信息來源：51cto

勒索軟件攻擊并沒有假期，攻擊者無時無刻不在嘗試突破目標防護。勒索軟件的威脅不斷增加，在2019年第一季度，研究人員注意到勒索軟件種類增加了118%。在這些不斷上升的數(shù)字背后，是網(wǎng)絡犯罪集團持續(xù)將勒索軟件植入到企業(yè)網(wǎng)絡中去。

其中Emotet木馬在沉寂了三個月之后再次出現(xiàn)活動跡象。該木馬在起初2014年時只是一款銀行木馬，但后來改變了組織思路，變?yōu)榱私┦W(wǎng)絡。而且通過僵尸網(wǎng)絡傳播其他黑客組織的各種惡意軟件。這使得emote成為網(wǎng)絡犯罪領域最大的威脅之一，它已經(jīng)影響到北美和歐洲的公共行政機構、醫(yī)療機構和其他各種公司。

但是emotet的“成功”不僅僅是基于其先進的軟件設計，還要歸結于企業(yè)組織沒有做好安全防護。

最近IBM進行的一項研究發(fā)現(xiàn)，絕大多數(shù)接受調(diào)查的組織仍然沒有做好妥善應對網(wǎng)絡安全事件的準備。77%的受訪者表示，他們在整個企業(yè)中沒有網(wǎng)絡安全事件應對計劃。隨著時間的推移，遭受重大安全事件的可能性會越來越大。

研究分析，以下10個安全問題會增加企業(yè)組織成為勒索軟件攻擊受害者的可能性。

一、系統(tǒng)老舊

很多時候，企業(yè)組織內(nèi)部操作系統(tǒng)(OS)會由于各種原因沒有升級。大多數(shù)惡意軟件和大多數(shù)活動勒索軟件都依賴于桌面操作系統(tǒng)中的漏洞。

以windows操作系統(tǒng)中smb服務為例，該協(xié)議在易受攻擊的同時保持活躍，使Wannacry勒索軟件攻擊和Notpetya攻擊成功率極高，正是因為系統(tǒng)老舊未及時更新這些攻擊在2017年像野火一樣蔓延。

由于Windows7的支持將于2020年1月14日結束，企業(yè)組織應計劃升級。如果出于任何原因，無法更換或升級所有系統(tǒng)，至少可以設置擴展的預防措施，在這些系統(tǒng)外圍設置嚴格控制，限制對它們的訪問，并確保讓滲透測試人員對它們進行測試，以了解潛在的影響。

二、對資產(chǎn)及其漏洞的可見性有限

對于任何防守隊員來說，知道需要防守的是什么以及關鍵資產(chǎn)的位置是很重要的。

在許多企業(yè)組織中，最有價值的資產(chǎn)是人以及他們收集和使用的信息。企業(yè)組織可以根據(jù)數(shù)據(jù)的價值和管理數(shù)據(jù)的資產(chǎn)來確定安全級別的優(yōu)先級，而不是試圖保護所有內(nèi)容。

三、忘記執(zhí)行系統(tǒng)強化策略

被攻擊的另一個因素是所謂的攻擊面。未使用的服務、開放的端口和被忽視的操作系統(tǒng)功能往往會吸引不速之客。

請記住，沒有一個操作系統(tǒng)是設計上安全的，它需要盡可能地被嚴格控制，應當詳細檢測不符合安全策略的系統(tǒng)，并通過必要的修改或控制來解決強化系統(tǒng)安全。

四、依靠外界保護和防病毒

幾年前，防火墻是許多安全團隊用來將世界劃分為內(nèi)部“好”和外部“壞”的方案，并依靠殺毒軟件來保護其安全。隨著攻擊手段的不斷升級，這一概念早已過時。

勒索軟件和其他威脅通常是通過釣魚電子郵件進入組織內(nèi)部，是因為內(nèi)部員工的安全意識問題，而不是通過破壞周邊防御進入系統(tǒng)內(nèi)部。反病毒測試表明，即使是“同類最佳”的產(chǎn)品，在阻止高級威脅方面也不是萬能的。

五、扁平網(wǎng)絡拓撲

不僅僅是勒索軟件，所有的惡意軟件都非常喜歡一個扁平的網(wǎng)絡環(huán)境。

這種拓撲結構有助于更快速地傳播惡意負載，并方便地從一個系統(tǒng)跳到另一個系統(tǒng)。例如emotet及其各種有效負載，能夠有效探索平面網(wǎng)絡環(huán)境，下載額外的工具和模塊來隨意開放端口，甚至破解密碼。

