虹科分享｜关于SANS报告的顶级勒索软件洞察

近年来，勒索软件攻击经历了大流行加速的演变，而防御系统则难以跟上。勒索软件的第一阶段已经让位于新的、不同的、更好的和更坏的东西。为了帮助理解这一演变，Morphisec赞助了一份来自SANS的报告，探索勒索软件防御的现状。它研究了潜伏在攻击版图中的最新对手趋势，以及对它们最有力的防御。

该报告证实，勒索软件仍然是一种毁灭性的威胁，使每个组织都处于危险之中。但这份报告也带来了希望:有了正确的团队、技术和技巧，勒索软件是可以避免的。

在这篇博客中，我们强调了SANS报告中的一些要点。然后，我们为那些认真防范勒索软件的公司提出切实可行的下一步措施。

勒索软件攻击的新趋势

事实证明，新冠肺炎大流行的条件是勒索软件攻击的完美温床。公司突然转向新的地点、技术和安全策略，同时将更多工作转移到网络和云。作为回应，勒索软件攻击变得更加频繁、成功和毁灭性。威胁参与者采用了新的和更新的技术、战术和程序(TTP)来帮助恶意软件逃避检测并绕过防御，包括以下内容。

情报收集

攻击者“浏览”目标以获取侦察信息，从而使他们的攻击成为可能，或者鼓励他们索要赎金。知道在组织内部何处以及如何横向移动，可以使最终的攻击更有可能成功并交付(或超过)预期的收益。但如果攻击者遇到路障或情况与威胁行动者的情报计划不匹配，这也可以对防御者有利。

竞赛心态

当新的漏洞被发现时，它会引发一场竞赛，一方面将它们武器化，另一方面进行防御。攻击者通常获胜是因为开发和实施补丁所需的时间--通常是几周或几个月--而一次攻击只需要几分钟。威胁参与者的速度优势加强了防御的必要性，以阻止攻击链中更早出现的新威胁。广泛使用的基于行为和签名的防御措施，如下一代防病毒(NGAV)和终端检测和响应(EDR)，正在努力应对未知和逃避的威胁。

躲避攻击

为了逃避NGAV和EDR等检测解决方案，攻击者采用了无文件、内存中、运行时攻击，并在到达最终目标的途中利用本地二进制文件进行攻击。防止勒索软件依赖于及早发现并应对攻击。因此，回避让攻击变得极其难以阻止。SANS的报告指出，传统的防御措施，如基于磁盘的文件分析，不能胜任这项任务。

流网 VS 捕鱼

许多恶意软件攻击撒下了一张大网。他们的目标不是特定的实体，而是使用自动化来尝试并瞄准尽可能广泛的目标。自动化的一个成功例子是最近勒索软件集团与银行家特洛伊木马下载器合作的小趋势。然而，如今成功的勒索软件攻击越来越多地是手动的和高度针对性的。这使他们能够快速适应组织并定制他们的攻击--带来毁灭性的后果。

勒索软件防御的最新技术

勒索软件攻击的演变迫使防御前线取得进展。因此，尽管这些攻击的破坏性比以往任何时候都要大，但它们并不总是带来不可避免的网络紧急情况。SANS报告强调了几种可用的应对勒索软件攻击的对策。

防止远程访问滥用

黑客利用远程访问进入网络，在许多情况下，还利用横向移动和找到高价值目标的特权。防止远程访问滥用需要多层安全措施。外部的VPN和MFA、用于发现和阻止传入威胁的EDR和NDR工具，以及用于保护外部空间的纵深防御或零信任策略。自从COVID强制远程工作出现以来，远程访问滥用激增。防止这种滥用的关键是实施深度防御方法。您应该始终假设任何给定的防御层最终都可以被穿透，因此您需要最后一层防御层来保护您的终端应用程序内存和资源。勒索软件攻击可以而且确实穿透了许多级别的安全。这就是为什么网络防御正在扩展到边界之外，以应对特定的应用程序。

防止无文件恶意软件

大多数当前的安全解决方案不是为检测或阻止无文件恶意软件而设计的。这就是勒索软件使用这种攻击方法以及本机二进制利用的原因。在加密发生之前，很难检测到渗透到网络并向前推进而不发出警报的攻击--但并非不可能。与其寻找传统的危险信号，不如考虑监视本机系统文件中的异常行为，并寻找由对手C2通信创建的独特模式。更广泛地说，纳入专门防止无文件攻击的安全解决方案。你不想仅仅依靠安全团队的勤奋来发现和阻止躲避的威胁。

迈向成功的勒索软件策略

SANS报告强调了有效防御高级勒索软件威胁的新技术和新兴技术。无论是作为独立的解决方案，还是作为集成的深度防御安全态势的一部分，所有公司都应该在其武器库中拥有这些安全堆栈。

加密流量分析(ETA)

攻击者正在加密他们的网络流量，以隐藏他们的移动，使其不被检测工具发现。ETA可以搜索该流量留下的未加密的元数据签名，以找到攻击的证据。另一种选择是依靠安全解决方案来防御攻击，而不必事先检测到攻击。

移动目标防御(MTD)

这项创新技术通过变形和移动参与者期望找到的预期内存资源威胁来防止攻击。MTD可以防御攻击，而不必首先检测到它们--对于高级、未知的攻击来说，这是一个很大的优势。由于受保护的资产只有授权用户才能访问，并且始终处于活动状态，其他所有用户都无法访问，因此，无论是先前已知的攻击还是全新的攻击，所有攻击都会失败。MTD创造了一个玩家无法穿透的动态攻击面威胁，所以他们转移到更容易的目标上。

AI事件聚合、关联和入侵防御

自动化可以越来越多地在网络安全的各个方面运行，从关联和检测事件到运行补救行动手册。自动化总是比人类做同样的事情走得更快、更有条理。这对网络安全来说是个好消息，因为它允许精简、资源不足的安全团队产生远远超出其员工规模的影响。换句话说，每个人都可以抵抗勒索软件。