Gartner发布准备应对勒索软件攻击指南：勒索软件攻击的三个阶段及其防御生命周期

攻击者改变了策略，在某些情况下转向勒索软件。安全和风险管理领导者必须通过提高检测和预防能力来为勒索软件攻击做好准备，同时还要改进其事后应对策略。

主要发现

• 勒索软件（无加密的数据盗窃攻击）是攻击者越来越多地使用的策略。

• 攻击者正在挖掘泄露的数据来识别其他潜在的收入来源。

• 网络钓鱼、对面向公众的基础设施的远程攻击以及未经授权的远程桌面连接仍然是勒索软件渗透的主要来源。

• 勒索软件攻击后的恢复成本和由此导致的停机时间以及声誉损害的成本可能高达赎金本身金额的 10 倍。

建议

安全和风险管理领导者必须关注勒索软件攻击的所有三个阶段：

• 通过构建事前预防策略，包括工作区和终端保护、数据保护、不可变备份、资产管理、最终用户意识培训以及强大的身份和访问管理，为勒索软件攻击做好准备。

• 通过部署基于行为异常的检测技术来识别勒索软件攻击，从而实施检测措施。

• 通过培训员工和安排定期培训练习来培养事故后响应技能。

• 制定包含遏制策略的事件响应计划，并通过勒索软件手册进行增强。

介绍

勒索软件继续对组织构成重大风险。最近的攻击已从自动传播攻击演变为更有针对性的人为操作活动。我们现在看到攻击者不再加密数据，而是仅仅依靠被盗数据的价值来索要赎金以“销毁”被盗数据集的事件。

最近的勒索软件活动已成为“人为操作的勒索软件”，其中攻击由操作员控制，而不是自动传播。此类攻击通常利用众所周知的安全漏洞来获取访问权限。例如，最近的许多勒索软件事件被认为是由配置不当或易受攻击的远程桌面协议（RDP）配置或不良的身份和访问管理（IAM）实践开始的。之前被泄露的凭据也被用来获取系统访问权限。这些可以通过初始访问代理或其他暗网数据转储获得。

这些攻击对组织的影响已经加大，甚至导致一些组织倒闭，在医疗保健领域，生命也处于危险之中。安全和风险管理领导者需要适应这些变化，并不仅仅关注终端安全控制来防范勒索软件。

恶意活动的第一个证据和勒索软件的部署之间的中位停留时间正在减少。最近的一份报告指出，超过 50% 的活动在首次访问后一天内就被部署了勒索软件。

图 1 描述了勒索软件防御生命周期。多年来，网络安全界一直在说“问题不在于是否会受到攻击，而在于何时受到攻击。” 安全和风险管理领导者必须检查所有这些阶段，并确保分配足够的时间和精力来准备、防御和预防事件，同时进行必要的检测、响应和恢复活动。

图 1：勒索软件防御生命周期

分析

制定事前准备策略

安全和风险管理领导者应假设勒索软件攻击会成功，并确保组织准备好尽早检测、以最小的影响遏制威胁并尽快恢复。快速检测和遏制勒索软件攻击的能力将对由此造成的任何中断或中断产生最大的影响。

第一个也是最常见的问题是“应该支付赎金吗？”最终，这必须是一项业务决策，需要在行政人员或董事会层面上做出，并提供法律建议。执法机构和安全从业人员建议不要付款，因为这会鼓励持续的犯罪活动。在某些情况下，支付赎金可能被视为非法，因为它为犯罪活动提供了资金。无论如何，讨论需要进行。然而，有几个组织在勒索软件事件期间与执法部门合作并决定付款，因为这是对其业务的最佳选择。

如果考虑付款，那么建立一个包括首席执行官、董事会和关键运营人员在内的治理和法律流程非常重要。不建议组织在没有指导的情况下与攻击者进行谈判。这通常由第三方谈判服务提供商完成。除了作为主要谈判者之外，这些公司还有能力促进支付，并且在许多情况下消除企业维护加密货币的要求。

需要注意的是，即使支付了赎金，也不能保证数据会被恢复。由于加密过程中数据损坏以及数据本身被盗，加密的文件可能无法恢复。

良好的备份流程和策略是勒索软件后数据恢复的主要防线。确保备份解决方案能够抵御勒索软件攻击，并持续监控备份的状态和完整性。特别是，大多数备份供应商提供了一种机制来创建备份的不可变辅助副本或不可变快照。

恢复不仅仅是恢复数据。勒索软件将有效地锁定带有勒索软件注释的计算机，并且将计算机恢复到已知的良好状态可能比恢复数据更复杂。拥有将终端恢复到黄金映像的工具和流程可以加快恢复时间。一些组织在远程和海外地点使用 USB 设备。 Gartner 有时会发现客户甚至不尝试清洁或恢复机器。相反，勒索软件事件被视为刷新硬件的原因。无论什么过程，都应该定期进行模拟以发现缺陷。

