从 IT 管理员、首席信息安全官、首席执行官到政府,预防勒索软件攻击是每个人的首要任务。虽然这不是一个新问题,但一系列高技术含量且毁灭性的勒索软件攻击已将全世界的注意力重新集中在它身上。

与此同时,攻击者只会变得越来越复杂,这使得企业在造成无法弥补的损害之前制定全面的预防和保护策略变得比以往任何时候都更加重要。

勒索软件的攻击威力仍然巨大

2021 年 3 月,对纽约布法罗公立学校系统的勒索软件攻击导致该学区关闭一周。当月,一家台湾 PC 制造商也受到攻击,并被攻击者索要 5000 万美元的赎金。据彭博社报道,美国最大的保险公司之一CAN也遭到勒索软件攻击,并向攻击者支付了4000万美元的赎金。由于勒索软件攻击对其医疗服务造成重大破坏,爱尔兰公共卫生服务部门关闭了其 IT 系统。类似的攻击趋势持续存在,Colonial Pipeline 袭击使美国东海岸大部分地区的燃料供应中断了数天,而美国主要牛肉制造商 JBS 则停止了几天的运营。

为应对这种前所未有的勒索软件攻击激增的情况,美国政府发布了一项关于改善国家网络安全的行政命令,并正在组建一个跨机构工作组,以全面应对针对美国企业和政府的勒索软件攻击。响应包括开发识别、阻止、防御、检测和响应勒索软件攻击的能力。对策包括积极破坏负责勒索软件攻击的网络犯罪活动、解决使用加密货币支付赎金以及强制采取更好的安全方法来阻止攻击等策略,包括采用零信任架构(Zero Trust Architecture)。

攻击者如何获得初始访问权限

为了预防勒索软件攻击,以及与此相关的大多数其他恶意软件攻击,防御者必须阻止攻击者在网络上建立立足点的企图。因此,终端安全预防、检测和补救成为一种关键策略。

一般来说,攻击者通常使用以下两种策略之一来获得对网络的初始访问权限:

1.成功利用受害者网络中的漏洞。利用漏洞意味着找到可被操纵以部署恶意代码的软件漏洞或错误,或者发现将为攻击者提供部署代码的入口点的错误配置。例如,此类漏洞可能通过云资源的错误配置或通过第三方依赖项而发生,这可能导致供应链攻击的发生。

2.获得对有效帐户的未授权访问。通过社会工程窃取用户帐户的凭证来实现对有效帐户的未经授权访问。

在勒索软件攻击通过更容易的访问而激增的环境中,采用传统安全套件和以往策略的防御者正在努力确保他们的数据安全。在不改变他们的方法的情况下,狡猾的攻击者将继续寻找漏洞来发起攻击。

通过多重方法预防勒索攻击

下一代身份和基于 AI 的终端保护提供了更好的解决勒索软件的解决方案。传统的较早一代解决方案(例如基于密码的身份验证或基于 AV 签名的终端保护)在阻止现代勒索软件方面存在严重漏洞。由于预防的目的是阻止最初的渗透,就让我们具体分析一下这些现代安全解决方案如何在对抗勒索软件的过程中提供新的武器。

策略1:部署预防对用户身份验证的攻击

许多成功的勒索软件攻击通过破译或窃取属于有效帐户的凭据,在受害者的网络上获得初步立足点。为了有效地预防这种情况,需要强大的用户身份验证凭证,以保证难以被猜测到、破坏或窃取的凭证。

例如,在今年早些时候对 Colonial Pipeline 的成功攻击中,对有效帐户的访问为攻击者提供了初始访问权限。同样,MAZE 和其他人为操作的勒索软件的攻击入口点通常是通过 RDP 访问的面向互联网的系统的被盗密码,或使用弱密码登录 Citrix网站门户账户。

传统的多因素身份验证 (MFA) 方法有助于解决密码固有的安全漏洞,但它们从根本上仍然依赖于人类用户必须记住和了解的内容,而基于手机的方法并非 100% 安全。更重要的是,MFA 增加的安全性伴随着拥有和运营解决方案的巨额成本,这导致了用户的严重焦虑。

无密码 MFA 可预防凭据盗窃并使攻击者无法猜测密码。无密码 MFA 使用多种身份验证因素,但不包括传统密码。无密码 MFA 最常用的身份验证因素是用户注册的移动设备,以及通过设备内置指纹传感器提供的用户 PIN 或指纹。通过消除对传统密码的需求,安全性立即得到改善,用户体验得到简化,成本得到控制。

