SentinelOne最近發(fā)布了一份關于企業(yè)的安全報告——《了解企業(yè)中的勒索軟件》，這是一份全面的企業(yè)安全指南，可幫助組織理解、計劃、響應和防范這種目前普遍存在的威脅。

這篇文章就是選取了其中的部分章節(jié)，還原了一個關于如何減少攻擊面的示例。

隨著網絡辦公成為一種常態(tài)，勒索軟件攻擊也呈現了上升態(tài)勢，事實上，勒索即服務（Raas）和其相關產業(yè)所帶來的好處（低風險和豐厚回報）表明，在可預見的未來，勒索軟件將繼續(xù)發(fā)展，并變得越來越復雜。

勒索軟件即服務模式是指，勒索軟件編寫者開發(fā)出惡意代碼，并提供給其他犯罪分子（有時通過購買），讓他們可以通過網絡釣魚或其他攻擊發(fā)送給目標用戶。隨著云計算、移動互聯網、大數據、物聯網等新技術的持續(xù)演進，網絡安全形勢變得尤為復雜嚴峻。網絡攻擊“道高一尺，魔高一丈”，網絡安全問題層出不窮，給政府、企事業(yè)單位帶來風險威脅級別升高，挑戰(zhàn)前所未有。目前灰產、黑產環(huán)境比較復雜，很多攻擊手段已經向云和SaaS服務方面發(fā)展，暗網已經存在專業(yè)提供勒索即服務（Raas）的服務模式，另外很多勒索攻擊軟件已經開源，易用性得到了極大的提高，同時也大大降低了網絡攻擊的技術門檻。??

例如，DopplePaymer勒索軟件，SpaceX和美國宇航局NASA首次載人火箭發(fā)射成功后不久，一個名為DopplePaymer的勒索團伙即刻宣布他們入侵了一家名為DMI的公司內網，這家公司正是NASA的一家IT供應商，該團伙甚至囂張地留下了祝賀信息來挑釁。按照慣例，DopplePaymer團伙在“泄密網站”上發(fā)布一些竊取的數據是為了向被入侵網絡系統(tǒng)的公司索取贖金，倘若受害者（通常是一家大公司）仍然拒絕支付，他們將會公開所有的文件作為報復，并且向記者提供泄露信息。

通常，DopplePaymer使用閃電般的有效載荷在不到7秒的時間內對主機執(zhí)行超過2000次惡意操作。這意味著，傳統(tǒng)的檢測和響應方法無法防止這種攻擊，而防御者對勒索軟件的響應往往是在勒索軟件達到其目標后才開始。

為了更有效地防止勒索軟件，請盡可能采取以下步驟。

威脅情報的收集

你對你的攻擊面了解多少，只有知己知彼才能增強你的防御能力，并幫助你了解和控制你的攻擊面。

高度組織化的犯罪軟件組織，如Dridex和TrickBot已經證明了他們利用勒索軟件作為主要攻擊載體所取得的成功。Dridex 早期版本很原始，但這幾年來該惡意軟件變得越來越專業(yè)和復雜。事實上，Dridex 攻擊活動在 2015 和 2016 年里非常活躍，已成最為普遍的電子犯罪惡意軟件家族。TrickBot銀行木馬自2016年問世以來，一直活躍至今。它從最初的銀行木馬發(fā)展到今天已經成為一款強大的惡意家族軟件，其功能包括盜取用戶電子郵箱、收集系統(tǒng)信息以及盜取瀏覽器隱私信息等等。經過幾年的發(fā)展，TrickBot銀行木馬已經變得高度模塊化，其可以由威脅參與者根據目標環(huán)境進行配置，進而實現不同的惡意功能。在它們曾經主要依賴銀行欺詐的地方，它們的業(yè)務已經發(fā)生了明顯的變化。這吸引了許多新的創(chuàng)業(yè)公司試圖效仿他們的成功。毫無疑問，RaaS的泛濫已經對許多公司網絡造成了嚴重破壞。

然而，在迅速發(fā)展的勒索軟件服務領域，各組織爭奪主導地位的競爭似乎有所升級。運營商不再滿足于個人用戶，他們現在正在尋求巨額回報。運營商會在網絡上連續(xù)數日或數周搜索，試圖繪制數據點，找到最誘人的數據目標，從而為他們提供最佳的攻擊手段。

勒索軟件運營商現在正試圖完善他們的勒索方案，美國聯邦調查局在RSA發(fā)布的最新數據顯示，RYUK勒索軟件的運營者總共獲得了6100萬美元的收入。這一數字只包括了2018年2月至2019年10月期間的行動。2020年1月至今，工業(yè)企業(yè)的生產網絡或辦公網絡遭受數十起勒索軟件攻擊，其中僅Ryuk勒索軟件就感染了EVRAZ、EMCOR Group、EWA等多家工業(yè)企業(yè)，加密企業(yè)關鍵數據信息，導致企業(yè)停工、停產，造成重大的經濟損失。

Maze和Revil （sodinokibi）的運營商正在利用媒體和數據泄露網站，以進一步威脅和羞辱受害者，以威脅支付他們滿足勒索要求。Maze勒索軟件在過去的大約一年時間里被廣泛使用，成為全世界許多不同參與者的最終有效載荷。今年，臭名昭著的Maze運營商不僅開始通過加密文件勒索公司，而且威脅會在線發(fā)布被竊取的文件，從而勒索公司。最近，我們抓住了一個Maze會員，該會員嘗試通過借由我們客戶的網絡進行傳播。許多勒索軟件家族，如DoppelPaymer， Clop， Netwalker， ATO和其他類似的網站都有泄露網站的操作。隨著網絡辦公的興起，這種攻擊不太可能在短期內消失，這些惡意組織現在擁有大量的資金來加強他們的攻擊并進一步改進他們的產品。