用户的安全意识也很重要。不断地向用户介绍所见攻击的类型，并通过定期告警和安全“时事通讯”来加强教育。创建一组定期重复的简单安全消息。警惕的用户不仅不会陷入社交工程的陷阱，还可以起到早期预警的作用。尤其要确保用户定期接受如何识别恶意电子邮件的培训。提供一种简单的机制来报告可疑电子邮件，并通过确认用户做了正确的事情来强化它。考虑以电子邮件为中心的安全编排自动化和响应 (SOAR) 工具，例如包含电子邮件安全的 M-SOAR 或扩展检测和响应 (XDR)。这将帮助自动化并改进对电子邮件攻击的响应。

安全卫生对于防范“人为操作”勒索软件至关重要，并且需要对整个组织进行整体了解。 SRM 领导者应将以下行动纳入其防御勒索软件战略的一部分：

• 建立可靠的资产管理流程，以确定需要保护的内容以及责任人。应特别注意遗留系统。

• 实施基于风险的漏洞管理流程，其中包括威胁情报 (TI)。勒索软件通常依赖未打补丁的系统来允许横向移动。漏洞管理应该是一个持续的过程。与漏洞相关的风险会随着攻击者的利用而发生变化。

• 实施宏观和微观网络分段，以创建更细粒度的网络分段，以最大限度地减少未来勒索软件攻击对网络的影响范围。

• 构建并执行零信任策略，以降低攻击者滥用环境中的隐式信任来实现横向移动、利用可用漏洞并获得权限升级来部署勒索软件的风险。

• 对配置错误和不合规的系统实施合规性扫描，以及入侵与攻击模拟 (BAS) 工具。

• 实施安全配置管理流程，以确保对已部署的安全控制进行一致且持续的评估。评估自动安全控制评估 (ASCA) 工具。

• 删除用户在终端上的本地管理权限，并限制对最敏感的业务应用程序（包括电子邮件）的访问，以防止帐户泄露。

• 阻止访问命令提示符，并阻止在所有用户终端上执行 PowerShell 脚本。

• 为特权用户（例如数据库和基础设施管理员以及服务帐户）实施强身份验证。记录并监控活动。攻击者通常会使用已知的、检测到的恶意软件来获取更高权限的帐户凭据。

• 订阅暗网监控服务，以防止“相似”域名、凭证转储和与数字资产相关的访问权限出售。

实施检测措施来识别勒索软件攻击

不可避免的是，勒索软件可能会突破防御和保护措施。那么问题就变成了能够多快地发现事件。所描述的许多用于保护的工具还将提供用于检测的数据和监控数据。特别是，身份威胁检测和响应 (ITDR)、终端检测和响应 (EDR) 以及网络检测和响应 (NDR) 工具会收集危害指标 (IOC) 和事件，提醒可能表明攻击的异常行为“可能”正在进行中。EDR 还可以帮助识别“挖掘”，即攻击保持安静，同时收集进一步受损的帐户和权限。

对这些IOC和事件的理解、解释和调查往往需要更高水平的专业知识。越来越多的人将其作为终端保护平台 ( EPP) 解决方案的一部分或更广泛的托管检测响应 (MDR) 或 XDR 解决方案进行购买。使用这些服务对于没有员工或技能来拥有自己的安全运营中心 (SOC) 的组织来说可能是有益的。

保护组织免受这些攻击不仅仅是中终端保护，还包括许多不同的安全工具和控制。勒索软件攻击通常遵循图 2 所示的攻击模式。

图 2：勒索软件攻击剖析

一旦检测到勒索软件攻击，最大限度地减少影响至关重要。最常用的技术是隔离。隔离技术有很多种，大多数 EDR 工具都提供设备上隔离功能，使事件响应者能够将计算机与网络的其他部分隔离，同时允许远程访问以进行修复。

基于网络的隔离更像是一种生硬的工具，需要禁止可疑设备。这适用于 VPN、SSE 和 NAC 控制的网络基础设施，例如交换机和接入点。作为最后的手段，组织疯狂地拔掉网络电缆。但是，这可能会减慢恢复阶段，因为它需要对设备进行物理访问才能进行修复。

攻击从入口开始——即攻击的初始点。这通常采取通过网络钓鱼或有针对性的攻击提供的受损网站的形式，并且可能包括通过凭证转储获得的访问权限或通过访问代理购买的访问权限。安全电子邮件网关 (SEG) 和安全 Web 网关 (SWG) 可以帮助提供额外的保护层。网络隔离等技术也可以限制影响。如前所述，另一种常见的攻击方法是通过易受攻击的 RDP 端口。攻击者使用 RDP 帮助通过网络进行横向移动。渗透测试可以有效地发现防御漏洞。