策略2:立即检测、隔离和删除勒索软件

实际上,采取适当的预防措施并不能保证攻击者永远不会成功渗透并获得对用户设备的访问权限。因此这道防线应该是是自动的、机器速度的保护、检测和响应机制,它可以在任何下游数据丢失、财务损失或时间投资发生之前,检测并包含终端级别的可疑活动。

现代扩展检测和响应 (XDR) 解决方案实时监控本地进程并详细分析其行为,从而可以识别具有非常高特异性的恶意代码并立即采取缓解措施。这样,无论是从本地内存还是远程执行,攻击都会在攻击开始的那一刻停止。

从技术角度来看,缓解的选项各不相同。根据环境和组织政策,系统可以删除代码的源代码、终止所有相关进程、隔离可疑文件,或将受影响的端点与网络完全断开。

阻止正在进行的攻击是任何 XDR 解决方案中最重要的工作,但它的作用并不止于此。在采取关键步骤阻止正在进行的攻击后,IT 和安全团队必须获得详细的取证视图,其中包括恶意软件活动的时间线、入口点和攻击向量,以及所有受影响文件和网络的列表。然后,管理员可以分析攻击,以更好地为未来的威胁做好准备,并向其上级、执法部门和保险公司提供所有相关数据。

在国内,微信、支付宝是大家最常使用的移动支付方式,当然,Apple Pay在美国就实现了“垄断”。Pulse发布的一份统计显示,去年在北美市场,92%的手机移动支付都是在Apple Pay上完成。据悉,去年北美进行了20亿笔电子钱包交易,同比增长了51%。除去Apple Pay,余下的8%市场被Samsung Pay(三星智付)、Google Pay分食,但份额分别只有5%和3%。

如今,Apple Pay不仅可以借助iPhone,在Apple Watch、Mac、iPad等设备上同样可以使用。

近日英国伯明翰大学和萨里大学的研究员发现了Apple Pay被爆安全漏洞可绕过锁屏进行欺诈性支付。研究人员发现当 Visa 卡在 iPhone 上被设置为苹果的 Express Transit 模式时,该漏洞可能允许攻击者绕过 iPhone 锁屏,在没有密码的情况下进行非接触式支付。苹果的 Express Transit 模式允许用户在不解锁设备的情况下,使用信用卡、借记卡或交通卡快速支付。目前,该漏洞只影响存储在 Wallet 应用中的 Visa 卡。它是由Transit Gate使用的独特代码造成的,这些代码向iPhone发出信号,以解锁 Apple Pay。攻击者通过使用普通的无线设备,就能够进行攻击,诱使 iPhone 相信它是位于Transit Gate。这个概念验证攻击涉及一个启用了 Express Transit 的 iPhone,向一个智能支付阅读器进行欺诈性支付。类似的攻击可能已经被黑客利用,然而,Visa表示,这种攻击在大范围内似乎不会发生,仅仅停留在理论上。即使攻击者能够成功,银行和金融机构也有其他机制,通过检测可疑交易来阻止欺诈。

策略3:回滚勒索软件的更改

这种多层次方法中的第三个要素,也许对受勒索软件影响的人来说是最重要的要素,是能够倒转时钟并将所有资产和配置恢复到攻击前的原始状态。无论攻击的范围和深度如何,这一关键步骤都可以实现快速恢复并确保完整的业务连续性。

以前未知的恶意软件或新的攻击策略可能不会被检测组件自动捕获和阻止,因此撤消其操作是剩下的唯一保护措施。此外,潜在的攻击不仅限于文件被加密或删除。恶意软件还可以更改可能在后续攻击中被利用的访问权限和安全配置。

这种多步骤攻击通常被黑客用于针对企业网络和公共基础设施,并构成特别危险的威胁。在这些长期活动中,第一阶段通常仅用于下载恶意程序,以便在特定日期(例如假期或重要商业活动)更容易执行攻击。通过这种方式,攻击者可以让受害者大吃一惊,并利用他们缺乏预防准备,让他们别无选择,只能支付全额赎金。

恶意代码或可疑代码执行的所有更改,无论多么小,都会自动恢复,这给管理员提供了一个安全网,保护他们和整个域免受成功网络攻击的可怕后果。

用于勒索软件预防的安全建议

总之,网络安全架构师和企业网络防御者的主要目标是预防,而对于勒索软件,预防就是拒绝攻击者对企业任何部分的初始访问。综合策略包括使用户身份验证攻击具有抵抗力,立即检测和消除威胁,最后,回滚攻击者及其恶意软件对无法检测的攻击采取的所有操作。

这一切都始于终端以及该终端的内在安全功能。