓励的是,因为新冠肺炎疫情全世界席卷,现在有很多工作人员在远程工作,她们运用远程桌面连接协议书中的已经知道网络安全问题,及其很多不了解恰当应用远程控制安全协议书的职工。
为何停留时间是重要指标值
伴随着勒索软件营运商更为关心总体目标的品质而不是总数,安全性精英团队的关键务必从不惜一切成本阻拦攻击者的思维模式变化为假定她们早已进到互联网内部结构。
当攻击者可以在互联网内维持未被检验到的情况时,她们也许会耗费几个星期或数月的时间段对它进行深入分析,以试着提高管理权限并将勒索软件发送到尽量多的节点设施上。她们还能够运用停留時间来明确重要的互联网资源,例如一键备份、储存隐秘数据的ip段及其可用以不断发展勒索软件的别的重要系统软件。
降低攻击者停留時间的3种方式
尽管防止的资金投入成果十倍于过后弥补,可是安全性精英团队务必慎重考虑目前的安全模式,并不是尝试使攻击者避开重要互联网财产,反而是假定她们早已在内部结构。正如安全性权威专家乔治·泰森(Mike Tyson)常说的:“每一个客户都是有防御力方案,直到她们遭受打压才行。”
因而,大家需要认清那样一个实际,大家不太可能自始至终将侵略者避而不见,但公司可以采用下列好多个对策,将攻击者导致的损害降至最少:
- 不断伤害评定架构与实践活动:按时的网站渗透测试和危害寻找是完善的企业安全生产实践活动的标示,但很多公司没法保证。根据选用不断伤害评定的架构,安全性精英团队可以集成化公司已整理的各类互联网和事件管理方法源,便于她们可以更细致地考量其伤害水平。
- 关系聚类分析情报信息:攻击者将互联网作为其进到端口号,而且还务必应用互联网开展横着挪动,与指令服务器虚拟机通讯并最后泄漏数据信息。全部这种姿势都是造成数据库残片,不论是试着分析DNS查看或是扫描仪服务器防火墙中的开放端口。根据将这种少许数据信息关系到一个统一的主视图中,互联网防御者可以清晰地明确其互联网是不是与敌人的根本构造开展通讯。
- 执行零信任架构:零信任是网络信息安全中最受欢迎的题材之一,因为它尝试软件定义层来替代传统的的信赖认证实体模型,该层可以更简单地在所有互联网中执行最少权利浏览和全微分段。从勒索软件进攻的方面看来,这将使攻击者更难跳越互联网并提高管理权限。
总而言之,勒索软件营运商已经持续找到新的办法来侵入互联网并嵌入故意文档。真真正正的考验并不是将他们阻拦在安全性界限以外,反而是要持续清除互联网中的盲点和盲区,避免较小的侵入事情演化为毁灭性的规模性数据泄漏事情。
【文中是51CTO栏目创作者“i春秋”的原创文章内容,转截请根据i春秋(微信公众平台id:gooann-sectv)获得受权】
戳这儿,看该创作者大量好文章