其他安全工具也在检测阶段发挥作用。安全信息事件管理(SIEM)、ASCA、ITDR 和 NDR解决方案可以帮助提供早期检测。欺骗工具也可能很有效。这可以像设置从未实际使用过的虚假“管理”帐户一样简单，这样，如果尝试使用它，就可以发送告警。其他类型的诱饵，例如欺骗平台和蜜罐，也可以作为勒索软件防御策略的一部分进行部署。监控工具可以识别何时触发存储加密或何时发生重大数据泄露事件。

除了来自安全工具的 IOC 和警报之外，查看未发生的情况也很重要。如果更改或停止备份计划，备份量或更改率会意外增加。在某些计算机上禁用卷影副本，或者计算机上不再运行安全工具，可能表明攻击者位于组织内部。

攻击者可能会花几天到几个月的时间挖掘自己并在您的网络中获得横向移动。受感染的机器通过命令和控制通道接收指令。 DNS 安全、安全 Web 网关和 NDR 解决方案可以检测并阻止这些通道。终端防火墙、网络分段以及强大的漏洞和补丁管理都将有助于限制攻击者能够实现的目标。

EPP、EDR 和移动威胁防御 (MTD) 解决方案应作为防御的一部分。如果内部团队没有必要的技能或带宽，请通过托管服务补充 EDR。

SRM 领导者应根据攻击者使用的模式和技术调整其安全策略。 MITRE ATT&CK 框架可用于评估组织对每个阶段的保护并对其进行评分。 MITRE在其网站上还提供了 MITRE Engage，这是一个用于规划和讨论对手交战行动的框架。

基础设施即服务 (IaaS) 和平台即服务 (PaaS) 环境同样容易受到勒索软件攻击。从概念上讲，这些应该以同样的方式解决。改变的是必须执行的战术活动来隔离受影响的设备或网段。

通过培训员工和安排演习来建立事件前后和事件后响应程序

安全和风险管理领导者最终必须为勒索软件攻击的成功做好准备，并制定适当的计划、流程和程序。这些计划需要包括 IT 方面以及内部员工、合作伙伴和供应商的沟通计划。安全和风险管理领导者必须快速、清晰地传达该问题，这一点非常重要。定期更新状态以及系统何时恢复到可用状态。多种网络危机模拟工具可以帮助识别程序、角色和责任方面的差距。

这些计划会根据勒索软件攻击的程度和成功程度而有所不同。它可能只是组织的一小部分，而且影响可能很小。对于更大规模的攻击，影响可能超出组织范围，影响到客户和合作伙伴。作为准备工作的一部分，定期进行消防演习或桌面练习来演练应对措施可能会有所帮助。理想情况下，这些练习将涵盖所需的业务和技术响应活动。

恢复进行后，收集足够的信息以了解攻击的根本原因并了解哪些控制失败或未到位。同样，专业的数字取证和事件响应服务在此分析中发挥着重要作用。一旦系统恢复，落实吸取的经验教训并将其反馈到准备阶段至关重要。

开发勒索软件手册

勒索软件与任何其他安全事件不同。它让受影响的组织进入倒计时器。决策过程中的任何延误都会带来额外的风险。

在勒索软件事件期间，企业领导者将被迫在信息很少的情况下做出重大决策。

需要分配其他角色（例如计时员）。计时员负责根据勒索软件需求跟踪剩余响应时间。忘记时间可能会导致数据公开泄露和赎金金额增加。

还应包括做出“付费/不付费”决定的指导。需要识别勒索软件谈判公司等第三方服务，并提供必要的联系信息。勒索软件手册提供了解决勒索软件事件的说明性指导。

了解组织在监控、检测和响应安全事件方面的局限性。许多组织需要帮助来减轻、检测攻击并从中恢复。专业的事件响应团队可以发挥重要作用，并且拥有适当的事件响应人员可以降低成本并提高响应速度。

战术恢复步骤会有所不同，具体取决于组织和勒索软件的范围，但将涉及：

• 从备份中恢复数据，包括验证这些备份的完整性并了解哪些数据（如果有）已丢失。

• 一旦受到威胁，使用 EPP 和 EDR 以及 MTD 解决方案作为补救响应的一部分来消除和隔离威胁。恢复不仅仅是恢复数据。受感染的机器可能被“锁定”并且可能需要物理访问。在准备阶段，了解并计划如何实现这一目标非常重要。

• 在允许设备返回网络之前验证设备的完整性。

• 更新或删除受损的凭据。如果没有这个，攻击者将能够再次进入。

• 对发生的事情和发生的方式进行彻底的根本原因分析，包括对任何已被泄露的数据进行核算。当攻击者威胁要发布被盗信息时，人肉搜索就会发生。如果受害者决定不支付赎金，这正日益成为一种次要的勒索方法。

• 引进专家——你无法独自完成这件事。