有两个人在树林里,他们遇到了一只熊。第一个人跪下祈祷;第二个人开始系鞋带。第一个人问第二个人:“我亲爱的朋友,你在做什么?你不可能跑得过熊。”第二个人回答说:“我不需要。我只要跑得过你就行了。" - "模仿游戏

ICYMI,本周末,勒索软件袭击了美国一条主要输油管道这导致了过去三天的停工。殖民管道将继续关闭一段时间,因为该组织正在“制定“系统重启”计划的问题。关键基础设施和供应链(由于大流行已经很脆弱)继续受到勒索软件攻击,要么是有意的,要么是故意的无意中.这有一些下游影响在供应链上,由于这些供应商所依赖的许多公司也试图复苏,导致复苏时间变得更长。

勒索软件最终会扰乱业务

这次袭击发生在勒索软件攻击造成严重后果的一年在全球范围内,尤其是那些针对医疗保健机构的攻击。这场游戏的名称是:商业颠覆。关键基础设施提供商正成为勒索软件攻击的目标,因为当受到勒索软件攻击时,他们需要在无限期暂停关键业务流程或暂停关键业务流程之间做出选择支付赎金.在不确定的时间内关闭关键资源对企业来说根本不是一个可持续的选择,它会把受影响的提供商逼到一个角落,他们唯一的选择就是付钱。

联邦政策终于摆上台面

由Colonial pipeline运营的管道提供了东海岸消耗的45%左右的燃料,使其成为美国的一个巨大供应商。这将这次袭击上升为潜在的国家安全威胁美国政府宣布进入紧急状态停工的时间。这表明,在谈到网络攻击对国家的影响时,公共部门和私营部门之间的界限仍然模糊。

拜登政府已将确保联邦网络安全防御作为首要任务计划通过立法甚至在这次袭击发生之前。随着这些攻击变得越来越频繁,人们在一定程度上预期,最终这项立法可能会渗透到私营部门,特别是金融、制药、能源等关键部门,这些部门可能需要具有一定程度的信息安全成熟度(例如美国国防部网络安全成熟度模型认证CMMC,它目前使用的任何承包商都需要)。

现在你能做些什么?

正如上面的引用和这篇博客的标题所表明的,网络罪犯遵循奥卡姆剃刀;他们在寻找最简单的赚钱方法。就连这起事件中的袭击者也公开表示,“我们的目标是赚钱.”

那么,面对未来的勒索软件攻击,安全专家现在需要做些什么来降低他们的风险呢?跑过你旁边的人。

说话克里斯·克雷布斯的宝贵建议从今天早上开始,每个组织的安全专业人员都应该立即实施这些快速胜利,以限制勒索软件攻击的影响:

  • 使用强密码。没有password12345在你的组织中有任何业务。建立一个密码策略,在默认情况下强制使用强密码。
  • 检查备份。确保您拥有组织无法缺少的数据备份。测试您的备份是否包括您所关心的内容,并测试它们是否成功恢复。备份是最后一道防线,非常重要。
  • 实现易于使用且普遍的多因素身份验证(MFA)。这应该是进入您的基础设施的入口点,无论是您的身份提供者(Azure AD, ADFS, Okta, Ping等)和您的VPN (Pulse Secure, Cisco AnyConnect等)的组合还是其他。这避免了被盗登录/凭据容易被用来窃取数据并感染您的组织的问题。
  • 立即保护特权帐户。在大多数此类攻击中,我们继续看到域管理员帐户或其他类型的特权帐户几乎存在于每个端点上,或拥有访问关键应用程序的权限,这为攻击者提供了横向移动的简单方法。对这些类型的帐户进行盘点,并在可能的情况下删除它们。只有在必要时才赋予员工本地管理权限——这绝不应该是默认的。
  • 更新而且测试您的事件响应计划。你的反应计划需要包括当您不可避免地感染勒索软件时会发生什么,以及后续计划是什么——这应该包括您的技术和业务部门。它还需要包括当你不可避免地被击中时,你将联系谁寻求帮助,这可能是你的MSSP或其他事件响应组织你有预付金。
  • 确保端点上的端点保护和安全策略是最新的并得到执行,并且保护是最新的启动并工作我们无法告诉你有多少次我们看到一些组织禁用了实时保护,或者他们最近一次更新反病毒定义是在几周前,或者他们打开了云保护但它不起作用,因为它无法进入互联网。与端点保护供应商交谈,询问他们有关适当的运行状况检查,以确保这些产品已按预期安装、打开并工作。
  • 确保你的设备定期打补丁。对关键资产(如位于DMZ上的VPN集中器或服务器等外部设备)进行优先级排序。最终,您的组织应该减少为软件和操作系统打补丁所需的时间,因为每月的补丁周期并不能解决攻击者移动的速度和工作的远程性质。
  • 在您的电子邮件网关中阻止不常见的附件类型。你的员工不应该收到以.exe, .scr, .ps1, .vbs等结尾的附件。微软实际上在Outlook中默认屏蔽了很多这样的程序,但你应该看看你的邮件安全解决方案并确保它们只在例外情况下被允许。

从长远来看,我们知道我们一直以来的做事方式行不通。重点从基于边界的安全体系结构转移到建立在零信任的基础上有效地限制横向移动,并控制多种类型攻击(网络钓鱼、恶意软件、供应链等)的爆炸半径。请看我们的报告。”零信任缓解勒索软件,以深入了解零信任架构如何防范勒索软件攻击。

关于勒索软件你还有什么问题吗?你对勒索软件有什么看法?我们正在对这一主题进行研究,为安全专家提供规范性建议。请与我们联系,分享您的观点。