https://www.informationsecurity.com.tw/seminar/2024_OT/
https://www.informationsecurity.com.tw/seminar/2024_OT/

觀點

勒索軟體不斷變化和演進,解方呢?

2021 / 10 / 19
編輯部
勒索軟體不斷變化和演進,解方呢?
隨著網路威脅不斷的發展,防禦方越來越善於偵測和阻止惡意行為者的漏洞利用,而進攻方也時俱進持續開發新方式來獲得目標環境的訪問權限,過往憑藉著一套防毒軟體來保護整個企業組織的時代已一去不復返,我們必須體悟到這是一個攻守都不斷在演進的資安世代。
 
現今的網路威脅領域演變最明顯的是勒索軟體,其威脅的程度也越加複雜。最初,勒索軟體多是針對個人用戶的加密來要求支付幾百美元的禮品卡,這是一種規模經濟的概念,駭客需撒網來攻擊大量的電腦用戶,達到以量取勝的獲利模式。演變到後來,駭客開始將目標從個人用戶移轉到企業組織,因為這可以為他們轉取更多的贖金,當防禦端透過建立簽署機制來阻止勒索軟體在初始階段的感染時,駭客又再一次進化其攻擊手法,改以端點為基礎來做為滲透並嘗試取得更高權限或橫向的入侵。當駭客入侵權限管理者的帳戶後,便會利用Windows的網路基礎架構來發送推播進行更深層的侵入,就如同系統跳出軟體更新的提醒那樣,這也是現今最常見的模式。
 
當駭客取得受害者敏感資料後便開始進行勒索行為,如果目標組織不按照其要求支付贖金,駭客便會散布其資料。現今,企業組織面臨勒索軟體的狙擊時,不僅是資料會被加密,還要擔心自身的關鍵資料會被惡意的散播在網路上。NTT在其八月份的資安威脅情資報告中也提到,過去幾年中,勒索軟體攻擊正在爆炸性的成長。甚至在過去兩年間,勒索軟體的攻擊事件和造成的損害金額成長了300%之多,多達百萬次的偵測和總額高達200億美元的贖金。
 
勒索軟體不斷變化和演進,使得防禦工事必須不斷調整改變,但解方或許不是持續開發新技術,以下建議專注在常被忽略的基本控制措施,包括:修補系統、限制端點上的用戶權限、網路分段、滲透測試,以及利用改進的日誌紀錄或EDR工具取得整體環境的可視性。
  1. 修補系統是面臨當今威脅的不二法門之一。當今天供應商提供軟體補丁時,駭客可以透過逆向工程來取得原始弱點來開發漏洞,並且針對未更新的系統進行直接的攻擊或是出售漏洞利用的套件和工具,這正是利用企業組織沒有按時的進行系統更新的習性。
     
  2. 限制端點上的用戶權限是另外一種有效的方式,員工用戶今天不具備管理權限就無法安裝軟體的話,駭客在誘騙用戶安裝惡意程式時難度就會增加許多。
     
  3. 網路分段是另一種加深防禦的方式,不同部門間應該有所區隔,例如,HR部門就不應該能透過遠端桌面存取會計部門的資料,這可以透過防火牆或是存取名單限制等方式來實現。透過這樣的分段機制也可以避免威脅在內部進行擴大的橫向攻擊,同時分層的機制也可以讓企業多爭取一些時間偵測出這些滲入內部的惡意程式。
     
  4. 滲透測試可以幫助了解駭客會採取什麼措施來破壞你的環境,透過模擬駭客的思維來執行滲透測試,並且提交潛在的漏洞來進行檢測和漏洞改善,如果可以隔離並識別威脅行為者可能用來攻擊的漏洞,便可進一步採取措施從環境中消除這些漏洞並將攻擊阻擋在外。
     
  5. 整體環境的可視性可以透過利用改進的日誌紀錄或EDR工具取得整體環境的可視性。自動警報的提醒往往不足應付一些手段高明的駭客手法,為洞悉企業環境面臨的威脅,一個了解企業運營環境的資安威脅分析師能夠從可視性和數據查照來替企業找出問題所在。
本文節錄自NTT 10月份威脅情資月報。