虹科分享｜關(guān)于SANS報(bào)告的頂級(jí)勒索軟件洞察

近年來，勒索軟件攻擊經(jīng)歷了大流行加速的演變，而防御系統(tǒng)則難以跟上。勒索軟件的第一階段已經(jīng)讓位于新的、不同的、更好的和更壞的東西。為了幫助理解這一演變，Morphisec贊助了一份來自SANS的報(bào)告，探索勒索軟件防御的現(xiàn)狀。它研究了潛伏在攻擊版圖中的最新對(duì)手趨勢(shì)，以及對(duì)它們最有力的防御。

該報(bào)告證實(shí)，勒索軟件仍然是一種毀滅性的威脅，使每個(gè)組織都處于危險(xiǎn)之中。但這份報(bào)告也帶來了希望:有了正確的團(tuán)隊(duì)、技術(shù)和技巧，勒索軟件是可以避免的。

在這篇博客中，我們強(qiáng)調(diào)了SANS報(bào)告中的一些要點(diǎn)。然后，我們?yōu)槟切┱J(rèn)真防范勒索軟件的公司提出切實(shí)可行的下一步措施。

勒索軟件攻擊的新趨勢(shì)

公司突然轉(zhuǎn)向新的地點(diǎn)、技術(shù)和安全策略，同時(shí)將更多工作轉(zhuǎn)移到網(wǎng)絡(luò)和云。作為回應(yīng)，勒索軟件攻擊變得更加頻繁、成功和毀滅性。威脅參與者采用了新的和更新的技術(shù)、戰(zhàn)術(shù)和程序(TTP)來幫助惡意軟件逃避檢測(cè)并繞過防御，包括以下內(nèi)容。

情報(bào)收集

攻擊者“瀏覽”目標(biāo)以獲取偵察信息，從而使他們的攻擊成為可能，或者鼓勵(lì)他們索要贖金。知道在組織內(nèi)部何處以及如何橫向移動(dòng)，可以使最終的攻擊更有可能成功并交付(或超過)預(yù)期的收益。但如果攻擊者遇到路障或情況與威脅行動(dòng)者的情報(bào)計(jì)劃不匹配，這也可以對(duì)防御者有利。

競(jìng)賽心態(tài)

當(dāng)新的漏洞被發(fā)現(xiàn)時(shí)，它會(huì)引發(fā)一場(chǎng)競(jìng)賽，一方面將它們武器化，另一方面進(jìn)行防御。攻擊者通常獲勝是因?yàn)殚_發(fā)和實(shí)施補(bǔ)丁所需的時(shí)間--通常是幾周或幾個(gè)月--而一次攻擊只需要幾分鐘。威脅參與者的速度優(yōu)勢(shì)加強(qiáng)了防御的必要性，以阻止攻擊鏈中更早出現(xiàn)的新威脅。廣泛使用的基于行為和簽名的防御措施，如下一代防病毒(NGAV)和終端檢測(cè)和響應(yīng)(EDR)，正在努力應(yīng)對(duì)未知和逃避的威脅。

躲避攻擊

為了逃避NGAV和EDR等檢測(cè)解決方案，攻擊者采用了無文件、內(nèi)存中、運(yùn)行時(shí)攻擊，并在到達(dá)最終目標(biāo)的途中利用本地二進(jìn)制文件進(jìn)行攻擊。防止勒索軟件依賴于及早發(fā)現(xiàn)并應(yīng)對(duì)攻擊。因此，回避讓攻擊變得極其難以阻止。SANS的報(bào)告指出，傳統(tǒng)的防御措施，如基于磁盤的文件分析，不能勝任這項(xiàng)任務(wù)。

流網(wǎng) VS 捕魚

許多惡意軟件攻擊撒下了一張大網(wǎng)。他們的目標(biāo)不是特定的實(shí)體，而是使用自動(dòng)化來嘗試并瞄準(zhǔn)盡可能廣泛的目標(biāo)。自動(dòng)化的一個(gè)成功例子是最近勒索軟件集團(tuán)與銀行家特洛伊木馬下載器合作的小趨勢(shì)。然而，如今成功的勒索軟件攻擊越來越多地是手動(dòng)的和高度針對(duì)性的。這使他們能夠快速適應(yīng)組織并定制他們的攻擊--帶來毀滅性的后果。

勒索軟件防御的最新技術(shù)

勒索軟件攻擊的演變迫使防御前線取得進(jìn)展。因此，盡管這些攻擊的破壞性比以往任何時(shí)候都要大，但它們并不總是帶來不可避免的網(wǎng)絡(luò)緊急情況。SANS報(bào)告強(qiáng)調(diào)了幾種可用的應(yīng)對(duì)勒索軟件攻擊的對(duì)策。