應當考慮遵循基本安全設計原則的分層網(wǎng)絡設計。小而有意義的更改可以幫助提供更高級別的內(nèi)置安全性，而無需重建網(wǎng)絡。

六、依賴在線備份

隨著云存儲規(guī)模的不斷擴大，在線備份已經(jīng)成為一種非常流行的存儲數(shù)據(jù)的方法。

這些基于云的存儲資產(chǎn)可以十分高效，許多組織可能會選擇完全跳過脫機備份，但是這樣做并不明智。僅依賴于云備份的企業(yè)組織可能會為提高效率付出最終代價，因為勒索軟件可以加密任何類型存儲上的數(shù)據(jù)。因此，更明智的選擇是利用冗余的方式(在線和離線)保存?zhèn)浞?，并定期對它們進行測試。

七、對用戶訪問實施有限控制

通常情況下，企業(yè)組織會因為被盜憑據(jù)、弱密碼或孤立帳戶而受到損失。應當通過身份訪問管理(IAM)解決方案限制用戶訪問權限，使創(chuàng)建用戶組和將訪問權限限制在必要的范圍內(nèi)變得更容易。

八、放棄安全監(jiān)視和分析

在現(xiàn)實世界中，任何預防措施(如保險箱)都可以被一個有足夠時間重復無數(shù)次試圖破壞它的攻擊者攻破。預防性網(wǎng)絡安全措施也是如此。設置控制措施，監(jiān)控報告非法行為，并不斷測試控制效果，確保預防措施正常工作。

九、安全意識低

大多數(shù)威脅，包括勒索軟件感染，首先需要人的互動才能進入網(wǎng)絡和設備。

企業(yè)組織中的人員可能是威脅最大的一部分，也可能是最強大的盟友，這取決于如何準備和培訓用戶。用戶安全意識培訓是一項低成本高效益的措施。

十、無事件響應計劃或領導團隊

無論企業(yè)組織在其安全策略和計劃方面是否成熟，總有一天會受到安全事件的影響。在這種情況下，最重要的是組織有能力管理危機，遏制威脅，恢復正常運作。

根據(jù)“2019年數(shù)據(jù)泄露成本報告”，擁有一支信息安全團隊并對企業(yè)組織最相關的場景進行安全演練，可在發(fā)生事故時平均節(jié)省68萬美元。在不到30天的時間內(nèi)控制攻擊可以幫助節(jié)省100多萬美元。

在受到攻擊的情況下保持團隊的有效性和客戶的服務是無價的。

以上就是企業(yè)組織面臨勒索軟件攻擊的10大原因及對應的解決方案，總的來說人還是最重要的一環(huán)，無論防護有多嚴密，內(nèi)部人員的疏忽永遠是重大安全事故的起始點。

勒索軟件攻擊并沒有假期，攻擊者無時無刻不在嘗試突破目標防護。勒索軟件的威脅不斷增加，在2019年第一季度，研究人員注意到勒索軟件種類增加了118%。在這些不斷上升的數(shù)字背后，是網(wǎng)絡犯罪集團持續(xù)將勒索軟件植入到企業(yè)網(wǎng)絡中去。 

其中Emotet木馬在沉寂了三個月之后再次出現(xiàn)活動跡象。該木馬在起初2014年時只是一款銀行木馬，但后來改變了組織思路，變?yōu)榱私┦W(wǎng)絡。而且通過僵尸網(wǎng)絡傳播其他黑客組織的各種惡意軟件。這使得emote成為網(wǎng)絡犯罪領域最大的威脅之一，它已經(jīng)影響到北美和歐洲的公共行政機構、醫(yī)療機構和其他各種公司。

但是emotet的“成功”不僅僅是基于其先進的軟件設計，還要歸結于企業(yè)組織沒有做好安全防護。

最近IBM進行的一項研究發(fā)現(xiàn)，絕大多數(shù)接受調(diào)查的組織仍然沒有做好妥善應對網(wǎng)絡安全事件的準備。77%的受訪者表示，他們在整個企業(yè)中沒有網(wǎng)絡安全事件應對計劃。隨著時間的推移，遭受重大安全事件的可能性會越來越大。

研究分析，以下10個安全問題會增加企業(yè)組織成為勒索軟件攻擊受害者的可能性。

一、系統(tǒng)老舊

很多時候，企業(yè)組織內(nèi)部操作系統(tǒng)(OS)會由于各種原因沒有升級。大多數(shù)惡意軟件和大多數(shù)活動勒索軟件都依賴于桌面操作系統(tǒng)中的漏洞。

以windows操作系統(tǒng)中smb服務為例，該協(xié)議在易受攻擊的同時保持活躍，使Wannacry勒索軟件攻擊和Notpetya攻擊成功率極高，正是因為系統(tǒng)老舊未及時更新這些攻擊在2017年像野火一樣蔓延。

由于Windows7的支持將于2020年1月14日結束，企業(yè)組織應計劃升級。如果出于任何原因，無法更換或升級所有系統(tǒng)，至少可以設置擴展的預防措施，在這些系統(tǒng)外圍設置嚴格控制，限制對它們的訪問，并確保讓滲透測試人員對它們進行測試，以了解潛在的影響。

