近年來，勒索軟件攻擊經(jīng)歷了大流行加速的演變，而防御系統(tǒng)則難以跟上。勒索軟件的第一階段已經(jīng)讓位于新的、不同的、更好的和更壞的東西。為了幫助理解這一演變，Morphisec贊助了一份來自SANS的報告，探索勒索軟件防御的現(xiàn)狀。它研究了潛伏在攻擊版圖中的最新對手趨勢，以及對它們最有力的防御。

該報告證實，勒索軟件仍然是一種毀滅性的威脅，使每個組織都處于危險之中。但這份報告也帶來了希望:有了正確的團隊、技術(shù)和技巧，勒索軟件是可以避免的。

在這篇博客中，我們強調(diào)了SANS報告中的一些要點。然后，我們?yōu)槟切┱J真防范勒索軟件的公司提出切實可行的下一步措施。

勒索軟件攻擊的新趨勢

事實證明，新冠肺炎大流行的條件是勒索軟件攻擊的完美溫床。公司突然轉(zhuǎn)向新的地點、技術(shù)和安全策略，同時將更多工作轉(zhuǎn)移到網(wǎng)絡(luò)和云。作為回應(yīng)，勒索軟件攻擊變得更加頻繁、成功和毀滅性。威脅參與者采用了新的和更新的技術(shù)、戰(zhàn)術(shù)和程序(TTP)來幫助惡意軟件逃避檢測并繞過防御，包括以下內(nèi)容。

情報收集

攻擊者“瀏覽”目標以獲取偵察信息，從而使他們的攻擊成為可能，或者鼓勵他們索要贖金。知道在組織內(nèi)部何處以及如何橫向移動，可以使最終的攻擊更有可能成功并交付(或超過)預(yù)期的收益。但如果攻擊者遇到路障或情況與威脅行動者的情報計劃不匹配，這也可以對防御者有利。

競賽心態(tài)

當新的漏洞被發(fā)現(xiàn)時，它會引發(fā)一場競賽，一方面將它們武器化，另一方面進行防御。攻擊者通常獲勝是因為開發(fā)和實施補丁所需的時間--通常是幾周或幾個月--而一次攻擊只需要幾分鐘。威脅參與者的速度優(yōu)勢加強了防御的必要性，以阻止攻擊鏈中更早出現(xiàn)的新威脅。廣泛使用的基于行為和簽名的防御措施，如下一代防病毒(NGAV)和終端檢測和響應(yīng)(EDR)，正在努力應(yīng)對未知和逃避的威脅。

躲避攻擊

為了逃避NGAV和EDR等檢測解決方案，攻擊者采用了無文件、內(nèi)存中、運行時攻擊，并在到達最終目標的途中利用本地二進制文件進行攻擊。防止勒索軟件依賴于及早發(fā)現(xiàn)并應(yīng)對攻擊。因此，回避讓攻擊變得極其難以阻止。SANS的報告指出，傳統(tǒng)的防御措施，如基于磁盤的文件分析，不能勝任這項任務(wù)。

流網(wǎng) VS 捕魚

許多惡意軟件攻擊撒下了一張大網(wǎng)。他們的目標不是特定的實體，而是使用自動化來嘗試并瞄準盡可能廣泛的目標。自動化的一個成功例子是最近勒索軟件集團與銀行家特洛伊木馬下載器合作的小趨勢。然而，如今成功的勒索軟件攻擊越來越多地是手動的和高度針對性的。這使他們能夠快速適應(yīng)組織并定制他們的攻擊--帶來毀滅性的后果。

勒索軟件防御的最新技術(shù)

勒索軟件攻擊的演變迫使防御前線取得進展。因此，盡管這些攻擊的破壞性比以往任何時候都要大，但它們并不總是帶來不可避免的網(wǎng)絡(luò)緊急情況。SANS報告強調(diào)了幾種可用的應(yīng)對勒索軟件攻擊的對策。

防止遠程訪問濫用

黑客利用遠程訪問進入網(wǎng)絡(luò)，在許多情況下，還利用橫向移動和找到高價值目標的特權(quán)。防止遠程訪問濫用需要多層安全措施。外部的VPN和MFA、用于發(fā)現(xiàn)和阻止傳入威脅的EDR和NDR工具，以及用于保護外部空間的縱深防御或零信任策略。自從COVID強制遠程工作出現(xiàn)以來，遠程訪問濫用激增。防止這種濫用的關(guān)鍵是實施深度防御方法。您應(yīng)該始終假設(shè)任何給定的防御層最終都可以被穿透，因此您需要最后一層防御層來保護您的終端應(yīng)用程序內(nèi)存和資源。勒索軟件攻擊可以而且確實穿透了許多級別的安全。這就是為什么網(wǎng)絡(luò)防御正在擴展到邊界之外，以應(yīng)對特定的應(yīng)用程序。

防止無文件惡意軟件

大多數(shù)當前的安全解決方案不是為檢測或阻止無文件惡意軟件而設(shè)計的。這就是勒索軟件使用這種攻擊方法以及本機二進制利用的原因。在加密發(fā)生之前，很難檢測到滲透到網(wǎng)絡(luò)并向前推進而不發(fā)出警報的攻擊--但并非不可能。與其尋找傳統(tǒng)的危險信號，不如考慮監(jiān)視本機系統(tǒng)文件中的異常行為，并尋找由對手C2通信創(chuàng)建的獨特模式。更廣泛地說，納入專門防止無文件攻擊的安全解決方案。你不想僅僅依靠安全團隊的勤奮來發(fā)現(xiàn)和阻止躲避的威脅。

邁向成功的勒索軟件策略

SANS報告強調(diào)了有效防御高級勒索軟件威脅的新技術(shù)和新興技術(shù)。無論是作為獨立的解決方案，還是作為集成的深度防御安全態(tài)勢的一部分，所有公司都應(yīng)該在其武器庫中擁有這些安全堆棧。

加密流量分析(ETA)

攻擊者正在加密他們的網(wǎng)絡(luò)流量，以隱藏他們的移動，使其不被檢測工具發(fā)現(xiàn)。ETA可以搜索該流量留下的未加密的元數(shù)據(jù)簽名，以找到攻擊的證據(jù)。另一種選擇是依靠安全解決方案來防御攻擊，而不必事先檢測到攻擊。

移動目標防御(MTD)

這項創(chuàng)新技術(shù)通過變形和移動參與者期望找到的預(yù)期內(nèi)存資源威脅來防止攻擊。MTD可以防御攻擊，而不必首先檢測到它們--對于高級、未知的攻擊來說，這是一個很大的優(yōu)勢。由于受保護的資產(chǎn)只有授權(quán)用戶才能訪問，并且始終處于活動狀態(tài)，其他所有用戶都無法訪問，因此，無論是先前已知的攻擊還是全新的攻擊，所有攻擊都會失敗。MTD創(chuàng)造了一個玩家無法穿透的動態(tài)攻擊面威脅，所以他們轉(zhuǎn)移到更容易的目標上。

AI事件聚合、關(guān)聯(lián)和入侵防御

自動化可以越來越多地在網(wǎng)絡(luò)安全的各個方面運行，從關(guān)聯(lián)和檢測事件到運行補救行動手冊。自動化總是比人類做同樣的事情走得更快、更有條理。這對網(wǎng)絡(luò)安全來說是個好消息，因為它允許精簡、資源不足的安全團隊產(chǎn)生遠遠超出其員工規(guī)模的影響。換句話說，每個人都可以抵抗勒索軟件。