10条安全实践跑赢勒索软件威胁

最近臭名昭著的SamSam恶意软件稍复杂些。 这种蠕虫主要针对已经暴露在互联网上的易受攻击的服务器，或通过RDP（远程桌面协议）进行暴力攻击，或针对并利用特定的已知漏洞进行攻击。 因此，它的攻击往往更加直接、更具有计划性。

SamSam在2015年初次登场的时候，带来的安全风险相当低。但是，过去几个月，该恶意软件的开发者变得非常活跃，目标针对从医疗保健和教育机构到地方政府更广泛的组织与机构。据估计，SamSam 勒索软件活动的发动团体已经向其受害者勒索了近一百万美元。

我们也看到网络犯罪分子已开始针对基于云计算的网络托管服务，将代码注入多个高流量的网络域。 攻击集中式服务的力量倍增器使得云提供商日益成为攻击目标。 成功地攻击服务提供商每天可生成数百万美元的利益，同时中断数百或数千个企业以及数以万计甚至数百万客户的服务。 它还会削弱许多组织在基于云计算方面已经存在的脆弱信任，并可能对数字转型和数字经济造成破坏性影响。

当然，这些只是越来越多的勒索软件攻击的一小部分。然而，今天出现的这些勒索软件攻击中最为复杂的勒索软件攻击也只是整个恶意软件攻击中的“尖兵”而已。 网络犯罪分子正在采用新的攻击策略，如Hajime和Hand-and-Seek所使用的策略，加速攻击的规模和成功。 这些新变种正在从传统的基于勒索软件的攻击转变而来，需要不断的与其控制器通信，然后转变为使用自动化的自学习策略，这可能会将恶意的勒索蠕虫攻击（ransomworms）转化为群集性的勒索软件攻击大军（ransomwarms）。

未来的攻击可能会利用诸如群体智能之类的技术将人类完全带出环路，以便将攻击加速到数字速度。 实时通信允许单个攻击代理（或swarmbots）将其集中在一起，形成协调一致的群集，从而能够更高效地评估和确定各种潜在漏洞。 Swarmbots之间的这种信息共享放大了试验和错误的过程，而集中的基于蜂群的控制则使群集能够同时瞄准整个攻击面上的多个目标。

恶意软件目标可以直接与代码构建块绑定，以便即时开发或修改自定义攻击。 这种群集技术可以应用于攻击链上的任何点 — 攻击规划，攻击突破，扩大攻击足迹，收集情报，然后泄露数据 - 以加快攻击发生的速度，缩小攻击启动与攻击成功之间的差距，并最大限度地发挥成功攻击的影响。

回归基本的安全实践

当然，这些发展是惊人的。 但是，虽然每种攻击都可能针对不同的攻击媒介，但它们都有一个共同点：它们几乎总是针对具有已知漏洞的系统，而这些系统的漏洞本应该被修复。

那么，为什么这些设备不能正确更新与加固？ 这是一个经典的问题：随着网络变得越来越复杂，IT资源被分散的越来越单薄。 有限的资源面对着的是不断扩展的网络功能，这些功能通常又是通过云与应用程序来实现。反过来这又让IT团队忽视基本的安全实践，包括维护基本的清洁的安全环境。

10条安全实践

网络犯罪分子发起的“全线攻击”策略特别有效。

为了防止网络受到多重攻击，您需要回归基础，有条不紊，减少您的组织面临的可能攻击途径的数量。 这包括：

01

盘点网络设备

随时查找并维护网络上的设备的实时清单。 当然，如果您的安全设备，接入点和网络设备无法相互通信，这就很难做到。 随着IT资源不断被延伸，集成的NOC-SOC解决方案是确保识别和监控网络中每台设备的有效方法。

02

自动化补丁

最近的WannaCry攻击清楚地表明，未修补的系统仍然是攻击和恶意软件的主要渠道。 这就是为什么您应该尽可能开发或采用具有自动化补丁功能的流程或安全组件。

03

配置网络隔离

当您的网络遭到破坏时，您会做什么？ 这是每个安全专业人员都需要问的问题。最好的第一道防线是配置隔离的网络。 如果没有适当的网络分段，像WannaCry这样的蠕虫可以很容易顺势在内网传播，甚至可以传播到备份内容，使事件响应（IR）计划的恢复部分更加难以实施。 分段网络策略（包括虚拟环境中的微分段和物理网络与虚拟网络之间的宏分段）使您能够主动地动态隔离攻击，限制其传播能力。

04

应用威胁情报

订阅实时威胁情报，安全系统可以对最新的攻击有第一时间的监测到。 通过集中式集成和关联工具（如SIEM或威胁情报服务）与本地威胁情报相结合，威胁情报的应用不仅可以帮助组织更好地在威胁开始出现时便查看和响应这些威胁，而不是在自己被称为攻击目标时才开始关注。

05

注意攻陷指标（IOCs）

当网络中的设备面对着如今庞大的攻击与威胁时，通过IOCs，您可以快速查看哪些设备的风险最高，并优先进行强化，修复，隔离或替换它们。

06

强化端点和接入点安全

规定进入网络的任何设备都符合基本安全要求，并且主动扫描未打补丁或受感染的设备和流量。

07

实施安全管控技术

在整个网络中应用签名和基于行为的安全解决方案，以便检测并阻止网络边界的攻击以及一旦穿透边界防御系统的攻击。

08

应用安全自动化

一旦你规划出管控的安全区域后，尽可能地将自动化应用到尽可能多的基本安全过程中。自动化的过程是IT资源的释放，将其专注于更高阶的威胁分析和响应任务，免受高级威胁的攻击。

09

备份关键系统

在处理勒索软件时，您可以做的最重要的事情是确保您拥有脱机存储的关键数据和资源副本，以便尽快恢复和恢复操作。

10

构建高度集成的安全环境

为确保所有这些安全实践可无缝扩展到您联机的每个新网络生态系统中，您需要部署完全集成的安全解决方案作为安全架构，以实现集中协调和分析。

安全技术与安全组件之间需要“团队协作”

随着网络变得越来越复杂，捍卫它们的工作也将变得更加复杂，信息安全建设与架构也不是单一的产品与技术能够解决，需要能够高效集成的“团队”工作。自动化是非常重要的步骤，它可以减轻IT团队许多安全最佳实践的负担。 另外，随着恶意软件的发展，需要应用威胁情报实现动态且持续防御。