如何防范勒索软件

什么是勒索软件攻击？

过去的二十年中，勒索软件的破坏性影响不断增长。而如今勒索软件攻击都是精心策划，已经告别了以往简单、碰运气式的“打砸抢”模式。 个人和企业依然是勒索软件攻击的主要目标，2021 年，勒索软件的受害者被迫支付了平均 57 万美元的赎金。

本篇博文将向您简要介绍什么是勒索软件，以及组织为防止勒索软件攻击而应采取的措施。

什么是勒索软件？

勒索软件指一类恶意软件，它以数字方式勒索受害者，要求支付一定金额。 通常而言，受害者的计算机被锁定或加密后，勒索软件攻击者会让屏幕显示警告，尝试向受害者勒索钱财。 受害者将被告知，除非支付赎金，否则无法恢复访问权限。

勒索软件攻击者知道其行为可能带来巨大收益，因而扩大了攻击范围，不仅勒索个人用户，还会破坏整个企业和关键基础设施。

计算机如何感染勒索软件？

勒索软件传播的方式有两种：通过包含恶意附件的钓鱼邮件，或通过网站挂马攻击 (Drive-By Download)。 用户无意间访问受感染的网站，导致恶意软件在用户不知情的情况下下载并安装，就会发生网站挂马攻击。

勒索软件开发者已在恶意软件加入蠕虫等功能，因此它将自动在整个企业网络中传播。 这样可以确保即使最先被入侵的计算机得到修复，勒索软件仍然存在。

勒索软件攻击是如何演变的？

如前所述，使用勒索软件的网络犯罪分子已经改变了战术。 从 2019 年左右开始，他们摒弃了碰运气式的“打砸抢”攻击，开始采用更处心积虑的高级持续威胁 (APT) 式攻击。 这种攻击方式使网络犯罪分子能在加密受影响的主机前泄露敏感数据，从而为多级勒索打开大门。 他们已经不满足于仅以为组织解密受影响的主机进行勒索，现在勒索的筹码已经为防止组织的敏感数据泄露。 这种策略为他们带来了更大的经济利益。

这些多级勒索威胁为攻击者提供了更多筹码，迫使受害者不得不支付赎金。 赎金金额可能非常高，如富士康攻击事件中，最初要价高达 3400 万美元，我们预计在 2022 年这一趋势还将增长。

常见的勒索软件变体

勒索软件是一个通称，包含不同类型的恶意软件。 它们的共同特征是索要赎金，以此作为移除的条件，但行为方式有所不同。

以下是一些最常见的类型：

• Locker 被认为是有史以来发现的第一种勒索软件。 顾名思义，它会锁定计算机，使用户无法使用，从而要求某种形式的赎金。 这是最令人闻风丧胆的版本之一，因为它通常需要系统擦除才能移除。 不幸的是，支付赎金并不能确保一劳永逸；即使支付了赎金，一些黑客也会嵌入密码窃取软件。
• 加密货币 (Crypto) 勒索软件的主要区别性特征是要求以加密货币的形式付款。 黑客通常会锁定用户的文件，然后要求通过匿名加密货币地址付款。
• 泄露软件 (Leakware) 的工作原理是窃取受害者信息，并威胁受害者，如果不付款，就发布这些数据。 您的银行信息、联系人、私密照片和个人文档都可能成为攻击目标。 这是一种特别成功的战术，因为它会导致受害者惊慌失措并妥协。
• 恐吓软件 (Scareware) 通常以假安全软件的面目示人。 下载后，它将提醒受害者计算机存在问题，需要支付额外费用才能修复。 在某些情况下，受害者会收到数量庞大的警报和弹出窗口，除非有所行动，否则计算机根本无法使用。
• 勒索软件即服务 (RaaS) 是职业犯罪分子使用的一种元恶意软件。 黑客会出租勒索软件的创建和分发服务，以换取从赎金中分一杯羹。 这类软件危险性极高，因为任何谋求报复者都可以使用，并且可以专门针对具体对象。

如何防范勒索软件

下列多项措施被视为成熟安全计划应采用的最佳安全做法。 组织如能落实这些措施，就可以采取正确的政策、流程和程序，降低勒索软件攻击的风险。

1. 保持系统处于最新状态。 大多数攻击都将易受攻击的应用程序和操作系统视为目标。 务必使用最新更新修补这些应用程序和操作系统，以大大减少攻击者可利用的入口点数量。

