信息化觀察網(wǎng)

從IT管理員、首席信息安全官、首席執(zhí)行官到政府，預(yù)防勒索軟件攻擊是每個(gè)人的首要任務(wù)。雖然這不是一個(gè)新問題，但一系列高技術(shù)含量且毀滅性的勒索軟件攻擊已將全世界的注意力重新集中在它身上。

與此同時(shí)，攻擊者只會(huì)變得越來越復(fù)雜，這使得企業(yè)在造成無法彌補(bǔ)的損害之前制定全面的預(yù)防和保護(hù)策略變得比以往任何時(shí)候都更加重要。

勒索軟件的攻擊威力仍然巨大

2021年3月，對(duì)紐約布法羅公立學(xué)校系統(tǒng)的勒索軟件攻擊導(dǎo)致該學(xué)區(qū)關(guān)閉一周。當(dāng)月，一家臺(tái)灣PC制造商也受到攻擊，并被攻擊者索要5000萬美元的贖金。據(jù)彭博社報(bào)道，美國最大的保險(xiǎn)公司之一CAN也遭到勒索軟件攻擊，并向攻擊者支付了4000萬美元的贖金。由于勒索軟件攻擊對(duì)其醫(yī)療服務(wù)造成重大破壞，愛爾蘭公共衛(wèi)生服務(wù)部門關(guān)閉了其IT系統(tǒng)。類似的攻擊趨勢(shì)持續(xù)存在，Colonial Pipeline襲擊使美國東海岸大部分地區(qū)的燃料供應(yīng)中斷了數(shù)天，而美國主要牛肉制造商JBS則停止了幾天的運(yùn)營。

為應(yīng)對(duì)這種前所未有的勒索軟件攻擊激增的情況，美國政府發(fā)布了一項(xiàng)關(guān)于改善國家網(wǎng)絡(luò)安全的行政命令，并正在組建一個(gè)跨機(jī)構(gòu)工作組，以全面應(yīng)對(duì)針對(duì)美國企業(yè)和政府的勒索軟件攻擊。響應(yīng)包括開發(fā)識(shí)別、阻止、防御、檢測(cè)和響應(yīng)勒索軟件攻擊的能力。對(duì)策包括積極破壞負(fù)責(zé)勒索軟件攻擊的網(wǎng)絡(luò)犯罪活動(dòng)、解決使用加密貨幣支付贖金以及強(qiáng)制采取更好的安全方法來阻止攻擊等策略，包括采用零信任架構(gòu)(Zero Trust Architecture)。

攻擊者如何獲得初始訪問權(quán)限

為了預(yù)防勒索軟件攻擊，以及與此相關(guān)的大多數(shù)其他惡意軟件攻擊，防御者必須阻止攻擊者在網(wǎng)絡(luò)上建立立足點(diǎn)的企圖。因此，終端安全預(yù)防、檢測(cè)和補(bǔ)救成為一種關(guān)鍵策略。

一般來說，攻擊者通常使用以下兩種策略之一來獲得對(duì)網(wǎng)絡(luò)的初始訪問權(quán)限：

1.成功利用受害者網(wǎng)絡(luò)中的漏洞。利用漏洞意味著找到可被操縱以部署惡意代碼的軟件漏洞或錯(cuò)誤，或者發(fā)現(xiàn)將為攻擊者提供部署代碼的入口點(diǎn)的錯(cuò)誤配置。例如，此類漏洞可能通過云資源的錯(cuò)誤配置或通過第三方依賴項(xiàng)而發(fā)生，這可能導(dǎo)致供應(yīng)鏈攻擊的發(fā)生。

2.獲得對(duì)有效帳戶的未授權(quán)訪問。通過社會(huì)工程竊取用戶帳戶的憑證來實(shí)現(xiàn)對(duì)有效帳戶的未經(jīng)授權(quán)訪問。

在勒索軟件攻擊通過更容易的訪問而激增的環(huán)境中，采用傳統(tǒng)安全套件和以往策略的防御者正在努力確保他們的數(shù)據(jù)安全。在不改變他們的方法的情況下，狡猾的攻擊者將繼續(xù)尋找漏洞來發(fā)起攻擊。

通過多重方法預(yù)防勒索攻擊

下一代身份和基于AI的終端保護(hù)提供了更好的解決勒索軟件的解決方案。傳統(tǒng)的較早一代解決方案（例如基于密碼的身份驗(yàn)證或基于AV簽名的終端保護(hù)）在阻止現(xiàn)代勒索軟件方面存在嚴(yán)重漏洞。由于預(yù)防的目的是阻止最初的滲透，就讓我們具體分析一下這些現(xiàn)代安全解決方案如何在對(duì)抗勒索軟件的過程中提供新的武器。

