專注於基本原則：防禦勒索軟體的 6 步驟

勒索軟體會將不良的網路安全機制視為搖錢樹。以下是您可以採取行動改善安全防禦措施的 6 步驟。

勒索軟體攻擊幾乎已成為每一家企業董事會中的議題。光是在 2020 年，據報就有超過 3 億起勒索軟體攻擊，相較 2019 年增加 60% 以上。造成這樣的趨勢原因很多，例如：加密貨幣逐漸興起、愈來愈老練的勒索軟體價值鏈網路以及雙重敲詐經營模式的成功。不過，當今勒索軟體最重要的推手還是數量龐大的軟體弱點和錯誤設定，讓威脅行動者得以盡情享用，然後在企業內部取得立足點並傳播其攻擊。

勒索軟體必須依靠攻擊者利用弱點發動攻擊

隨著在家工作成為新常態，攻擊者正在掠奪遠端存取基礎架構及 Web 應用程式瑕疵，做為他們入侵網路的進入點。REvil/Sodinokibi 是當今最大的勒索軟體聯合組織，他們愈來愈常將目標鎖定在 VPN 的弱點 (CVE-2019-11510)、網頁伺服器 (CVE-2019-2725)、遠端桌面 (CVE-2019-19781) 和最近新興的目標 - 遠端 IT 管理 (CVE-2021-30116) 基礎架構。Conti 勒索軟體系列也經常鎖定 VPN 系統和遠端桌面通訊協定 (RDP)，以取得受害者網路的存取權。由於每年都公布了數量龐大的 CVE以及缺乏任何使用者互動要求，以部署承載，使得軟體弱點已成為最快速成長的勒索體攻擊媒介。

然而，資安團隊該擔心的還不只是傳統的 CVE 弱點。勒索軟體在整個企業內傳播的過程中，錯誤設定也扮演了舉足輕重的角色。勒索軟體攻擊一直以來都會鎖定 Active Directory (AD) 的脆弱環節，以便提升權限並且橫向移動至價值更高的目標。Ryuk 勒索軟體集團在短短 24 小時內，就利用常見的 AD 錯誤設定將攻擊從單一電子郵件傳播至感染整個網域。AD 通常又被稱為「王國的鑰匙」，因為它是企業身分認證、授權和存取控制的中心。一旦 AD 遭到入侵，攻擊者就能利用 AD 和它的群組原則屬性將勒索軟體部署至整個企業。

瞭解您的勒索軟體防禦措施有哪些地方可以改善

說到防禦勒索軟體，有好消息，但也有壞消息。

先說壞消息，世界上並沒有一種可以保護貴公司的萬靈丹。沒有任何一種酷炫的人工智慧型技術、先進的行為式分析或即時偵測/回應解決方案能夠像魔法一樣解決這個問題。想要尋找單一種勒索軟體解決方案的網路防禦者只會大失所望。

而好消息則是，只要專注在安全的基本面，就能往目標邁進。我知道您在想什麼，維持網路安全機制的工作既不有趣，也不令人興奮。但是這麼做確實有用。要防止勒索軟體攻擊成功得手，基本工是非常重要的事。美國網路安全暨基礎架構安全局 (CISA) 和英國國家網路安全中心 (NCSC) 的網路專家都不斷強調基本工的重要性，像是：

• 進行網路安全認知訓練，以減少網路釣魚攻擊

• 將您的網路分割成不同的區段來區隔不同的業務單位和資源，進而抑制入侵行動
• 所有地方都啟用多重因素驗證

• 維持頻繁的資料與系統影像加密備份

• 對您整個攻擊破綻執行不中斷的風險型弱點管理和 AD 評估


防禦勒索軟體的 6 步驟

為了協助您加強基本面， Tenable 建議您採取以下 6 個步驟以改善您防禦勒索軟體的安全措施。

1. 經常掃描，不放過任何裝置

2. 強化 AD，保護重要資產
3. 降級權限提升
4. 善用預測功能排定優先順序
5. 將修復弱點視為企業首要目標
6. 衡量以全面提升成效


Tenable 會在過程中的每一步提供您協助。

深入瞭解

• 閱讀部落格： 如何衡量企業網路安全方案的效果： 要提出的 5 个问题 

• 觀看網路研討會：全新推出的 Tenable.ad：保障 Active Directory 的安全並中斷攻擊路徑
• 下載電子書：國王的贖金 (鉅額贖金)：如何防止勒索軟體透過 AD 散播