防止遠(yuǎn)程訪問濫用

黑客利用遠(yuǎn)程訪問進(jìn)入網(wǎng)絡(luò)，在許多情況下，還利用橫向移動(dòng)和找到高價(jià)值目標(biāo)的特權(quán)。防止遠(yuǎn)程訪問濫用需要多層安全措施。外部的VPN和MFA、用于發(fā)現(xiàn)和阻止傳入威脅的EDR和NDR工具，以及用于保護(hù)外部空間的縱深防御或零信任策略。自從COVID強(qiáng)制遠(yuǎn)程工作出現(xiàn)以來，遠(yuǎn)程訪問濫用激增。防止這種濫用的關(guān)鍵是實(shí)施深度防御方法。您應(yīng)該始終假設(shè)任何給定的防御層最終都可以被穿透，因此您需要最后一層防御層來保護(hù)您的終端應(yīng)用程序內(nèi)存和資源。勒索軟件攻擊可以而且確實(shí)穿透了許多級(jí)別的安全。這就是為什么網(wǎng)絡(luò)防御正在擴(kuò)展到邊界之外，以應(yīng)對(duì)特定的應(yīng)用程序。

防止無文件惡意軟件

大多數(shù)當(dāng)前的安全解決方案不是為檢測(cè)或阻止無文件惡意軟件而設(shè)計(jì)的。這就是勒索軟件使用這種攻擊方法以及本機(jī)二進(jìn)制利用的原因。在加密發(fā)生之前，很難檢測(cè)到滲透到網(wǎng)絡(luò)并向前推進(jìn)而不發(fā)出警報(bào)的攻擊--但并非不可能。與其尋找傳統(tǒng)的危險(xiǎn)信號(hào)，不如考慮監(jiān)視本機(jī)系統(tǒng)文件中的異常行為，并尋找由對(duì)手C2通信創(chuàng)建的獨(dú)特模式。更廣泛地說，納入專門防止無文件攻擊的安全解決方案。你不想僅僅依靠安全團(tuán)隊(duì)的勤奮來發(fā)現(xiàn)和阻止躲避的威脅。

邁向成功的勒索軟件策略

SANS報(bào)告強(qiáng)調(diào)了有效防御高級(jí)勒索軟件威脅的新技術(shù)和新興技術(shù)。無論是作為獨(dú)立的解決方案，還是作為集成的深度防御安全態(tài)勢(shì)的一部分，所有公司都應(yīng)該在其武器庫(kù)中擁有這些安全堆棧。

加密流量分析(ETA)

攻擊者正在加密他們的網(wǎng)絡(luò)流量，以隱藏他們的移動(dòng)，使其不被檢測(cè)工具發(fā)現(xiàn)。ETA可以搜索該流量留下的未加密的元數(shù)據(jù)簽名，以找到攻擊的證據(jù)。另一種選擇是依靠安全解決方案來防御攻擊，而不必事先檢測(cè)到攻擊。

移動(dòng)目標(biāo)防御(MTD)

這項(xiàng)創(chuàng)新技術(shù)通過變形和移動(dòng)參與者期望找到的預(yù)期內(nèi)存資源威脅來防止攻擊。MTD可以防御攻擊，而不必首先檢測(cè)到它們--對(duì)于高級(jí)、未知的攻擊來說，這是一個(gè)很大的優(yōu)勢(shì)。由于受保護(hù)的資產(chǎn)只有授權(quán)用戶才能訪問，并且始終處于活動(dòng)狀態(tài)，其他所有用戶都無法訪問，因此，無論是先前已知的攻擊還是全新的攻擊，所有攻擊都會(huì)失敗。MTD創(chuàng)造了一個(gè)玩家無法穿透的動(dòng)態(tài)攻擊面威脅，所以他們轉(zhuǎn)移到更容易的目標(biāo)上。

AI事件聚合、關(guān)聯(lián)和入侵防御

自動(dòng)化可以越來越多地在網(wǎng)絡(luò)安全的各個(gè)方面運(yùn)行，從關(guān)聯(lián)和檢測(cè)事件到運(yùn)行補(bǔ)救行動(dòng)手冊(cè)。自動(dòng)化總是比人類做同樣的事情走得更快、更有條理。這對(duì)網(wǎng)絡(luò)安全來說是個(gè)好消息，因?yàn)樗试S精簡(jiǎn)、資源不足的安全團(tuán)隊(duì)產(chǎn)生遠(yuǎn)遠(yuǎn)超出其員工規(guī)模的影響。換句話說，每個(gè)人都可以抵抗勒索軟件。