策略1：部署預(yù)防對(duì)用戶身份驗(yàn)證的攻擊

許多成功的勒索軟件攻擊通過破譯或竊取屬于有效帳戶的憑據(jù)，在受害者的網(wǎng)絡(luò)上獲得初步立足點(diǎn)。為了有效地預(yù)防這種情況，需要強(qiáng)大的用戶身份驗(yàn)證憑證，以保證難以被猜測(cè)到、破壞或竊取的憑證。

例如，在今年早些時(shí)候?qū)olonial Pipeline的成功攻擊中，對(duì)有效帳戶的訪問為攻擊者提供了初始訪問權(quán)限。同樣，MAZE和其他人為操作的勒索軟件的攻擊入口點(diǎn)通常是通過RDP訪問的面向互聯(lián)網(wǎng)的系統(tǒng)的被盜密碼，或使用弱密碼登錄Citrix網(wǎng)站門戶賬戶。

傳統(tǒng)的多因素身份驗(yàn)證(MFA)方法有助于解決密碼固有的安全漏洞，但它們從根本上仍然依賴于人類用戶必須記住和了解的內(nèi)容，而基于手機(jī)的方法并非100%安全。更重要的是，MFA增加的安全性伴隨著擁有和運(yùn)營解決方案的巨額成本，這導(dǎo)致了用戶的嚴(yán)重焦慮。

無密碼MFA可預(yù)防憑據(jù)盜竊并使攻擊者無法猜測(cè)密碼。無密碼MFA使用多種身份驗(yàn)證因素，但不包括傳統(tǒng)密碼。無密碼MFA最常用的身份驗(yàn)證因素是用戶注冊(cè)的移動(dòng)設(shè)備，以及通過設(shè)備內(nèi)置指紋傳感器提供的用戶PIN或指紋。通過消除對(duì)傳統(tǒng)密碼的需求，安全性立即得到改善，用戶體驗(yàn)得到簡(jiǎn)化，成本得到控制。

策略2：立即檢測(cè)、隔離和刪除勒索軟件

實(shí)際上，采取適當(dāng)?shù)念A(yù)防措施并不能保證攻擊者永遠(yuǎn)不會(huì)成功滲透并獲得對(duì)用戶設(shè)備的訪問權(quán)限。因此這道防線應(yīng)該是是自動(dòng)的、機(jī)器速度的保護(hù)、檢測(cè)和響應(yīng)機(jī)制，它可以在任何下游數(shù)據(jù)丟失、財(cái)務(wù)損失或時(shí)間投資發(fā)生之前，檢測(cè)并包含終端級(jí)別的可疑活動(dòng)。

現(xiàn)代擴(kuò)展檢測(cè)和響應(yīng)(XDR)解決方案實(shí)時(shí)監(jiān)控本地進(jìn)程并詳細(xì)分析其行為，從而可以識(shí)別具有非常高特異性的惡意代碼并立即采取緩解措施。這樣，無論是從本地內(nèi)存還是遠(yuǎn)程執(zhí)行，攻擊都會(huì)在攻擊開始的那一刻停止。

從技術(shù)角度來看，緩解的選項(xiàng)各不相同。根據(jù)環(huán)境和組織政策，系統(tǒng)可以刪除代碼的源代碼、終止所有相關(guān)進(jìn)程、隔離可疑文件，或?qū)⑹苡绊懙亩它c(diǎn)與網(wǎng)絡(luò)完全斷開。

阻止正在進(jìn)行的攻擊是任何XDR解決方案中最重要的工作，但它的作用并不止于此。在采取關(guān)鍵步驟阻止正在進(jìn)行的攻擊后，IT和安全團(tuán)隊(duì)必須獲得詳細(xì)的取證視圖，其中包括惡意軟件活動(dòng)的時(shí)間線、入口點(diǎn)和攻擊向量，以及所有受影響文件和網(wǎng)絡(luò)的列表。然后，管理員可以分析攻擊，以更好地為未來的威脅做好準(zhǔn)備，并向其上級(jí)、執(zhí)法部門和保險(xiǎn)公司提供所有相關(guān)數(shù)據(jù)。

