2020年，勒索軟件已經(jīng)成為很多企業(yè)的頭號威脅，而2021年勒索軟件將繼續(xù)進化，攻擊手段更加復雜，產(chǎn)業(yè)化程度不斷提高，攻擊范圍也將擴大，更加難以防范。

隨著勒索軟件攻擊頻率和強度的不斷增加，一件事變得越來越清楚：企業(yè)和機構(gòu)需要行動起來保護自己。不幸的是，大多數(shù)組織都早早放棄了抵抗。已知的勒索軟件受害者中，大多數(shù)在遭到攻擊前都收到了有關(guān)潛在漏洞的警告，但并沒有在遭受打擊時做好準備。以下是勒索軟件預防和事件響應失敗的一些典型案例：

• 在2018年亞特蘭大市遭到勒索軟件攻擊的兩個月前，安全審計發(fā)現(xiàn)了1,500多個嚴重的安全漏洞。
• 2019年美國巴爾的摩市遭受勒索軟件攻擊，停機長達數(shù)周。攻擊發(fā)生之前，一項風險評估工作已經(jīng)發(fā)現(xiàn)了大量嚴重漏洞，這是由于服務器運行的操作系統(tǒng)過時(因此缺乏最新的安全補丁)以及備份不足以還原這些服務器。
• 本田集團今年6月受到攻擊，導致全球工廠業(yè)務和網(wǎng)絡服務中斷，某些計算機對遠程桌面協(xié)議(RDP)的公共訪問可能已成為黑客利用的攻擊手段。使問題更加復雜的是，本田的企業(yè)IT網(wǎng)絡缺少足夠的網(wǎng)絡分段措施。
• 最近其他一些勒索軟件的著名受害者包括Travelex、Blackbaud和Garmin。

[[356007]]

在所有這些案例中，這些都是大型企業(yè)和組織，具有非常成熟的安全系統(tǒng)，那么問題出在哪里了?

三種常見的錯誤會導致預防不足和無效響應，并且各種規(guī)模的組織都犯了此類錯誤：

• 無法從業(yè)務角度提出風險，這對于說服業(yè)務領(lǐng)導者提供適當?shù)馁Y金和政策支持至關(guān)重要。
• 在測試勒索軟件準備情況方面不夠深入。
• DR(數(shù)據(jù)恢復)計劃不足，無法解決可能感染備份的勒索軟件威脅。

常見錯誤一：無法從業(yè)務角度提出安全風險，無法獲得資金和政策支持

當我們查看勒索軟件攻擊模擬結(jié)果時，往往會發(fā)現(xiàn)繞過基本安全措施(例如防火墻、電子郵件安全網(wǎng)關(guān)和反惡意軟件解決方案)有多么容易。勒索軟件進入之前，有效負載已經(jīng)建立“灘頭陣地”，隨后是諸如反向DNS查找之類的技術(shù)，以識別Active Directory服務，該服務具備造成實際損失的必要特權(quán)。最后，攻擊者使用Kerberoasting進行接管和控制。

沒有一家企業(yè)的IT網(wǎng)絡能夠防彈，但攻擊確實需要相當一段時間。這意味著要進行早期檢測以及部署更高級的入侵檢測，給黑客制造一系列的障礙(例如，更好的網(wǎng)絡分段、適當?shù)淖罱K用戶限制等)，對于勒索軟件的預防至關(guān)重要。

對于安全從業(yè)人員而言，這不是什么新鮮事。但是說服企業(yè)領(lǐng)導者進行更多的網(wǎng)絡安全投資是另外一個挑戰(zhàn)。

解決方法：量化業(yè)務影響以實現(xiàn)基于成本的明智業(yè)務決策

嚴格的安全控制(通過技術(shù)和策略)對企業(yè)來說是摩擦。盡管沒有企業(yè)領(lǐng)導者希望成為勒索軟件的受害者，但預算并不是無限的。

為了證明額外的成本和更嚴格的控制的合理性，您需要制作一個業(yè)務案例，不僅要說明風險，而且要說明可量化的業(yè)務影響。幫助高級領(lǐng)導者將蘋果與蘋果進行比較，在這種情況下，是提高安全性的成本(資本支出和潛在的生產(chǎn)力摩擦)與安全性破壞的成本(延長停機時間的直接成本以及聲譽受損的長期成本)。

評估業(yè)務影響不必太繁瑣。關(guān)鍵系統(tǒng)的影響評估相當準確，可以在一天之內(nèi)完成。專注于一些關(guān)鍵應用程序和數(shù)據(jù)集，以獲取具有代表性的樣本，并對成本、商譽、合規(guī)性和/或健康與安全影響進行粗略估計，具體取決于您的組織。在此階段，您不必十分精確即可識別潛在的重大影響。