二、對資產(chǎn)及其漏洞的可見性有限

對于任何防守隊員來說，知道需要防守的是什么以及關鍵資產(chǎn)的位置是很重要的。

在許多企業(yè)組織中，最有價值的資產(chǎn)是人以及他們收集和使用的信息。企業(yè)組織可以根據(jù)數(shù)據(jù)的價值和管理數(shù)據(jù)的資產(chǎn)來確定安全級別的優(yōu)先級，而不是試圖保護所有內(nèi)容。

三、忘記執(zhí)行系統(tǒng)強化策略

被攻擊的另一個因素是所謂的攻擊面。未使用的服務、開放的端口和被忽視的操作系統(tǒng)功能往往會吸引不速之客。

請記住，沒有一個操作系統(tǒng)是設計上安全的，它需要盡可能地被嚴格控制，應當詳細檢測不符合安全策略的系統(tǒng)，并通過必要的修改或控制來解決強化系統(tǒng)安全。

四、依靠外界保護和防病毒

幾年前，防火墻是許多安全團隊用來將世界劃分為內(nèi)部“好”和外部“壞”的方案，并依靠殺毒軟件來保護其安全。隨著攻擊手段的不斷升級，這一概念早已過時。

勒索軟件和其他威脅通常是通過釣魚電子郵件進入組織內(nèi)部，是因為內(nèi)部員工的安全意識問題，而不是通過破壞周邊防御進入系統(tǒng)內(nèi)部。反病毒測試表明，即使是“同類最佳”的產(chǎn)品，在阻止高級威脅方面也不是萬能的。

五、扁平網(wǎng)絡拓撲

不僅僅是勒索軟件，所有的惡意軟件都非常喜歡一個扁平的網(wǎng)絡環(huán)境。

這種拓撲結構有助于更快速地傳播惡意負載，并方便地從一個系統(tǒng)跳到另一個系統(tǒng)。例如emotet及其各種有效負載，能夠有效探索平面網(wǎng)絡環(huán)境，下載額外的工具和模塊來隨意開放端口，甚至破解密碼。

應當考慮遵循基本安全設計原則的分層網(wǎng)絡設計。小而有意義的更改可以幫助提供更高級別的內(nèi)置安全性，而無需重建網(wǎng)絡。

六、依賴在線備份

隨著云存儲規(guī)模的不斷擴大，在線備份已經(jīng)成為一種非常流行的存儲數(shù)據(jù)的方法。

這些基于云的存儲資產(chǎn)可以十分高效，許多組織可能會選擇完全跳過脫機備份，但是這樣做并不明智。僅依賴于云備份的企業(yè)組織可能會為提高效率付出最終代價，因為勒索軟件可以加密任何類型存儲上的數(shù)據(jù)。因此，更明智的選擇是利用冗余的方式(在線和離線)保存?zhèn)浞荩⒍ㄆ趯λ鼈冞M行測試。

七、對用戶訪問實施有限控制

通常情況下，企業(yè)組織會因為被盜憑據(jù)、弱密碼或孤立帳戶而受到損失。應當通過身份訪問管理(IAM)解決方案限制用戶訪問權限，使創(chuàng)建用戶組和將訪問權限限制在必要的范圍內(nèi)變得更容易。

八、放棄安全監(jiān)視和分析

在現(xiàn)實世界中，任何預防措施(如保險箱)都可以被一個有足夠時間重復無數(shù)次試圖破壞它的攻擊者攻破。預防性網(wǎng)絡安全措施也是如此。設置控制措施，監(jiān)控報告非法行為，并不斷測試控制效果，確保預防措施正常工作。

九、安全意識低

大多數(shù)威脅，包括勒索軟件感染，首先需要人的互動才能進入網(wǎng)絡和設備。

企業(yè)組織中的人員可能是威脅最大的一部分，也可能是最強大的盟友，這取決于如何準備和培訓用戶。用戶安全意識培訓是一項低成本高效益的措施。

十、無事件響應計劃或領導團隊

無論企業(yè)組織在其安全策略和計劃方面是否成熟，總有一天會受到安全事件的影響。在這種情況下，最重要的是組織有能力管理危機，遏制威脅，恢復正常運作。

根據(jù)“2019年數(shù)據(jù)泄露成本報告”，擁有一支信息安全團隊并對企業(yè)組織最相關的場景進行安全演練，可在發(fā)生事故時平均節(jié)省68萬美元。在不到30天的時間內(nèi)控制攻擊可以幫助節(jié)省100多萬美元。

 

在受到攻擊的情況下保持團隊的有效性和客戶的服務是無價的。

以上就是企業(yè)組織面臨勒索軟件攻擊的10大原因及對應的解決方案，總的來說人還是最重要的一環(huán)，無論防護有多嚴密，內(nèi)部人員的疏忽永遠是重大安全事故的起始點。