勒索軟件防御與響應的三大常見錯誤
責編:gltian |2020-12-08 14:36:412020年,勒索軟件已經成為很多企業的頭號威脅,而2021年勒索軟件將繼續進化,攻擊手段更加復雜,產業化程度不斷提高,攻擊范圍也將擴大,更加難以防范。
隨著勒索軟件攻擊頻率和強度的不斷增加,一件事變得越來越清楚:企業和機構需要行動起來保護自己。不幸的是,大多數組織都早早放棄了抵抗。已知的勒索軟件受害者中,大多數在遭到攻擊前都收到了有關潛在漏洞的警告,但并沒有在遭受打擊時做好準備。以下是勒索軟件預防和事件響應失敗的一些典型案例:
在2018年亞特蘭大市遭到勒索軟件攻擊的兩個月前,安全審計發現了1,500多個嚴重的安全漏洞。
2019年美國巴爾的摩市遭受勒索軟件攻擊,停機長達數周。攻擊發生之前,一項風險評估工作已經發現了大量嚴重漏洞,這是由于服務器運行的操作系統過時(因此缺乏最新的安全補丁)以及備份不足以還原這些服務器。
本田集團今年6月受到攻擊,導致全球工廠業務和網絡服務中斷,某些計算機對遠程桌面協議(RDP)的公共訪問可能已成為黑客利用的攻擊手段。使問題更加復雜的是,本田的企業IT網絡缺少足夠的網絡分段措施。
最近其他一些勒索軟件的著名受害者包括Travelex、Blackbaud和Garmin。
在所有這些案例中,這些都是大型企業和組織,具有非常成熟的安全系統,那么問題出在哪里了?
三種常見的錯誤會導致預防不足和無效響應,并且各種規模的組織都犯了此類錯誤:
- 無法從業務角度提出風險,這對于說服業務領導者提供適當的資金和政策支持至關重要。
- 在測試勒索軟件準備情況方面不夠深入。
- DR(數據恢復)計劃不足,無法解決可能感染備份的勒索軟件威脅。
常見錯誤一:無法從業務角度提出安全風險,無法獲得資金和政策支持
當我們查看勒索軟件攻擊模擬結果時,往往會發現繞過基本安全措施(例如防火墻、電子郵件安全網關和反惡意軟件解決方案)有多么容易。勒索軟件進入之前,有效負載已經建立“灘頭陣地”,隨后是諸如反向DNS查找之類的技術,以識別Active Directory服務,該服務具備造成實際損失的必要特權。最后,攻擊者使用Kerberoasting進行接管和控制。
沒有一家企業的IT網絡能夠防彈,但攻擊確實需要相當一段時間。這意味著要進行早期檢測以及部署更高級的入侵檢測,給黑客制造一系列的障礙(例如,更好的網絡分段、適當的最終用戶限制等),對于勒索軟件的預防至關重要。
對于安全從業人員而言,這不是什么新鮮事。但是說服企業領導者進行更多的網絡安全投資是另外一個挑戰。
解決方法:量化業務影響以實現基于成本的明智業務決策
嚴格的安全控制(通過技術和策略)對企業來說是摩擦。盡管沒有企業領導者希望成為勒索軟件的受害者,但預算并不是無限的。
為了證明額外的成本和更嚴格的控制的合理性,您需要制作一個業務案例,不僅要說明風險,而且要說明可量化的業務影響。幫助高級領導者將蘋果與蘋果進行比較,在這種情況下,是提高安全性的成本(資本支出和潛在的生產力摩擦)與安全性破壞的成本(延長停機時間的直接成本以及聲譽受損的長期成本)。
評估業務影響不必太繁瑣。關鍵系統的影響評估相當準確,可以在一天之內完成。專注于一些關鍵應用程序和數據集,以獲取具有代表性的樣本,并對成本、商譽、合規性和/或健康與安全影響進行粗略估計,具體取決于您的組織。在此階段,您不必十分精確即可識別潛在的重大影響。
以下是向企業高管介紹勒索軟件安全防御計劃的要點示例(用數字說話):
勒索軟件造成的損失預估 資料來源:2020年ITRG《業務影響分析范例》
常見錯誤二:對勒索軟件防御能力的測試不夠深入
如果您尚未采用滲透測試驗證相關安全技術和配置,請立即開始。如果您無法獲得資金,請重新閱讀如何解決錯誤一。
組織最常見的錯誤就是停止滲透測試,并且不驗證端到端事件響應。對于需要與多個團隊快速協調評估、遏制和恢復的大型組織而言,這尤其重要。
解決方法:進行深入的桌面規劃練習,以涵蓋一系列假設場景
大多數桌面計劃練習的問題在于,它們僅設計用于簡單地驗證您現有的事件響應計劃(IRP)。
取而代之的應該是深入研究攻擊可能如何發生以及您將采取什么措施來檢測,遏制并從攻擊中恢復。例如,如果您的IRP說要檢查其他受感染的系統,請具體說明如何進行。您將使用哪些工具?您會查看哪些數據?您會尋找什么模式?