以下是向企業(yè)高管介紹勒索軟件安全防御計劃的要點示例(用數(shù)字說話)：

勒索軟件造成的損失預估 資料來源：2020年ITRG《業(yè)務影響分析范例》

常見錯誤二：對勒索軟件防御能力的測試不夠深入

如果您尚未采用滲透測試驗證相關(guān)安全技術(shù)和配置，請立即開始。如果您無法獲得資金，請重新閱讀如何解決錯誤一。

組織最常見的錯誤就是停止?jié)B透測試，并且不驗證端到端事件響應。對于需要與多個團隊快速協(xié)調(diào)評估、遏制和恢復的大型組織而言，這尤其重要。

解決方法：進行深入的桌面規(guī)劃練習，以涵蓋一系列假設場景

大多數(shù)桌面計劃練習的問題在于，它們僅設計用于簡單地驗證您現(xiàn)有的事件響應計劃(IRP)。

取而代之的應該是深入研究攻擊可能如何發(fā)生以及您將采取什么措施來檢測，遏制并從攻擊中恢復。例如，如果您的IRP說要檢查其他受感染的系統(tǒng)，請具體說明如何進行。您將使用哪些工具?您會查看哪些數(shù)據(jù)?您會尋找什么模式?

事實上，對于網(wǎng)絡安全專業(yè)人士來說，很難遇到一個真正擁有完善的事件響應計劃的客戶。甚至具有成熟的安全體系和規(guī)范文檔的響應計劃的組織，也經(jīng)常發(fā)現(xiàn)以下問題：

網(wǎng)絡安全和基礎(chǔ)架構(gòu)人員之間的協(xié)調(diào)不暢，評估階段的移交不清楚。

現(xiàn)有工具尚未得到充分利用(例如，配置自動包含功能)。

某些系統(tǒng)(例如，物聯(lián)網(wǎng)設備和舊系統(tǒng))的可見性有限。

常見錯誤三：備份策略和災難恢復計劃沒有針對勒索軟件的預案

如以下圖例所示，在可擦寫存儲介質(zhì)上進行數(shù)據(jù)快照和標準的每日備份還不夠好：

應對勒索軟件的最后防線是您從備份中還原恢復，或者轉(zhuǎn)移到干凈的備用站點/系統(tǒng)的能力。

因此，勒索軟件攻擊的一個主要目標就是消滅目標的恢復能力。這意味著勒索軟件不僅會針對主要數(shù)據(jù)，還會針對備份和備用系統(tǒng)。如果你對勒索軟件沒有針對性的預案，那么這些花費重金，主要用于防御颶風和地震的災備系統(tǒng)并不能有效抵擋勒索軟件的攻擊。

解決方法：將深度防御應用于備份和災難恢復策略

深度防御是當下的最佳安全實踐，需要注意的是，數(shù)據(jù)備份和恢復也需要遵循深度防御的安全哲學。

深度防御不僅僅是試圖捕捉突破安全的漏洞，還應當包括花費時間來檢測，遏制并從攻擊中恢復。

通過以下方法提高針對勒索軟件的備份與恢復的深度防御能力：

• 創(chuàng)建多個還原點，以便您可以更精細地進行回滾，而不會丟失太多數(shù)據(jù)。
• 通過使用不同的存儲介質(zhì)(例如磁盤、NAS和/或磁帶)和備份位置(即異地備份)來降低感染備份的風險。你給攻擊者設計的“溝”越多，越有可能在所有備份都被感染之前檢測到攻擊。從最關(guān)鍵的數(shù)據(jù)開始，設計一個兼顧業(yè)務需求、成本和風險承受能力的勒索軟件數(shù)據(jù)安全解決方案。
• 投資防篡改備份的解決方案。大多數(shù)領(lǐng)先的備份解決方案都提供了確保備份不被篡改的功能(即，寫入后不能更改)。當然，這樣做成本會更高，因此在確定需要更高級別保護時，請再次考慮業(yè)務影響。

總結(jié)：

勒索軟件攻擊可能非常復雜，但大多數(shù)企業(yè)的基本安全實踐還不夠好。安全主管不僅需要提示攻擊風險，而且還需要評估攻擊對業(yè)務的潛在影響，讓高層領(lǐng)導支持勒索軟件的準備工作?？傊?，在勒索軟件越來越猖獗的今天，每個企業(yè)的安全主管都不能心存僥幸，請假設明天下班前就會遭遇攻擊，并盡早做好準備，為可能發(fā)生的攻擊做出迅速響應，同時進行實際測試，制訂更有針對性的災難恢復策略。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文