在國內(nèi)，微信、支付寶是大家最常使用的移動(dòng)支付方式，當(dāng)然，Apple Pay在美國就實(shí)現(xiàn)了“壟斷”。Pulse發(fā)布的一份統(tǒng)計(jì)顯示，去年在北美市場(chǎng)，92%的手機(jī)移動(dòng)支付都是在Apple Pay上完成。據(jù)悉，去年北美進(jìn)行了20億筆電子錢包交易，同比增長(zhǎng)了51%。除去Apple Pay，余下的8%市場(chǎng)被Samsung Pay(三星智付)、Google Pay分食，但份額分別只有5%和3%。

如今，Apple Pay不僅可以借助iPhone，在Apple Watch、Mac、iPad等設(shè)備上同樣可以使用。

近日英國伯明翰大學(xué)和薩里大學(xué)的研究員發(fā)現(xiàn)了Apple Pay被爆安全漏洞可繞過鎖屏進(jìn)行欺詐性支付。研究人員發(fā)現(xiàn)當(dāng)Visa卡在iPhone上被設(shè)置為蘋果的Express Transit模式時(shí)，該漏洞可能允許攻擊者繞過iPhone鎖屏，在沒有密碼的情況下進(jìn)行非接觸式支付。蘋果的Express Transit模式允許用戶在不解鎖設(shè)備的情況下，使用信用卡、借記卡或交通卡快速支付。目前，該漏洞只影響存儲(chǔ)在Wallet應(yīng)用中的Visa卡。它是由Transit Gate使用的獨(dú)特代碼造成的，這些代碼向iPhone發(fā)出信號(hào)，以解鎖Apple Pay。攻擊者通過使用普通的無線設(shè)備，就能夠進(jìn)行攻擊，誘使iPhone相信它是位于Transit Gate。這個(gè)概念驗(yàn)證攻擊涉及一個(gè)啟用了Express Transit的iPhone，向一個(gè)智能支付閱讀器進(jìn)行欺詐性支付。類似的攻擊可能已經(jīng)被黑客利用，然而，Visa表示，這種攻擊在大范圍內(nèi)似乎不會(huì)發(fā)生，僅僅停留在理論上。即使攻擊者能夠成功，銀行和金融機(jī)構(gòu)也有其他機(jī)制，通過檢測(cè)可疑交易來阻止欺詐。

策略3：回滾勒索軟件的更改

這種多層次方法中的第三個(gè)要素，也許對(duì)受勒索軟件影響的人來說是最重要的要素，是能夠倒轉(zhuǎn)時(shí)鐘并將所有資產(chǎn)和配置恢復(fù)到攻擊前的原始狀態(tài)。無論攻擊的范圍和深度如何，這一關(guān)鍵步驟都可以實(shí)現(xiàn)快速恢復(fù)并確保完整的業(yè)務(wù)連續(xù)性。

以前未知的惡意軟件或新的攻擊策略可能不會(huì)被檢測(cè)組件自動(dòng)捕獲和阻止，因此撤消其操作是剩下的唯一保護(hù)措施。此外，潛在的攻擊不僅限于文件被加密或刪除。惡意軟件還可以更改可能在后續(xù)攻擊中被利用的訪問權(quán)限和安全配置。

這種多步驟攻擊通常被黑客用于針對(duì)企業(yè)網(wǎng)絡(luò)和公共基礎(chǔ)設(shè)施，并構(gòu)成特別危險(xiǎn)的威脅。在這些長(zhǎng)期活動(dòng)中，第一階段通常僅用于下載惡意程序，以便在特定日期（例如假期或重要商業(yè)活動(dòng)）更容易執(zhí)行攻擊。通過這種方式，攻擊者可以讓受害者大吃一驚，并利用他們?nèi)狈︻A(yù)防準(zhǔn)備，讓他們別無選擇，只能支付全額贖金。

惡意代碼或可疑代碼執(zhí)行的所有更改，無論多么小，都會(huì)自動(dòng)恢復(fù)，這給管理員提供了一個(gè)安全網(wǎng)，保護(hù)他們和整個(gè)域免受成功網(wǎng)絡(luò)攻擊的可怕后果。

用于勒索軟件預(yù)防的安全建議

總之，網(wǎng)絡(luò)安全架構(gòu)師和企業(yè)網(wǎng)絡(luò)防御者的主要目標(biāo)是預(yù)防，而對(duì)于勒索軟件，預(yù)防就是拒絕攻擊者對(duì)企業(yè)任何部分的初始訪問。綜合策略包括使用戶身份驗(yàn)證攻擊具有抵抗力，立即檢測(cè)和消除威脅，最后，回滾攻擊者及其惡意軟件對(duì)無法檢測(cè)的攻擊采取的所有操作。

這一切都始于終端以及該終端的內(nèi)在安全功能。