勒索軟件是企業(yè)當(dāng)今面臨的最普遍、最隱蔽、最危險(xiǎn)的安全威脅之一。僅在2020年，從本田、佳能、佳明(Garmin)到Jack Daniels的數(shù)十個(gè)知名品牌遭遇了勒索軟件團(tuán)伙的洗劫，支付高昂贖金的同時(shí)，企業(yè)還要接受業(yè)務(wù)停擺和品牌受損的雙重打擊。

[[346690]]

業(yè)界在勒索軟件攻擊防御方面的注意力大多集中在攻擊者在網(wǎng)絡(luò)中橫向移動(dòng)的方法，一個(gè)關(guān)鍵方面卻常常被忽略：攻擊者的駐留時(shí)間，也就是入侵者在企業(yè)網(wǎng)絡(luò)內(nèi)部潛伏且未被檢測(cè)到的時(shí)間長(zhǎng)度。

過(guò)去十年，大多數(shù)勒索軟件攻擊都屬于“無(wú)差別”搶劫式攻擊，成功部署的惡意文件將以盡可能快的速度加密盡可能多的文件和計(jì)算機(jī)，然后以鎖定屏幕的形式“收網(wǎng)”。最近，勒索軟件攻擊開始變得更加隱蔽和有針對(duì)性，會(huì)潛伏在網(wǎng)絡(luò)中進(jìn)行偵察，并耐心等待，以期發(fā)現(xiàn)更高價(jià)值的資產(chǎn)。

與其他惡意軟件相比，勒索軟件的攻擊駐留時(shí)間相對(duì)較短，平均為43天，而高級(jí)持續(xù)攻擊APT的駐留時(shí)間可長(zhǎng)達(dá)數(shù)月甚至數(shù)年。但是，43天對(duì)于勒索軟件攻擊者和受害者來(lái)說(shuō)都過(guò)于漫長(zhǎng)，駐留時(shí)間每增加一天，攻擊者的怒火和潛在破壞性都在增長(zhǎng)。

新一代勒索軟件攻擊

在過(guò)去的十年中，勒索軟件已成為黑客和犯罪組織首選的惡意軟件工具。安全團(tuán)隊(duì)需要防御成千上萬(wàn)的變體，但糟糕的是，新的攻擊者不再遵循相同的攻擊劇本，而是開始不斷“創(chuàng)新”。

例如Sodinokibi勒索軟件背后的團(tuán)伙成功地找到了創(chuàng)新的方法，可以在加密鎖定目標(biāo)系統(tǒng)之前先竊取數(shù)據(jù)，然后威脅說(shuō)要泄漏或拍賣被盜的數(shù)據(jù)，除非受害者支付贖金。

其他犯罪集團(tuán)(例如REvil)通過(guò)提供價(jià)格合理且易于使用的惡意軟件即服務(wù)，使黑客和腳本小子的攻擊變得非常簡(jiǎn)單，大大降低了勒索軟件攻擊的成本和門檻，使勒索軟件實(shí)質(zhì)上實(shí)現(xiàn)了民主化。“訂閱模式”使得勒索軟件運(yùn)營(yíng)商可以采用會(huì)員模式，以收取贖金分成的方式來(lái)擴(kuò)大營(yíng)收規(guī)模。這種模式還可以減輕風(fēng)險(xiǎn)，因?yàn)槔账鬈浖\(yùn)營(yíng)商自身并沒(méi)有帶頭攻擊。

2020年讓勒索軟件運(yùn)營(yíng)商感到鼓舞的是，由于新冠疫情全球肆虐，現(xiàn)在有大量人員在遠(yuǎn)程工作，他們利用遠(yuǎn)程桌面協(xié)議中的已知安全漏洞，以及大量不熟悉正確使用遠(yuǎn)程安全協(xié)議的員工。

為什么駐留時(shí)間是關(guān)鍵指標(biāo)

隨著勒索軟件運(yùn)營(yíng)商更加關(guān)注目標(biāo)的質(zhì)量而不是數(shù)量，安全團(tuán)隊(duì)的重點(diǎn)必須從不惜一切代價(jià)阻止攻擊者的思維方式轉(zhuǎn)變?yōu)榧僭O(shè)他們已經(jīng)進(jìn)入網(wǎng)絡(luò)內(nèi)部。

