近年来勒索攻击席卷全球,几乎所有国家的政府、金融、教育、医疗、制造、交通、能源等行业均受到影响,可以说有互联网的地方就可能存在勒索攻击。日前,Heimdal Security的安全研究人员分析了近一年来的勒索攻击典型案例后发现,各大勒索攻击团伙一直在不断改进攻击手法和模式,使得新一代勒索软件攻击变得更加复杂和更有针对性。在面对新型勒索软件攻击时,大多数企业组织会处于极度弱势,根本难以招架。

image.png

勒索软件攻击的7个发展趋势:

攻击APT化

研究人员发现,今天的勒索攻击团伙相比之前会更具耐心,为获取有价值资产,其入侵与渗透过程甚至可长达数周乃至数月,这与APT攻击特点趋同。此外,从当前勒索攻击全过程来看,会分阶段使用加密、免杀、逃逸等多种技术,使得攻击成功率明显提高。尽管目前还没有发现勒索软件组织雇用漏洞开发人员专为自己设计可以多次利用的高危漏洞,但考虑到漏洞利用对勒索软件团队的价值和诱惑,这种情况可能很快就会出现。

攻击流程自动化

对于专业的勒索攻击组织,自动化技术可以帮助它们节省攻击时间和成本,以实现收入最大化。因此,新型勒索攻击组织,都可以有效利用自动化技术简化系统渗透过程(勒索软件攻击中成本最高的阶段)。此外,在很多新型勒索攻击中,一些勒索软件组织(比如Cerber)已经开始使用区块链技术,这让他们变得更加具有侵略性。

勒索软件智能化

随着人工智能和机器学习技术不断完善,攻击者也开始利用这些创新技术使勒索软件攻击更具针对性和复杂性。研究人员发现,勒索软件组织开始使用人工智能技术来识别漏洞、撰写逼真的网络钓鱼邮件,并根据防御措施实时调整攻击策略,这对勒索软件防护工作构成了重大挑战。由于勒索软件的智能化程度正在迅速增长,组织也需要及时关注更先进、更智能的网络安全措施,同时加强员工安全意识培训,以防范这种日益严峻的威胁。

多重勒索常态化

新型勒索软件攻击的一个关键特征就是从单纯的支付赎金即可恢复被加密的数据,逐渐演变成窃取商业信息、非法销售数据、DDoS攻击等勒索方式结合的新模式,也被称为“多重勒索”。这样一来,不仅使得勒索攻击杀伤性增强,被勒索企业缴纳赎金的可能性变大。多种威胁方法加大了受害者的压力、迫使支付赎金,因为他们面临数据丢失、数据暴露和业务停运的风险。

以臭名昭著的LAPSU$组织为例,一旦受害者拒绝支付赎金,就会将窃取的数据发布到网上,甚至非法售卖。这个组织据信已攻击了微软、英伟达、优步和Rockstar Games等多家知名企业。面对多重勒索攻击,企业的网络安全负责人须仔细考虑其组织内的所有漏洞,并优先考虑补丁管理和漏洞扫描工作,以保护系统和数据免受潜在的数据泄露威胁。

攻击云上的数据和运用

随着线上需求的激增,企业组织正在向数字化、智能化的方向加速转型,大量的工作负载从传统数据中心迁移到云端。由于云环境通常是为了方便访问和使用而构建的,因此云环境一旦被勒索攻击,就可能造成重大损失。尽管云资源的分散性对勒索攻击者提出了挑战,但他们正在开发新的策略以达到目的。

为了取得成功,攻击者往往会针对那些关键且不可替代的云工作负载,否则受害企业就没有支付赎金的动力。例如,在远程办公模式下,许多公司放弃了传统的VPN网络连接,开始使用虚拟桌面或云端托管桌面即服务(DaaS)等产品,这些都是攻击者重点关注的目标。

将数据变现牟利

在新型勒索软件攻击中,有更多的攻击者会利用窃取到的数据直接牟利,即数据变现。在以往,勒索软件组织窃取或加密数据的主要目的是获取赎金,但这些被盗的数据不仅仅对其所有者有价值,对其商业竞争对手或一些网络诈骗团伙同样具有价值,这就使得数据变现会非常容易。在新型勒索软件攻击中,即使受害企业支付了赎金,攻击者有时也会将所窃取的数据非法变现,这些组织会充分利用一些暗网交易市场,充当其他网络犯罪分子的代理,以谋求利润最大化。

因此,企业组织需要比以往更加重视勒索攻击防护,因为勒索事件一旦发生就意味着酿成灾难,敏感数据一旦落入攻击者之手,无论是否支付赎金,组织都可能会面临进一步的损害。

攻击并不常见的应用系统

任何泄露事件都可能带来灾难,因此在面对新型勒索软件攻击时,任何攻击途径都不能被忽视。在新型勒索软件攻击模式下,攻击者会更加重视一些没有备份的业务系统,或者一些并不常见的应用,这些看上去的“小应用”往往会给组织带来大威胁。佐治亚理工学院的安全研究人员已经验证,勒索软件攻击可以通过屡试不爽的已知漏洞利用代码部署到程序逻辑控制器(PLC)中。遗憾的是,这类设备的重建或更换成本过高,新型勒索软件组织正是瞅准了这一点以勒索受害者。
image.png

由此可见,勒索软件攻击已经成为影响所有行业和组织的大问题,考虑到这些攻击可能对企业造成的影响,安全专业人员正在尝试以各种方式保护企业的网络、应用和数据。然而,但随着勒索攻击威胁形势的不断变化,很多错误的做法可能会阻碍企业勒索防护计划的有效执行,并使组织的数字化业务暴露在勒索攻击的威胁之下。