2. 对关键数据进行数据备份并实施恢复计划。 组织应使用定时备份并进行相关测试，以限制数据丢失或系统损耗的影响，加快恢复过程。 请注意，联网的备份也有可能受到勒索软件的影响；关键备份应与网络隔离，以获得最佳保护。

3. 制定事件响应计划。 创建、维护和执行基本的网络事件响应计划及相关的通信计划，其中应包括针对勒索软件事件的响应和通知程序。

4. 起草网络安全政策和基准。 考虑围绕防火墙、电子邮件扫描、应用程序允许列表和远程访问等特定控制措施制定政策和基准。

5. 实现全面的网络可见性。 现如今的勒索软件攻击者会寄居在受害者的网络中，以窃取敏感数据，并将勒索的影响力发挥至最大。 因此，他们会坚持不懈，横向移动，利用远程访问工具，并提升其权限。 所有这些操作都会产生网络流量，安全团队如果具有网络可见性，就可以检测到这些流量并进行补救。

6. 提高员工意识。 员工如果对危险有所了解，就能够更有效地抵御潜在的网络钓鱼或社交工程攻击。 执行安全意识和培训计划，教导员工如何评估附件、链接或电子邮件是否能够相信。

7. 使用杀毒软件保护设备。 在打击勒索软件方面，优秀的杀毒软件套件至关重要。 它们会在发现问题后立即提醒用户，还可以轻松解决感染问题。 有些杀毒程序会针对具有低级加密功能的恶意软件提供免费的勒索软件解密工具。

8. 使用主动威胁搜寻功能。 威胁搜寻指主动搜索网络中未被发现的潜伏网络威胁。 网络威胁搜寻可以深入挖掘出您环境中已经越过初始终端安全防御措施的恶意行为者。

威胁搜寻是对事件检测、响应和补救标准流程的有力补充。 安全技术分析原始数据以生成警报的同时，威胁搜寻在（使用查询和自动化）从相同数据中提取搜寻线索。

主动搜寻可使您的安全团队于攻击者在您的环境中部署勒索软件之前阻止潜在威胁。

9. 采用零信任安全状态。 采用零信任安全状态可以为用户身份和访问管理提供勒索软件防御。 这是一种明智的做法，因为人为错误是导致大多数勒索软件攻击的根本原因。

零信任有助于显著减小攻击面。因为采用零信任安全状态后，内部和外部用户只能访问有限的资源，而所有其他资源则被完全隐藏起来。 此外，零信任还能提供监控、检测和威胁检查功能，这些功能为防止勒索软件攻击和敏感数据泄露所必须。

贵公司是勒索软件攻击的目标吗？

简单来说是的： 所有中小型公司、企业和组织都无差别，在近期发生的勒索软件攻击中更是如此。

详细的答案则更为复杂。 您的易受攻击性和防范勒索软件的能力可能取决于您的数据对网络犯罪分子的吸引力、您对网络流量的可见性、您的安全状况的成熟程度，以及您对员工进行有关网络钓鱼电子邮件的培训的力度，以及其他很多因素。

结论

在访问难度较低和金钱利益回报趋高的推动下，勒索软件攻击的数量可能会在 2022 年及以后继续增长。 我们预计，网络犯罪分子将以大型企业、关键基础设施、政府、教育机构和医疗保健机构为目标。

有效的勒索软件防御需要全面的网络可见性以及有效的威胁检测和事件响应能力。

• 混合云可见性 – Gigamon 混合云可见性结构可以收集和整合所有动态数据，包括东西向流量、IoT/OT 流量和容器级流量，从而消除盲点
• TLS/SSL 解密 – 来自 Gigamon 的集中式 SSL/TLS 解密，当网络犯罪分子使用加密通道访问 C2 和类似活动，Gigamon提供揭露来自对手的隐藏威胁所需的可见性
• 网络检测和响应 – Gigamon ThreatInsight™ 引导式软件即服务 (SaaS) 网络检测和响应服务可以缩小 SOC 可见性差距，并可提供高保真对手检测功能，从而实现快速、明智的响应

面对当今复杂勒索软件攻击的威胁，传统工具已经束手无策，而借助 Gigamon 则可轻松化解。

精选网络研讨会

聆听我们的专家关于最新趋势和最佳做法的介绍，优化您的网络可见性和分析。