事實上,對于網絡安全專業人士來說,很難遇到一個真正擁有完善的事件響應計劃的客戶。甚至具有成熟的安全體系和規范文檔的響應計劃的組織,也經常發現以下問題:
網絡安全和基礎架構人員之間的協調不暢,評估階段的移交不清楚。
現有工具尚未得到充分利用(例如,配置自動包含功能)。
某些系統(例如,物聯網設備和舊系統)的可見性有限。
常見錯誤三:備份策略和災難恢復計劃沒有針對勒索軟件的預案
如以下圖例所示,在可擦寫存儲介質上進行數據快照和標準的每日備份還不夠好:
應對勒索軟件的最后防線是您從備份中還原恢復,或者轉移到干凈的備用站點/系統的能力。
因此,勒索軟件攻擊的一個主要目標就是消滅目標的恢復能力。這意味著勒索軟件不僅會針對主要數據,還會針對備份和備用系統。如果你對勒索軟件沒有針對性的預案,那么這些花費重金,主要用于防御颶風和地震的災備系統并不能有效抵擋勒索軟件的攻擊。
解決方法:將深度防御應用于備份和災難恢復策略
深度防御是當下的最佳安全實踐,需要注意的是,數據備份和恢復也需要遵循深度防御的安全哲學。
深度防御不僅僅是試圖捕捉突破安全的漏洞,還應當包括花費時間來檢測,遏制并從攻擊中恢復。
通過以下方法提高針對勒索軟件的備份與恢復的深度防御能力:
- 創建多個還原點,以便您可以更精細地進行回滾,而不會丟失太多數據。
- 通過使用不同的存儲介質(例如磁盤、NAS和/或磁帶)和備份位置(即異地備份)來降低感染備份的風險。你給攻擊者設計的“溝”越多,越有可能在所有備份都被感染之前檢測到攻擊。從最關鍵的數據開始,設計一個兼顧業務需求、成本和風險承受能力的勒索軟件數據安全解決方案。
- 投資防篡改備份的解決方案。大多數領先的備份解決方案都提供了確保備份不被篡改的功能(即,寫入后不能更改)。當然,這樣做成本會更高,因此在確定需要更高級別保護時,請再次考慮業務影響。
總結:
勒索軟件攻擊可能非常復雜,但大多數企業的基本安全實踐還不夠好。安全主管不僅需要提示攻擊風險,而且還需要評估攻擊對業務的潛在影響,讓高層領導支持勒索軟件的準備工作。總之,在勒索軟件越來越猖獗的今天,每個企業的安全主管都不能心存僥幸,請假設明天下班前就會遭遇攻擊,并盡早做好準備,為可能發生的攻擊做出迅速響應,同時進行實際測試,制訂更有針對性的災難恢復策略。