以下是企业在开展勒索攻击防护时最常见的6个错误:

不能从业务视角提出安全风险

没有一家企业的IT网络是绝对安全的,但实施勒索攻击通常需要相当一段时间的准备。这意味着只要做好安全检测并应用先进的防护技术,就能够给攻击者制造一系列的障碍,这对于有效防护勒索软件攻击至关重要。尽管没有企业希望成为勒索软件的受害者,但预算并不是无限的,安全团队想要说服企业管理层进行更多的网络安全投资往往并不容易。
为了证明这些控制和投入的合理性,安全团队不仅要从技术角度说明风险,而且要从业务视角量化出可能的危害。评估业务影响不必太繁琐,可以专注于一些关键应用程序和数据集,以获取最具代表性的样本,并对成本、商誉、合规性和安全影响进行综合量化评估。在此基础上,安全团队才能够给出充足的理由,包括风险和可验证的业务成效,以证明有必要追加费用和加强控制,这也让企业高层更容易决策是否需要加强勒索攻击保护的必要性。

缺少勒索软件防护能力测试

渗透测试是一种有效的主动性安全能力测试方法。企业在勒索软件防护中常犯的一个错误是,在没有验证整个勒索攻击防护体系有效性的情况下,就停止渗透测试活动,并且不验证端到端的勒索攻击事件响应能力。对于需要与多个团队快速协调评估、遏制和恢复的大型组织而言,这尤其重要。

此外,很多桌面推演练习的不足在于,它们仅设计了简单验证现有的事件响应计划(IRP)的任务,却没有深入研究攻击可能如何发生,以及企业应该采取什么措施来检测,遏制并从攻击中恢复。为了更有效地防范勒索软件攻击,定期组织实战化北京的红队演练(测试整个安全体系结构)非常重要。红队演练的结果可被用作内部安全团队的指导材料,以便他们可以从发现的问题中汲取经验教训。

将勒索软件防护当做纯技术性工作

研究人员发现,企业中的许多人都认为防护勒索软件攻击是技术部门或网络安全团队的事情,这是一种非常错误的观念。因为勒索攻击者擅长利用人为错误来获取未经授权的访问权限。网络安全意识和培训计划对于减少风险至关重要。教育员工如何识别钓鱼邮件、遵循安全的浏览习惯和遵守适当的安全协议。企业上下必须了解社会工程攻击以及如何识别。对于现代数字化企业而言,最好的勒索软件防护措施是为所有员工提供了解网络安全所需的信息,并让员工成为第一道防线。

忽视主动性的勒索攻击防护

很多企业在勒索企业防护中,重视对已发生的勒索事件响应和控制,却忽视对勒索攻击的主动预防。安全团队需要采用一种新的方法来保护庞大的数字生态系统,要学会站在攻击者的角度思考,模拟真实场景中的泄露。组织还应该了解欺骗技术,尽管它不是主要的网络安全策略,但欺骗解决方案有时是可以帮助保护系统的。欺骗技术可以模拟真实的服务器、应用程序和数据,从而欺骗攻击者,让他们相信他们已经获得了企业最重要资产的访问权。

一昧依赖数据备份

如果勒索软件加密了数据,提前备份数据有助于快速恢复访问权限,无需满足攻击者的赎金要求。然而,勒索软件攻击模式也在进化。许多攻击者现在采用双重勒索,他们加密并泄露受害者的数据,或者采用三重勒索,即添加DDoS攻击或勒索受害者的客户、合作伙伴及其他第三方。在这些攻击中,即使企业从备份中恢复数据,攻击者仍然可以要求支付赎金以免泄露数据。

备份很重要,但它们只是纵深防御勒索软件防御策略的一个要素。有效的恶意软件防御需要采用多层次的方法。这包括部署强大的终端保护解决方案、防火墙、入侵检测系统和强大的访问控制。实施安全配置、定期更新软件并进行漏洞评估,对于减少攻击面和提升安全姿态至关重要。

创建复杂环境,忘记基本面

为了免受勒索攻击威胁,很多企业创建过于复杂的网络安全环境。虽然技术创新和升级很重要,但企业不能忘记做好网络安全工作的基本面。

如果关注这些基本面:漏洞和补丁管理、访问控制、测试备份以及数据加密,可以应对大多数勒索软件企图,又不会带来导致人为错误的不必要的复杂性。Verizon 2023 DBIR报告显示,74%的数据泄露涉及人为因素。如果我们能降低这一比例,无异于往更强大、更有效的勒索软件预防迈出了一大步。

(德迅云安全)---渗透测试

模拟黑客攻击对业务系统进行安全性测试,比黑客更早发现可导致企业数据泄露、资产受损、数据被篡改等漏洞,并协助企业进行修复。

安全性漏洞挖掘

image.png
找出应用中存在的安全漏洞。安全应用检测是对传统安全弱点的串联并形成路径,最终通过路径式的利用而达到模拟入侵的效果。发掘应用中影响业务正常运行、导致敏感信息泄露、造成现金和信誉损失的等的漏洞。

漏洞修复方案

image.png
渗透测试目的是防御,故发现漏洞后,修复是关键。安全专家针对漏洞产生的原因进行分析,提出修复建议,以防御恶意攻击者的攻击。

回归测试

image.png
漏洞修复后,对修复方案和结果进行有效性评估,分析修复方案的有损打击和误打击风险,验证漏洞修复结果。汇总漏洞修复方案评估结果,标注漏洞修复结果,更新并发送测试报告。
image.png


德讯云安全如意
1 声望1 粉丝