如何用縱深防御應對勒索軟件攻擊

今天，勒索軟件攻擊繼續困擾著全球范圍內的組織，無論其規模大小。根據NCC小組發布的2021年度威脅監測報告，2021年估計有2690次勒索軟件攻擊，比2020年的1389次暴增了92.7%。新冠病毒大流行助長了勒索軟件攻擊的勢頭，勒索軟件約占2021年全球網絡事件的65.4%。北美和歐洲分別占所有攻擊的53%和30%，是受攻擊最多的地區。

勒索軟件威脅指標

總體惡化

根據CyberSecurity Works發布的2022年第一季度勒索軟件報告，十個勒索軟件關鍵指標中有八個增高。一個看似積極的信號是：勒索軟件漏洞檢測能力似乎正在提高（不確定這是否是因為山寨版本增多，以及是否簽名重復檢測）。不論如何，與2021年相比，以下的2022年勒索軟件威脅指標變化顯示，當前勒索軟件生態系統形勢嚴峻：

2022年第一季度勒索軟件指數

根據PhishLabs發布的2022年一季度勒索軟件預案報告，勒索軟件主要通過鎖定目標企業的關鍵系統并發布被盜數據來勒索贖金。這種雙重勒索導致贖金要價增加了144%，受害者被說服支付更多贖金，以避免泄露數據不會出售給第三方或在犯罪市場上發布。

可以理解的是，大多數遭受勒索軟件攻擊的組織要么冒著泄露數據的風險選擇不支付數據，要么支付贖金以希望攻擊者之后不會公布他們的數據。無論哪種方式，都是一個困難的選擇，此外還經常受到其他決策的影響，例如聲譽受損、運營中斷和數據完全丟失。

勒索軟件崛起的

三大動力

盡管大多數組織都采用了復雜的安全系統來應對網絡攻擊，但犯罪活動仍然在穩步增加，尤其是勒索軟件，這主要由于以下三大驅動力：

初始訪問代理(IAB)：初始訪問經紀人也是網絡犯罪分子，他們專門入侵公司網絡，然后將訪問權出售給勒索軟件攻擊者或其他任何愿意購買的人。IAB可以使用多種方法未經授權訪問受害者的網絡。一些常見的技術包括通過暴力方法訪問的遠程管理軟件、弱遠程桌面協議和未修補的漏洞。IAB經紀人可以將其訪問信息出售或轉售給其他犯罪分子。犯罪分子購買公司網絡的訪問權的好處是顯而易見的，購買者無需進行任何偵察工作，并且可以從“菜單”中進行選擇，根據收入、國家和行業以及提供的遠程訪問類型來挑選受害者。

雙重和三重勒索：雙重勒索策略于2019年由Maze Ransomware組織首次使用。從那時起，該策略已被許多攻擊者更廣泛地使用，隨后進一步發展為三重勒索。在雙重勒索攻擊中，攻擊者會先竊取數據，再發動勒索軟件攻擊，然后威脅出售泄露數據。三重勒索涉及在原始目標拒絕支付贖金時對他們發起的額外攻擊，或者對受泄露數據影響的受害者的客戶發動攻擊。

勒索軟件即服務(RaaS)：這是一種勒索軟件即服務的租用模式，大大降低了勒索軟件的技術門檻，通過RaaS，完全不懂編寫代碼的低技能攻擊者也可以發起勒索軟件攻擊，使用增強型和經過驗證的勒索軟件變體參與企業級攻擊。RaaS模型通常允許會員訪問教學視頻、24/7支持和專用儀表板。勒索軟件本身是使用勒索軟件構建器開發的，它是基于指令的自助軟件。

縱深防御的

三大步驟

大多數企業的普遍做法是采用更被動的方法來保護其數字資產。雖然這可以有效防范許多網絡威脅，但事實證明它對勒索軟件攻擊無效。因此，應該采取更積極的方法。主動的方式是提供了一種分層的安全方法。這種分層方法通常被稱為“縱深防御”，使組織能夠：

• 分析現有安全態勢以發現漏洞和漏洞，并對其進行補救以防止未來的攻擊。
• 在數據泄露的情況下，評估他們的哪些數據已在線泄露、數據的敏感性以及緩解的最佳方法。
• 積極主動地防止數據泄露。

使用縱深防御作為防御勒索軟件的分層方法涉及一種整體的安全方法。這種整體方法被細分為三個主要步驟：收集、整理和緩解。

收集

企業需要通過數據收集提高“能見度”。這可以通過從盡可能多的目標來源（包括社交媒體、新域和現有域以及電子郵件地址）中提取數據來實現。此外還應結合開源、深網和暗網監控情報。

電子郵件監控也非常重要。電子郵件仍然是勒索軟件的主要攻擊媒介。勒索軟件通常通過冒充合法企業使用商業電子郵件泄露(BEC)郵件和網絡釣魚誘餌來傳遞。

公開互聯網、深網、尤其是暗網監控至關重要，因為它使企業能夠深入了解出售泄露數據的地下市場，并深入了解攻擊者。

整理

對收集數據的整理包括篩選潛在的數千個數據，以便企業可以確定哪些會對他們的組織構成直接或潛在的風險。數據梳理和管理是一種多層方法，以期獲得最好的自動化邏輯和分析結果，然后由專家進一步檢查。簡而言之，只有通過熟練的人工和自動化技術評估相結合，才能正確完成數據梳理，如果可能的話，還可以聘請專家對搜索結果的特定子集進行檢查。所有這些工作都將有助于生成有效的勒索軟件危害指標(IoC)和概念驗證(PoC)。

緩解

收集和整理數據后，企業必須采取緩解措施。對于勒索軟件，這需要通過技術程序阻止或刪除惡意軟件。

技術攔截器包括使用IoC自動攔截或由員工報告的可疑電子郵件，以阻止威脅在公司內部被利用。此外，必須阻止進出可疑域的用戶流量。

刪除是指完全刪除為傳播被盜數據或勒索軟件而創建的任何數據或網站。當然，這涉及范圍更廣，沒有執法部門的協助，單獨的企業無法完成此項工作。事實上，“反攻”是違法的。

至于暗網，刪除數據并不那么簡單。最好的緩解措施是持續密切地監控與數據相關的活動，以便提出最佳的緩解措施。

傳統上，企業在防御勒索軟件攻擊時采用了許多被動方法。雖然這些方法通常被視為行業標準并且在過去有所幫助，但被動方法大多已經過時，并沒有提供針對更現代勒索軟件的整體安全方法。

隨著勒索軟件變種的演變，以及新的勒索軟件變種在野外被發現和利用，企業需要一種更積極的安全方法——縱深防御，這是一種多層安全方法，通常稱為“進攻性”安全。

分層的安全方法有助于在勒索軟件攻擊發生之前降低其影響。在已經發生勒索軟件攻擊的情況下，縱深防御方法可以為企業提供更多的補救行動選擇，設計最佳緩解策略。

來源：@GoUpSec