如何發(fā)現勒索攻擊

勒索軟件犯罪分子利用社交，移動，云和軟件定義的網絡等技術，利用BYOD，物聯網和數字化轉型計劃所帶來的挑戰(zhàn)和漏洞。遠程工作人員要求能夠隨時隨地工作，同時訪問公司數據和使用云應用程序也帶來了挑戰(zhàn)，并增加了攻擊面。為了控制并采取行動，防御者的目標是使用主動和被動發(fā)現來連續(xù)發(fā)現所有連接的設備并對其進行指紋識別，以識別并創(chuàng)建甚至間歇性連接的設備的實時清單，以便用戶查找和控制惡意終端。

軟件漏洞允許攻擊者使用開發(fā)工具包來傳播勒索軟件，通過了解終端和服務器上具有哪些操作系統(tǒng)，軟件和版本，可以對終端發(fā)現進行補充，這對任何修補程序管理過程都很重要。比如：

哪些設備連接到我的環(huán)境？

在我的環(huán)境中連接了哪些設備？

設備最后一次或第一次出現在我的環(huán)境是什么時候？

哪些設備是未受管理和不受保護的？

什么是設備的IP？蘋果電腦？制造商？類型？

此設備是否打開了特定端口？

設備在這個端口上報告什么信息？

它連接在哪個網絡（在哪個GW后面）？

連接的終端上安裝了哪些應用程序？

組織中是否有未經授權的應用程序在運行？

控制漏洞并強化配置

在你了解了環(huán)境中有哪些設備以及它們上安裝了哪些程序之后，你需要控制訪問、減輕漏洞并加固這些終端及其上的軟件。

集中管理設備配置和遵從性的評估和實施對于減少攻擊面非常重要，不兼容的設備應該重新配置和加固。加強虛擬專用網連接、強制磁盤加密和端口控制將減少勒索軟件的攻擊面。

修補程序管理是關鍵，但是由于每年都會出現數以千計的新漏洞，沒有哪個組織會真正地修補每一個漏洞。擁有一個基于風險的結構化方法是最好的，但是沒有一種方法是絕對正確的。

通過集中管理應用程序控制，安全團隊可以控制在終端環(huán)境中運行的所有軟件，并防止未修補的漏洞被利用。它允許新軟件的授權，并防止其他未經授權的、惡意的、不可信的或不必要的應用程序的執(zhí)行。

控制端的人為漏洞

通常，勒索軟件最薄弱的環(huán)節(jié)是我們人類。主要的攻擊渠道仍然是電子郵件或訪問有風險的網站。網絡釣魚、魚叉式網絡釣魚正變得越來越復雜和有針對性，它們附帶著惡意文件或勒索軟件鏈接，引誘那些用戶去點擊。

因此制定一項員工教育和培訓計劃，對于營造一種懷疑和警惕的企業(yè)安全文化很重要，與員工分享現實世界的例子，以及測試彈性很重要，但即便是最優(yōu)秀的人也會有最脆弱的時刻。你可以降低風險，但不能僅僅通過培訓來消除風險。

你可以使用包含以下功能的產品來提高電子郵件安全性：

對入站或存檔電子郵件進行URL掃描，直到對網站進行惡意軟件檢查后才允許點擊目標網站;

在發(fā)送之前，檢測郵箱中帶有攻擊附件的郵件，并在點擊前重定向到沙箱。

防止假冒、社會工程，域名竊取和掩蓋;

勒索軟件只有在感染病毒的用戶更改和加密文件時才有權更改和加密文件，控制用戶對關鍵網絡資源的訪問是必要的，以限制這種情況的暴露，并確保橫向移動感染更加困難。

因此，確保特權是當前的和最新的，并且用戶只能訪問其職責所需的適當文件和網絡位置是至關重要的。

監(jiān)控和控制網絡內外的用戶行為將允許警報和操作自動響應對服務器，文件共享或網絡異常區(qū)域的可疑偏差。由終端記錄數據、憑證的使用和連接可以突出顯示生產率變化或可能的安全破壞信號。可以使用像EDR這樣的工具來記錄每個文件的執(zhí)行和修改、注冊表更改、網絡連接和跨組織連接終端的二進制執(zhí)行，增強威脅的可見性以加快運行速度。

改善終端安全性

幾乎所有組織都具有終端安全性，但是，為了防止勒索軟件，僅靠靜態(tài)檢測和防病毒已遠遠不夠。在終端保護中具有高級功能以及通過集中式管理系統(tǒng)執(zhí)行終端管理和防御的能力變得越來越重要。

良好的終端安全性應該包括多個靜態(tài)和行為檢測引擎，使用機器學習和人工智能加速檢測和分析。開發(fā)保護、設備控制、訪問控制、漏洞控制和應用程序控制也很重要。在組合中添加終端檢測和響應（EDR），提供取證分析和根本原因，以及諸如隔離、轉移到沙箱和自動修復的回滾功能等即時響應操作，這些都是重要的考慮因素。
責編AJX