專注於基本原則:防禦勒索軟體的 6 步驟
勒索軟體會將不良的網路安全機制視為搖錢樹。以下是您可以採取行動改善安全防禦措施的 6 步驟。
勒索軟體攻擊幾乎已成為每一家企業董事會中的議題。光是在 2020 年,據報就有超過 3 億起勒索軟體攻擊,相較 2019 年增加 60% 以上。造成這樣的趨勢原因很多,例如:加密貨幣逐漸興起、愈來愈老練的勒索軟體價值鏈網路以及雙重敲詐經營模式的成功。不過,當今勒索軟體最重要的推手還是數量龐大的軟體弱點和錯誤設定,讓威脅行動者得以盡情享用,然後在企業內部取得立足點並傳播其攻擊。
勒索軟體必須依靠攻擊者利用弱點發動攻擊
隨著在家工作成為新常態,攻擊者正在掠奪遠端存取基礎架構及 Web 應用程式瑕疵,做為他們入侵網路的進入點。REvil/Sodinokibi 是當今最大的勒索軟體聯合組織,他們愈來愈常將目標鎖定在 VPN 的弱點 (CVE-2019-11510)、網頁伺服器 (CVE-2019-2725)、遠端桌面 (CVE-2019-19781) 和最近新興的目標 - 遠端 IT 管理 (CVE-2021-30116) 基礎架構。Conti 勒索軟體系列也經常鎖定 VPN 系統和遠端桌面通訊協定 (RDP),以取得受害者網路的存取權。由於每年都公布了數量龐大的 CVE以及缺乏任何使用者互動要求,以部署承載,使得軟體弱點已成為最快速成長的勒索體攻擊媒介。
然而,資安團隊該擔心的還不只是傳統的 CVE 弱點。勒索軟體在整個企業內傳播的過程中,錯誤設定也扮演了舉足輕重的角色。勒索軟體攻擊一直以來都會鎖定 Active Directory (AD) 的脆弱環節,以便提升權限並且橫向移動至價值更高的目標。Ryuk 勒索軟體集團在短短 24 小時內,就利用常見的 AD 錯誤設定將攻擊從單一電子郵件傳播至感染整個網域。AD 通常又被稱為「王國的鑰匙」,因為它是企業身分認證、授權和存取控制的中心。一旦 AD 遭到入侵,攻擊者就能利用 AD 和它的群組原則屬性將勒索軟體部署至整個企業。
瞭解您的勒索軟體防禦措施有哪些地方可以改善
說到防禦勒索軟體,有好消息,但也有壞消息。
先說壞消息,世界上並沒有一種可以保護貴公司的萬靈丹。沒有任何一種酷炫的人工智慧型技術、先進的行為式分析或即時偵測/回應解決方案能夠像魔法一樣解決這個問題。想要尋找單一種勒索軟體解決方案的網路防禦者只會大失所望。
而好消息則是,只要專注在安全的基本面,就能往目標邁進。我知道您在想什麼,維持網路安全機制的工作既不有趣,也不令人興奮。但是這麼做確實有用。要防止勒索軟體攻擊成功得手,基本工是非常重要的事。美國網路安全暨基礎架構安全局 (CISA) 和英國國家網路安全中心 (NCSC) 的網路專家都不斷強調基本工的重要性,像是:
- 進行網路安全認知訓練,以減少網路釣魚攻擊
- 將您的網路分割成不同的區段來區隔不同的業務單位和資源,進而抑制入侵行動
- 所有地方都啟用多重因素驗證
- 維持頻繁的資料與系統影像加密備份
- 對您整個攻擊破綻執行不中斷的風險型弱點管理和 AD 評估
防禦勒索軟體的 6 步驟
為了協助您加強基本面, Tenable 建議您採取以下 6 個步驟以改善您防禦勒索軟體的安全措施。
- 經常掃描,不放過任何裝置
- 強化 AD,保護重要資產
- 降級權限提升
- 善用預測功能排定優先順序
- 將修復弱點視為企業首要目標
- 衡量以全面提升成效
Tenable 會在過程中的每一步提供您協助。
深入瞭解
相關文章
- Active Directory
- Executive Management
- Threat Management
- Vulnerability Management
- Vulnerability Scanning