为减缓COVID-19的传播速度,已指示数百万员工在家工作,使他们置于安全的办公网络之外,而不再受到IT专业人员的保护。威胁参与者通过利用网络钓鱼,凭据填充和勒索软件等策略发起一系列新的网络攻击,从而充分利用这种威胁。根据VMware Carbon Black的研究,仅勒索软件攻击今年就增加了900%。这导致国土安全部的网络安全和基础架构安全局(CISA)重新发布了有关针对员工和企业的网络就绪和防御措施的指南。鉴于当前勒索软件攻击的增加,让我们考虑组织可以采取的措施,以最大程度地降低遭受攻击的风险。
持有某人或某物勒索是一种简单而有效的策略,犯罪分子已经使用了数千年。如今,网络犯罪分子正在利用现代技术来利用这些古老的技术。勒索软件通常是通过垃圾邮件发送的,当受害者单击恶意附件或URL时,便会部署犯罪软件。感染后,勒索软件通常会造成毁灭性影响,因为加密和阻止对敏感数据的访问会关闭业务运营。一个很好的例子是2017年中的WannaCry和NotPetya攻击像野火一样在全球蔓延,削弱了银行,物流公司,制造工厂和许多其他行业。
尽管这些广泛的攻击导致部署了额外的防御机制,但网络罪犯还使用针对特定个人的鱼叉式网络钓鱼电子邮件并使用恶意代码为合法网站播种,从而发起了更为复杂的攻击。有针对性的攻击可能会影响较少的组织,但成功率要高得多。这是勒索软件演变的一部分。
最近,我们看到了一种新趋势的出现,勒索软件攻击不仅会加密组织的系统,还会泄露数据,并威胁说如果不支付赎金就将其公开发布。迄今为止,只有一小部分勒索软件攻击采取了这一额外措施,这可能是因为它使网络犯罪分子面临被执法部门检测和识别的风险增加。像Energias de Portugal事件那样,沿着这条道路走的威胁者可能是由于公司默许而获得的更高报酬。
增强网络弹性的基本步骤
以下基本措施可以帮助组织最大程度地减少其受到勒索软件攻击的可能性:
•实施网络安全培训,以教育员工如何部署勒索软件以及如何识别和避免鱼叉式网络钓鱼攻击。
•定期使用最新签名更新防病毒和防恶意软件,并执行定期扫描。
•定期将数据备份到非连接环境,并定期验证这些备份的完整性。
尽管这些最佳做法至关重要,但许多组织意识到他们需要超越基本的网络卫生,并追求更全面的网络防御策略。不幸的是,许多公司最近被迫裁员并推迟计划的IT安全项目。因此,比以往任何时候都更需要关注确保最大收益的安全措施。尽管安全意识培训以及定期的反恶意软件更新和数据备份涵盖了基本知识,但组织需要认识到勒索软件只是一种利用形式。它可以很容易地被另一个替换。根据Forrester的估计,大约80%的数据泄露与特权访问滥用有关。
解决低挂水果
通过基于零信任原则实施以身份为中心的特权访问管理(PAM),组织可以用一块石头杀死两只鸟。它们可以防御主要的数据泄露源(特权访问滥用),同时通过阻止恶意软件运行或至少限制其在网络中传播的能力,同时遏制勒索软件攻击的影响。在这种情况下,PAM和零信任的结合使组织能够:
•将其网络基础结构与受到病毒或勒索软件破坏的远程访问笔记本电脑和工作站隔离开;
•区域访问权限并执行多因素身份验证,以便管理员用户可以访问预定义区域之外的资产;
•保管箱共享本地帐户,以最大程度地减少试图执行特权升级的勒索软件攻击的危害;和
•应用最小特权的概念来精细控制访问管理员用户拥有的权限以及他们可以运行的特权命令。如果没有安装文件的能力或至少在需要安装时没有特权,则勒索软件将无法不受限制地通过网络传播。
由于组织的大多数员工都是在家工作,因此与几个月前相比,企业的攻击面已大大增加。勒索软件只是威胁参与者通过破坏远程用户设备来攻击组织的许多策略,技术和过程(TTP)之一。但是,通过集中精力缓解跨越所有TTP的公共线程(访问凭据滥用)并将身份视为安全范围,可以防止大多数网络漏洞。