Ixia:企業(yè)抵御勒索軟件攻擊需掌握三大原則
行業(yè)領(lǐng)先的網(wǎng)絡(luò)測試、可視化和安全解決方案供應(yīng)商 Ixia(Nasdaq: XXIA)向各企業(yè)機(jī)構(gòu)提出抵御勒索軟件的三大核心原則。
勒索軟件已經(jīng)成為黑客在網(wǎng)絡(luò)犯罪中牟利的慣用伎倆。據(jù)最新《Verizon數(shù)據(jù)泄露調(diào)查報告》(DBIR)表明,由于通過加密文件進(jìn)行勒索贖金速度快、風(fēng)險低并且可以輕松斂財,尤其使用比特幣進(jìn)行收款,可使收款人無法追蹤,勒索軟件是目前犯罪軟件最常見的類型。自2016年1月起,以企業(yè)為目標(biāo)的攻擊增長了300%,且攻擊頻率每40秒發(fā)生一次。此次波及全球范圍的勒索攻擊WannaCry,自5月12日以來已經(jīng)影響到150個國家,逾二十萬受害者。以上只說明一個事實:各組織機(jī)構(gòu)須立刻采取應(yīng)對措施,以防患于未然。
由于犯罪分子尋求提高感染率以及增加其非法收入,勒索軟件的傳播方法已發(fā)生變化。早期傳統(tǒng)的入侵方式,比如電子郵件中使用惡意文件作為附件,可以相對容易地被防病毒產(chǎn)品和安全沙箱檢測和屏蔽。然而,目前的入侵方式已經(jīng)經(jīng)過專門設(shè)計,旨在繞過這些傳統(tǒng)的安全防護(hù)產(chǎn)品。
Ixia應(yīng)用威脅情報部門的高級總監(jiān)Steve McGregory表示:“網(wǎng)絡(luò)犯罪分子可以輕易地變換和改寫勒索軟件代碼,并足以成功逃避殺毒軟件的特征庫匹配。這些勒索軟件的變種被稱為“零日突變”,即一旦被識別,勒索軟件的簽名便可以被更新并公布,因此防病毒軟件將需要幾天的時間來屏蔽新的變種。而在此期間,企業(yè)機(jī)構(gòu)仍易受到攻擊,網(wǎng)絡(luò)犯罪分子往往會繼續(xù)乘虛而入為其謀利。”
McGregory舉例:“當(dāng)WannaCry勒索軟件發(fā)動攻擊時,一旦網(wǎng)絡(luò)中有一臺機(jī)器被感染,勒索軟件將通過搜索附近的微軟windows系統(tǒng),判斷其是否存在SMB MS17-010漏洞,并進(jìn)行傳播。盡管該漏洞于今年3月剛被修復(fù),但許多計算機(jī)仍然沒有打過補丁。據(jù)本次事件報道,英國國家健康服務(wù)中心90%的計算機(jī)系統(tǒng)仍在使用Windows XP系統(tǒng)。而微軟已經(jīng)停止對XP進(jìn)行支持的舉措將導(dǎo)致入侵更簡單,且更具有破壞性。”
Ixia表示,如果企業(yè)機(jī)構(gòu)打算抵御勒索軟件的攻擊,需要掌握三大核心原則:
1. 追根溯源
勒索軟件感染鏈通常始于一個帶有惡意附件的釣魚郵件,其附件通常包含宏文件(macro)。即使對于安全沙箱來說這個宏似乎都毫無風(fēng)險,但打開該文件時,宏就會被激活,并通過互聯(lián)網(wǎng)連接攻擊者的遠(yuǎn)程服務(wù)器,將勒索軟件有效載荷下載到本地。此外,該宏還可以在下載過程中進(jìn)行文件變換。因此,直到在它實際進(jìn)入主機(jī)之前,都實則看似無害。
2. 對癥下藥
如果只將關(guān)注點放在審查文件載荷的內(nèi)容,這樣的防御措施往往徒勞無功。由于基于電子郵件的宏往往無法被發(fā)現(xiàn),因為在檢測過程中它們并不會表現(xiàn)出惡意行為,所以即便是最先進(jìn)的安全沙箱也束手無策。事實上,這些文件載荷在實際被下載到電腦中并開始加密文件之前,看起來都沒有惡意,所以各企業(yè)機(jī)構(gòu)應(yīng)探查感染來源,而非僅僅耽于表象。
3. 阻止感染
在勒索軟件感染的最后階段,文件載荷將從已知的惡意IP進(jìn)行發(fā)送。由于IP地址相對稀少,同一個“惡意”地址往往會被重復(fù)使用。即使全新的惡意軟件變種也可能復(fù)用一小段已經(jīng)暴露的惡意IP地址。
這意味著,如果某個企業(yè)的網(wǎng)絡(luò)內(nèi)有一臺電腦試圖從一個已知的惡意IP地址下載文件,它們通常處于勒索軟件攻擊的初始階段,所以也就沒必要檢測正在試圖進(jìn)行下載行為的宏文件,或者正在下載的內(nèi)容。
因此抵御攻擊的最直接,且經(jīng)濟(jì)的方法是:自動阻斷所有企業(yè)內(nèi)網(wǎng)中,試圖連接已知惡意IP地址的行為,并且這個惡意IP地址庫需要通過收集威脅情報進(jìn)行持續(xù)更新。這會使大部分已有攻擊甚至新的攻擊無功而返。
“各企業(yè)不能再對勒索軟件的威脅視而不見。如果僅將這些數(shù)據(jù)保存在受攻擊影響的系統(tǒng)中,而沒有備份關(guān)鍵數(shù)據(jù),那么無論是經(jīng)濟(jì)影響還是企業(yè)聲譽都將付出無法想象的代價。客戶數(shù)據(jù)、財務(wù)記錄和其他無法替代信息的丟失將可能導(dǎo)致業(yè)務(wù)停滯,并留下永久性的空白” McGregory總結(jié)。