當(dāng)攻擊者能夠在網(wǎng)絡(luò)內(nèi)保持未被檢測(cè)到的狀態(tài)時(shí)，他們可能會(huì)花費(fèi)數(shù)周或數(shù)月的時(shí)間對(duì)其進(jìn)行深入研究，以嘗試提升權(quán)限并將勒索軟件投送到盡可能多的端點(diǎn)設(shè)備上。他們還可以利用駐留時(shí)間來(lái)確定關(guān)鍵的網(wǎng)絡(luò)資源，例如系統(tǒng)備份、存儲(chǔ)敏感數(shù)據(jù)的網(wǎng)段以及可用于廣泛傳播勒索軟件的其他關(guān)鍵系統(tǒng)。

減少攻擊者駐留時(shí)間的3種方法

雖然預(yù)防的投入成效十倍于事后補(bǔ)救，但是安全團(tuán)隊(duì)必須重新考慮現(xiàn)有的安全模式，不是試圖使攻擊者遠(yuǎn)離關(guān)鍵網(wǎng)絡(luò)資產(chǎn)，而是假設(shè)他們已經(jīng)在內(nèi)部。正如安全專家邁克·泰森(Mike Tyson)所說(shuō)的：“每個(gè)用戶都有防御計(jì)劃，直到他們受到打擊為止。”

因此，我們必須正視這樣一個(gè)現(xiàn)實(shí)，我們不可能始終將入侵者拒之門外，但企業(yè)可以采取以下幾個(gè)措施，將攻擊者造成的損失降至最低：

• 持續(xù)危害評(píng)估框架與實(shí)踐：定期的滲透測(cè)試和威脅搜尋是成熟的企業(yè)安全實(shí)踐的標(biāo)志，但許多企業(yè)無(wú)法做到。通過(guò)采用持續(xù)危害評(píng)估的框架，安全團(tuán)隊(duì)可以集成企業(yè)已收集的各種網(wǎng)絡(luò)和事件管理源，以便他們可以更精細(xì)地衡量其危害程度。
• 關(guān)聯(lián)網(wǎng)絡(luò)分析情報(bào)：攻擊者將網(wǎng)絡(luò)用作其進(jìn)入端口，并且還必須使用網(wǎng)絡(luò)進(jìn)行橫向移動(dòng)，與命令服務(wù)器進(jìn)行通信并最終泄露數(shù)據(jù)。所有這些動(dòng)作都會(huì)產(chǎn)生元數(shù)據(jù)碎片，無(wú)論是嘗試解析DNS查詢還是掃描防火墻中的開放端口。通過(guò)將這些少量數(shù)據(jù)關(guān)聯(lián)到一個(gè)統(tǒng)一的視圖中，網(wǎng)絡(luò)防御者可以清楚地確定其網(wǎng)絡(luò)是否與對(duì)手的基礎(chǔ)結(jié)構(gòu)進(jìn)行通信。
• 實(shí)施零信任框架：零信任是網(wǎng)絡(luò)安全中最熱門的主題之一，因?yàn)樗噲D用軟件定義層來(lái)代替?zhèn)鹘y(tǒng)的信任驗(yàn)證模型，該層可以更輕松地在整個(gè)網(wǎng)絡(luò)中實(shí)施最小特權(quán)訪問(wèn)和微分段。從勒索軟件攻擊的角度來(lái)看，這將使攻擊者更難跳越網(wǎng)絡(luò)并提升權(quán)限。

總之，勒索軟件運(yùn)營(yíng)商正在不斷尋找新的方法來(lái)入侵網(wǎng)絡(luò)并植入惡意文件。真正的挑戰(zhàn)不是將它們阻止在安全邊界之外，而是要不斷消除網(wǎng)絡(luò)中的盲區(qū)和死角，防止較小的入侵事件演變?yōu)闉?zāi)難性的大規(guī)模數(shù)據(jù)泄露事件。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文