我相信GLaDOS(来自电子游戏《传送门》系列的邪恶AI)可能试图用她的歌来表达关于安全状况的观点。还活着。”《传送门》中虚构的人工超级智能计算机系统曾唱道:“但为每一个错误哭泣是没有意义的。你只要不停地尝试,直到你把蛋糕吃完。”我很确定她是在描述我们如何继续成为我们自己最大的敌人,因为我们天生就相信我们的供应链,直到没有什么可以摧毁。

我们非常信任我们的组织——系统、合作伙伴和供应商——来部署软件和监控网络性能打补丁(包括系统和软件),购买软件/硬件,以及执行许多其他任务。最近的一次勒索软件攻击使用了这样一个系统,成功地锁定了数千家受害公司。

在这个最新的例子中,攻击者瞄准了Kaseya VSA IT管理软件,该软件旨在允许IT管理员监控系统、自动化日常任务、部署软件和补丁系统。攻击者能够利用零日访问产品的客户实例并使用其原生功能将勒索软件部署到这些客户终端。

更复杂的问题是,托管服务提供商(msp)使用Kaseya软件来管理其客户环境。当攻击者侵入Kaseya时,msp无意中不知不觉地将勒索软件传播给了他们的客户。

这只是攻击者如何继续以独特的方式滥用信任的一个例子,这让许多安全和IT从业者想知道,“为什么这样的事情没有早点发生?”

攻击者越来越大胆

勒索软件组织REvil继续变得更加大胆。毫无疑问,像我们对Kaseya的攻击是有针对性的,目的是对最多的目标造成最大的伤害。袭击一发生,他们就吹嘘自己感染了不止一百万台设备,赎金要求七千万美元.我如果一个组织付钱,他们承诺解密器将在所有受影响的组织中工作。

这揭示了我们正在看到的一个令人不安的趋势,攻击目标正从单个组织转向利用Kaseya或SolarWinds等平台,这些平台允许多个组织受到影响。攻击者继续研究我们都依赖的工具,以找到滥用本机功能来有效执行攻击的方法。这次最新的攻击滥用了微软防御者的旧拷贝,允许侧面加载其他文件。

软件从上到下都是脆弱的

“说实话。我们都不知道那东西是干什么的。把它放在角落里,我一会儿来处理。——GLaDOS

组织所依赖的所有工具——例如税务软件、石油管道传感器、协作平台,甚至安全代理——都是建立在相同的易受攻击的代码、平台和软件库之上的,您的漏洞管理团队正在山上尖叫着立即修补或更新这些代码、平台和软件库。

组织需要对他们的供应链合作伙伴、供应商和其他人负责解决他们构建的软件中的漏洞在这个纸牌屋之上,以及了解他们通过在其环境中部署上述软件所面临的风险。

比别人跑得快;现在就采取防御措施

在我们的博客中,勒索软件:通过逃脱你旁边的人来生存Allie Mellen和我讨论了通过强化系统使您的组织成为一个硬目标来防止勒索软件。供应链攻击通过利用您对系统的信任绕过防御。为了防止它们,你必须仔细检查你对供应链的固有信任。

首先,组织应该列出在其环境中占有很大地位的关键合作伙伴的清单,例如用于协作/电子邮件的供应商、管理和监视基础设施的msp,或者可能将代理部署到每个系统的安全提供商。编制清单后,你应该:

  • 问问这些伙伴,他们正在做什么,以防止你成为破坏性攻击的下一个受害者。询问将更新推送到您的环境的浇注过程。他们如何在发布前进行QA更新?询问解决方案提供商如何保护他们的代码,并评估这些代码的漏洞。
  • 看看他们是否有适当的流程和架构来防止我们在最近的攻击中看到的横向移动类型。询问他们如何保护自己的环境,特别是更新服务器。要求查看第三方评估人员的审核或评估结果。
  • 检查你的服务协议找出这些合作伙伴在保护你免受勒索软件和恶意软件侵害方面承担的合同责任。如果您是由于服务提供商的系统被用作交付工具而受到攻击的受害者,请了解您有哪些权利要求赔偿。

Forrester在我们的报告中涵盖了第三方风险今年的最佳推荐组织应该采取积极的措施来实施其中的一些我们之前在博客上写过关于勒索软件的规定性建议以及看看一些我们收集了更多的勒索软件资源来限制攻击的爆炸半径。

如果Forrester的客户对本文所述内容有任何疑问,请与我们联系安排查询和我们在一起。