不过,知道如何做并不是问题
我从事信息安全工作的时间足够长,已经看到了各种攻击类型的发展,它们在阳光下出现,然后随着环境的演变而消失。现在几乎很难相信,但曾几何时,拒绝服务攻击并不需要大规模分发才能有效;端口扫描将显示大量开放的知名端口(是的,Shodan这表明这仍然是正确的,但它不像以前那样);简单的病毒和蠕虫开始活动,然后通过相对简单的基于签名的检测来击败它们,它们的下一代继任者同样也经常通过行为分析或沙箱来消灭。对于许多攻击类型来说,故事有一个相对明显的开头、中间和结尾。当然,我们都知道,随着防御能力的增强,对手只会转向更有效的手段;但是,看到不同的恶意计划在防御者占了上风时被搁置一旁,他们感到满意。
最近我突然意识到,我一直在下意识地等待勒索软件出现同样的波峰起伏;我脑子里的某个低级程序在喃喃自语:“当然,我们也会得到我们的臂膀。”很明显,事情并不是那样发展的。如果有什么不同的话,我们可能仍然在波峰的错误一侧。但是,尽管我们在勒索软件团伙手中遭受了所有的挫折和痛苦,但我们在这里的根本原因并不复杂。我们知道如何防止勒索软件,只是我们没有这么做。
这听起来可能不公平,所以让我澄清一下。首先,这句话并不具有判断意义。安全团队正在做着令人惊叹的工作,特别是考虑到大流行给他们带来的影响。是的,情况很糟糕,但情况可能会更糟,这要归功于我们的安全同仁,从从业者到教育者再到供应商。我想说的是,总的来说,勒索软件之所以是一个持续存在的问题,并不是因为它在技术上很特别,也不是因为漏洞太多。承认有一些聪明的工具,也有一些棘手的漏洞,勒索软件是一个如此棘手的问题的原因是它代表了一系列经过磨练、精简和商品化的战术、技术和程序的精华.它的进化反映了生物的进化:失败的灭绝,有效的生存,适应的繁荣。
但是防御系统不是也进化了吗?他们做到了,而且是以一些创新和令人兴奋的方式。但这个问题类似于熵的概念:存在许多不同的无序状态,对手可以在其中生存并实现目标,而成功防御的环境是有序状态,因此需要更多的能量来维持。因此,恶意软件和恶意行为者可以以本质上无限的方式进化,并实现他们的目标。另一方面,防御也必须进化,但只有相对较少的有序条件是唯一安全的状态。
勒索软件是一种变形器
除了少数例外,勒索软件活动的构建模块以及活动成功所需的受害者环境条件都非常熟悉。初始访问几乎总是通过网络钓鱼或其他方法窃取凭证。横向移动由未分割的网络和对身份和授权的不平衡控制所辅助。通过利用已知但未修补的漏洞来启用各个阶段。备份不足或备份被发现感染了导致网络瘫痪的同一种恶意软件,会阻碍恢复。(必须提到的是,恢复现在还需要处理勒索软件参与者泄露或出售数据的潜在后果)。
上一段中的几乎每一项都是一个问题,就其本身而言,都很容易理解,并且有很好的解决办法。乐动体育网址勒索软件向我们展示的是,它是一个难得的环境,每个盒子都被选中.这感觉就像打地鼠游戏,因为它非常像。有很好的网络钓鱼防护措施吗?太棒了!但合法的证书也会以其他方式泄露。都修补好了吗?摇滚吧!但是特权可以在不利用漏洞的情况下升级。网络被稳健分割了吗?太好了! But what happens when the stolen credentials get straight into a “crown jewels” subnet, or when stolen creds enable traversal of the segmented boundaries? You see the point. Ransomware is not a monolithic thing. It is a shape-shifter. It’s the big-fish-shaped school of small fish, each individually easy to dispatch, but collectively packing a big bite.
有用的勒索软件资源
这给我们带来了什么?好吧,如果勒索软件危机中还有一线希望的话——这样称呼它似乎是合理的——那就是它动员了公共和私营部门的大量伟大工作来帮助我们所有人应对它。以下是我发现的一些特别有启发性和鼓舞人心的资源:
- 总统拜登的网络安全行政命令:虽然这份EO实际上并没有提到“勒索软件”这个词,但它确实针对了许多导致勒索软件扩散的个别因素。它涉及到通过改进信息共享等措施从源头上挫败网络犯罪,并通过增强云安全策略和加强供应链,在其目的地(受害者环境)进行打击。虽然这适用于联邦政府,而不是私营部门,但私营部门将因此看到一些利好因素。
- NIST的(美国国家标准与技术研究院)草案勒索软件风险管理网络安全框架概要:本文档取特定组件NIST的框架并将其应用于勒索软件。该文档是本博客灵感的一部分,因为各个控制和实践都与解决构成典型勒索病毒活动的各个ttp有关。
- 中钢协美国网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency)的新举措勒索软件风险评估模块CSET(网络安全评估工具)是一个很好的工具,可以帮助组织评估他们在勒索软件威胁方面的安全状况。一些组织会特别喜欢分析仪表板功能。
- 坚持的勒索软件工作组的报告:这是迄今为止专门为打击勒索软件而设计的最全面的框架。它对公共和私营部门都有重要的建议,围绕四个关键目标组织:阻止攻击,破坏勒索软件业务模式,帮助组织准备,以及开发更有效的应对勒索软件攻击的响应。这本书读起来很充实(70多页),但值得花时间。
- 免费的剧本查看器来自帕洛阿尔托网络的Unit 42团队:这个交互式工具(不仅专注于勒索软件)为防御者提供了一个很好的方式来更加熟悉不同群体使用的ttp,并且它是围绕着主教法冠ATT&CK框架,它帮助从制造新闻的无数威胁组织中划出一条直线,到蓝队需要控制的确切控制。
- DomainTools研究员乍得安德森最近的后卫指南到最丰富的勒索软件组,其中包括组和工具的全面可视化地图,是另一种帮助在互联网上的勒索软件新闻和文章的绝对暴雪中保持态势感知的绝佳方式。
的外卖
以上资源都不是灵丹妙药,但我希望这里的一个要点是我们不需要银弹.我们已经拥有了已知可以有效对抗构成勒索软件攻击的大多数ttp的技术和流程。对勒索软件问题的高度关注,以及为帮助防御者所做的大量工作,可能有助于组织在威胁建模和安全态势方面所做的重要工作,最终,我们可能会扭转局势。勒索软件的故事有开头和中间;有了这里描述的一些工作,它也有希望结束。