勒索软件的未来及企业如何有效应对
未来的勒索软件攻击是什么样的?企业如何实现自身安全防护?
在过去十年左右的时间里,勒索软件已经逐渐发展成熟——从最初相对简单的病毒,到现在有能力削弱全球医疗保健系统、干扰燃料供应链或破坏交通基础设施。它对恶意行为者的巨大吸引力在于其简单易操作。勒索软件攻击无需特别复杂的操作即可实现大规模破坏,同时为犯罪分子赚取丰厚的赎金。出于这个原因,此类攻击的数量未来仍将加速增长。
近日,英国情报机构GCHQ披露称,2021年,沦为勒索软件攻击目标的英国企业数量高达去年的两倍。其实,勒索软件攻击之所以如此危险,部分原因在于它们会不断发展演变。本文探讨了勒索软件在未来几年变得更具危险和破坏性的三种方式,以及组织可以保护自身免受此类攻击的最佳实践方案。
趋势1:勒索软件将使用物联网作为攻击入口
如今,物联网设备可谓无处不在,Gartner预测,到今年年底,物联网设备的数量将超过250亿。这其中许多设备都可作为攻击入口,供恶意行为者实施非法企图。在许多情况下,物联网错误配置(例如未更改的默认设置,或仍在启用不需要的服务)会使设备暴露于危险之中。
一项研究的结果显示,18个月的时间内,研究人员在14个TCP/IP协议栈中发现了总共97个漏洞,涉及远程代码执行、拒绝服务(DoS)攻击和敏感信息获取等方面。这些漏洞影响成百上千种产品,研究人员估计大约造成30亿台设备容易遭到黑客攻击。
可以肯定地说,物联网设备被用作攻击入口的风险是真实存在的。
缓解建议
• 想要适当保护自身免受此类威胁的企业,需要确保他们对所有设备拥有全面的可见性,并了解与之相关的风险。毕竟,企业无法保护他们看不到的东西。
• 然后,他们可以确保采取纠正措施,例如更改默认设置(包括密码)以及禁用不需要的服务以保护自身免受常见漏洞的侵害。
• 此外,网络分段是最强大、最有效的方法之一,可确保在发生违规事件时,恶意行为者无法利用一台设备的漏洞对整个 企业造成严重破坏。
趋势2:勒索软件将越来越多地针对第三方软件
恶意行为者不一定总是直接攻击企业或其系统。越来越多的黑客将目标瞄准供应链软件,包括远程监控和管理软件(例如Kaseya和SolarWinds),或者通过利用“内存计划”(Project Memoria)发现的广泛的TCP/IP堆栈漏洞。几十年来,第三方软件中的一些潜在漏洞一直没有得到修补,攻击者将继续利用它们来破坏和控制设备。
沦为此类攻击的受害者所面临的风险等级很高。然而,由于解决这些漏洞的责任由第三方设备或软件制造商与使用它们的公司共同承担,因此企业可能难以充分保护自己。
缓解建议
• 就供应商而言,他们应该在其产品开发周期中包括软件验证,并制定明确的流程来解决任何新发现的(会给客户带来风险的)漏洞。
• 企业作为这些产品的最终用户,需要表现出高度的主动性,并使用强大的设备可见性和控制工具来保护自身免受这些漏洞的影响,并在遭遇攻击后尽可能降低影响面。
趋势3:勒索软件将专注于运营技术
过去,许多企业并未认真考虑过运营技术(OT)的网络安全问题。但是发生在2021年的Colonial Pipeline网络攻击事件,已经极大地颠覆了这一认知。在Colonial Pipeline事件中,运营商被迫完全关闭其OT环境以防止黑客在设备上移动,由此导致美国发生重大石油危机。最终,Colonial Pipeline被迫支付约500万美元赎金以重新获取对系统的访问权限。此次事件也成为近年来最具破坏性且最有利可图的网络攻击之一。
事实证明,OT系统遭受攻击要比IT系统糟糕得多,因为它们能够让恶意行为者中止运营并几乎立即使企业完全处于停滞状态。一旦被锁定在系统之外,除了交付赎金,几乎没有企业可以扭转这种局面。
缓解建议
对于勒索软件而言,预防明显优于治疗。为了正确保护他们的OT系统并阻止黑客进入,企业需要加倍努力进行网络分段和可见性工作,以削弱攻击者在网络中横向移动的能力,并将漏洞控制在受影响的设备中(理想状态下)。
未来的勒索软件攻击
现实情况是,上述勒索软件的未来趋势其实已经到来。鉴于近年来恶意行为者接连得手,针对物联网设备、第三方软件和运营技术的攻击数量只会继续增长。但好消息是,企业不必坐以待毙。每家公司都可以采取一些明确且高效的步骤,以最大程度地降低成功的网络攻击对其系统造成严重破坏的可能性。
• 企业需要确保他们对连接到其网络的所有设备拥有全面的可见性,以便确定他们的网络安全盲点可能在哪里。
• 然后,他们需要确保让这些设备符合最新的安全准则,更改默认设置并禁用不需要的服务。
• 公司应进一步制定严格的网络安全政策,定期审查和更新以提供最佳保护。
• 最后,企业应该利用网络分段的力量来限制潜在攻击的影响。
虽然没有人可以告诉我们未来的网络攻击会是什么样子,但如果企业现在积极主动地加强他们的网络防御能力,他们将有能力应对未来不可避免的勒索软件攻击。
