为什么网络卫生和人为因素仍然是勒索软件的主要关注点?

2021-04-12 09:04:55 云杰 126

  组织应采取哪些步骤来防御DearCry等勒索软件?

09f7baead6d9734e0058a7f9e0b2bf4.png

  DearCry勒索软件是一个新的恶意软件活动,威胁行为者正在利用中的已知漏洞来安装勒索软件。勒索软件已被识别为DoejoCrypt / DearCry。

  德里克(Derek) -在使安全专业人员彻夜难眠的攻击类型中,它肯定是勒索软件,并且威胁没有迹象表明速度变慢。我们最新的《全球 威胁态势报告》 显示,与前六个月相比,勒索软件的活动在2020年下半年跃升了惊人的七倍。

  最近的 DearCry勒索软件 试图利用漏洞表明,一旦披露了一个备受关注的漏洞,网络犯罪分子将尝试最大程度地利用机会。今天是DearCry,其他活动也将在稍后跟进。

  目前,对于任何拥有服务器的组织来说,第一步都是采取调查性步骤,以检查是否存在破坏和修补的迹象。Microsoft已 发布了针对这些漏洞的补丁程序。

  道格拉斯-我同意。随着新的零日漏洞的数量增加,以及利用这些零日漏洞的水坑攻击的数量,下一个大漏洞可能是访问网站。即使采用了最新的安全控制措施,如果您的零日违规行为,也将不得不依靠强大的网络安全计划的所有三个支柱(人员,流程和技术)来在威胁消除时立即识别出威胁。出去。反利用和 EDR (端点检测和响应)解决方案是在端点设备上迁移到网络然后在下游共享该信息之前在端点设备上发现恶意软件的出色工具。一个ISFW(内部分段防火墙)然后可以应用动态分段来隔离主机。和 SOAR (安全编排,自动化和响应),可以快速创建围绕新收集到的情报调控措施。

  现实是,勒索软件不是复杂而复杂的恶意软件。勒索软件和许多其他类型的恶意软件利用了这些漏洞。从本质上讲,零日漏洞很难防范,因此,修补关键漏洞非常重要。漏洞发布后,通常只有很短的时间就可以将其武器化,并且其代码会泄漏到Internet上。接下来会发生多个攻击者试图创建恶意软件或恶意软件代码的情况,其他攻击者可以使用这些恶意软件或恶意软件代码将其合并到Web Shell中以进行远程利用,勒索软件或其他攻击。

  但是,这实际上使它变得更加危险,因为攻击者必须具备的知识门槛很低,这意味着可以从Internet下载勒索软件工具包,并以最少的编程知识对其进行修改。从数量上讲,还有其他威胁可能更普遍。但是基于勒索软件对组织的影响,勒索软件是主要威胁,因为勒索软件攻击可以完全关闭企业。

  Aamir-一些组织很难修补设备。当带外补丁程序(有时是最关键的补丁程序)发布时,组织必须将资源转移到调查和测试补丁程序上。用户通常具有对其系统的管理权限,以减轻管理和IT支持人员的负担和成本,但是这使得自动化补丁和更新变得困难。在大型移动环境中,由于地理差异等原因,很难使用户应用补丁。但是,如果要解决这些问题,大多数勒索软件将根本无效。

  德里克(Derek) -对于勒索软件而言,问题不仅仅在于意识,它还源于人类行为。意识和行动是两个截然不同的事物。除了针对所有人的广泛刷式攻击之外,电子邮件还被巧妙地写为针对组织中特定类型的个人,直接或通过将网络钓鱼电子邮件插入活动电子邮件线程中的技术来增加其可能性单击,称为电子邮件线程劫持。但是,无论目标是谁,每个人都容易受到精心制作的电子邮件的影响,而这时他们只是分散了注意力而没有引起注意。

  问:您如何看待勒索软件在2021年的发展?

  德里克-越来越有针对性的勒索软件攻击,而且我预计会变得更糟的是,这些勒索软件攻击从运营和监管的角度来看,使企业蒙受更多损失。攻击者一直在注意安全性中最薄弱的环节。可能是人员,技术,供应链或不良的网络卫生。网络攻击者喜欢沿着阻力最小的路径,例如水流–找到他们可以滑过的裂缝。现在,一般而言,恶意软件和勒索软件攻击是完全不同的游戏,因为这些攻击是针对特定内部系统的攻击,并且是针对特定内部系统而专门设计的。导致对企业和企业组织的攻击不断增加的另一个因素是勒索软件即服务(RaaS)产品的现成可用性,我几年前曾预测,随着勒索软件的发展,这种情况将会发生。赎金的目标将变得更高。这意味着,风险在不断上升–赎金变得越来越有针对性,这意味着网络犯罪分子将获得更高的报酬模型。

  道格拉斯(Douglas) -是的,但我也相信,我们仍然可能会看到另一种大规模的勒索软件利用,例如我们在WannaCry中所经历的,只是因为那里存在着更多的可蠕虫漏洞。这只是时间问题。最近的DearCry勒索软件试图利用Microsoft Exchange Server漏洞是引起全球关注的最新示例。

  Aamir-我认为勒索软件攻击将会增加。IT中有许多人比以前承受更大的压力和更大的压力。此外,其他行业(如医疗保健以及某些类型的制造和运输)在保持网络正常运行方面所承受的压力比以前更大。攻击者知道,这些行业宁愿支付赎金,也不愿处理其运营中的任何放缓或停工。如果远程工作人员的设备受到威胁,则可以成为返回组织核心网络的渠道,从而使恶意软件传播到其他远程工作人员。