勒索软件防御与响应的三大常见错误

2020年,勒索软件已经成为很多企业的头号威胁,而2021年勒索软件将继续进化,攻击手段更加复杂,产业化程度不断提高,攻击范围也将扩大,更加难以防范。

随着勒索软件攻击频率和强度的不断增加,一件事变得越来越清楚:企业和机构需要行动起来保护自己。不幸的是,大多数组织都早早放弃了抵抗。已知的勒索软件受害者中,大多数在遭到攻击前都收到了有关潜在漏洞的警告,但并没有在遭受打击时做好准备。以下是勒索软件预防和事件响应失败的一些典型案例:

在2018年亚特兰大市遭到勒索软件攻击的两个月前,安全审计发现了1,500多个严重的安全漏洞。

2019年美国巴尔的摩市遭受勒索软件攻击,停机长达数周。攻击发生之前,一项风险评估工作已经发现了大量严重漏洞,这是由于服务器运行的操作系统过时(因此缺乏最新的安全补丁)以及备份不足以还原这些服务器。

本田集团今年6月受到攻击,导致全球工厂业务和网络服务中断,某些计算机对远程桌面协议(RDP)的公共访问可能已成为黑客利用的攻击手段。使问题更加复杂的是,本田的企业IT网络缺少足够的网络分段措施。

最近其他一些勒索软件的著名受害者包括Travelex、Blackbaud和Garmin。

在所有这些案例中,这些都是大型企业和组织,具有非常成熟的安全系统,那么问题出在哪里了?

三种常见的错误会导致预防不足和无效响应,并且各种规模的组织都犯了此类错误:

  1. 无法从业务角度提出风险,这对于说服业务领导者提供适当的资金和政策支持至关重要。
  2. 在测试勒索软件准备情况方面不够深入。
  3. DR(数据恢复)计划不足,无法解决可能感染备份的勒索软件威胁。

常见错误一:无法从业务角度提出安全风险,无法获得资金和政策支持

当我们查看勒索软件攻击模拟结果时,往往会发现绕过基本安全措施(例如防火墙、电子邮件安全网关和反恶意软件解决方案)有多么容易。勒索软件进入之前,有效负载已经建立“滩头阵地”,随后是诸如反向DNS查找之类的技术,以识别Active Directory服务,该服务具备造成实际损失的必要特权。最后,攻击者使用Kerberoasting进行接管和控制。

没有一家企业的IT网络能够防弹,但攻击确实需要相当一段时间。这意味着要进行早期检测以及部署更高级的入侵检测,给黑客制造一系列的障碍(例如,更好的网络分段、适当的最终用户限制等),对于勒索软件的预防至关重要。

对于安全从业人员而言,这不是什么新鲜事。但是说服企业领导者进行更多的网络安全投资是另外一个挑战。

解决方法:量化业务影响以实现基于成本的明智业务决策

严格的安全控制(通过技术和策略)对企业来说是摩擦。尽管没有企业领导者希望成为勒索软件的受害者,但预算并不是无限的。

为了证明额外的成本和更严格的控制的合理性,您需要制作一个业务案例,不仅要说明风险,而且要说明可量化的业务影响。帮助高级领导者将苹果与苹果进行比较,在这种情况下,是提高安全性的成本(资本支出和潜在的生产力摩擦)与安全性破坏的成本(延长停机时间的直接成本以及声誉受损的长期成本)。

评估业务影响不必太繁琐。关键系统的影响评估相当准确,可以在一天之内完成。专注于一些关键应用程序和数据集,以获取具有代表性的样本,并对成本、商誉、合规性和/或健康与安全影响进行粗略估计,具体取决于您的组织。在此阶段,您不必十分精确即可识别潜在的重大影响。

以下是向企业高管介绍勒索软件安全防御计划的要点示例(用数字说话):

勒索软件造成的损失预估 资料来源:2020年ITRG《业务影响分析范例》

常见错误二:对勒索软件防御能力的测试不够深入

如果您尚未采用渗透测试验证相关安全技术和配置,请立即开始。如果您无法获得资金,请重新阅读如何解决错误一。

组织最常见的错误就是停止渗透测试,并且不验证端到端事件响应。对于需要与多个团队快速协调评估、遏制和恢复的大型组织而言,这尤其重要。

解决方法:进行深入的桌面规划练习,以涵盖一系列假设场景

大多数桌面计划练习的问题在于,它们仅设计用于简单地验证您现有的事件响应计划(IRP)。

取而代之的应该是深入研究攻击可能如何发生以及您将采取什么措施来检测,遏制并从攻击中恢复。例如,如果您的IRP说要检查其他受感染的系统,请具体说明如何进行。您将使用哪些工具?您会查看哪些数据?您会寻找什么模式?

事实上,对于网络安全专业人士来说,很难遇到一个真正拥有完善的事件响应计划的客户。甚至具有成熟的安全体系和规范文档的响应计划的组织,也经常发现以下问题:

网络安全和基础架构人员之间的协调不畅,评估阶段的移交不清楚。

现有工具尚未得到充分利用(例如,配置自动包含功能)。

某些系统(例如,物联网设备和旧系统)的可见性有限。

常见错误三:备份策略和灾难恢复计划没有针对勒索软件的预案

如以下图例所示,在可擦写存储介质上进行数据快照和标准的每日备份还不够好:

应对勒索软件的最后防线是您从备份中还原恢复,或者转移到干净的备用站点/系统的能力。

因此,勒索软件攻击的一个主要目标就是消灭目标的恢复能力。这意味着勒索软件不仅会针对主要数据,还会针对备份和备用系统。如果你对勒索软件没有针对性的预案,那么这些花费重金,主要用于防御飓风和地震的灾备系统并不能有效抵挡勒索软件的攻击。

解决方法:将深度防御应用于备份和灾难恢复策略

深度防御是当下的最佳安全实践,需要注意的是,数据备份和恢复也需要遵循深度防御的安全哲学。

深度防御不仅仅是试图捕捉突破安全的漏洞,还应当包括花费时间来检测,遏制并从攻击中恢复。

通过以下方法提高针对勒索软件的备份与恢复的深度防御能力:

  1. 创建多个还原点,以便您可以更精细地进行回滚,而不会丢失太多数据。
  2. 通过使用不同的存储介质(例如磁盘、NAS和/或磁带)和备份位置(即异地备份)来降低感染备份的风险。你给攻击者设计的“沟”越多,越有可能在所有备份都被感染之前检测到攻击。从最关键的数据开始,设计一个兼顾业务需求、成本和风险承受能力的勒索软件数据安全解决方案。
  3. 投资防篡改备份的解决方案。大多数领先的备份解决方案都提供了确保备份不被篡改的功能(即,写入后不能更改)。当然,这样做成本会更高,因此在确定需要更高级别保护时,请再次考虑业务影响。

总结:

勒索软件攻击可能非常复杂,但大多数企业的基本安全实践还不够好。安全主管不仅需要提示攻击风险,而且还需要评估攻击对业务的潜在影响,让高层领导支持勒索软件的准备工作。总之,在勒索软件越来越猖獗的今天,每个企业的安全主管都不能心存侥幸,请假设明天下班前就会遭遇攻击,并尽早做好准备,为可能发生的攻击做出迅速响应,同时进行实际测试,制订更有针对性的灾难恢复策略。

上一篇:勒索软件攻击导致温哥华公交系统瘫痪

下一篇:巴西航空工业公司被勒索软件“撕票”