從 IT 管理員、首席信息安全官、首席執(zhí)行官到政府，預防勒索軟件攻擊是每個人的首要任務。雖然這不是一個新問題，但一系列高技術含量且毀滅性的勒索軟件攻擊已將全世界的注意力重新集中在它身上。

　　與此同時，攻擊者只會變得越來越復雜，這使得企業(yè)在造成無法彌補的損害之前制定全面的預防和保護策略變得比以往任何時候都更加重要。

　　勒索軟件的攻擊威力仍然巨大

　　2021 年 3 月，對紐約布法羅公立學校系統(tǒng)的勒索軟件攻擊導致該學區(qū)關閉一周。當月，一家臺灣 PC 制造商也受到攻擊，并被攻擊者索要 5000 萬美元的贖金。據(jù)彭博社報道，美國最大的保險公司之一CAN也遭到勒索軟件攻擊，并向攻擊者支付了4000萬美元的贖金。由于勒索軟件攻擊對其醫(yī)療服務造成重大破壞，愛爾蘭公共衛(wèi)生服務部門關閉了其 IT 系統(tǒng)。類似的攻擊趨勢持續(xù)存在，Colonial Pipeline 襲擊使美國東海岸大部分地區(qū)的燃料供應中斷了數(shù)天，而美國主要牛肉制造商 JBS 則停止了幾天的運營。

　　為應對這種前所未有的勒索軟件攻擊激增的情況，美國政府發(fā)布了一項關于改善國家網絡安全的行政命令，并正在組建一個跨機構工作組，以全面應對針對美國企業(yè)和政府的勒索軟件攻擊。響應包括開發(fā)識別、阻止、防御、檢測和響應勒索軟件攻擊的能力。對策包括積極破壞負責勒索軟件攻擊的網絡犯罪活動、解決使用加密貨幣支付贖金以及強制采取更好的安全方法來阻止攻擊等策略，包括采用零信任架構（Zero Trust Architecture）。

　　攻擊者如何獲得初始訪問權限

　　為了預防勒索軟件攻擊，以及與此相關的大多數(shù)其他惡意軟件攻擊，防御者必須阻止攻擊者在網絡上建立立足點的企圖。因此，終端安全預防、檢測和補救成為一種關鍵策略。

　　一般來說，攻擊者通常使用以下兩種策略之一來獲得對網絡的初始訪問權限：

　　1.成功利用受害者網絡中的漏洞。利用漏洞意味著找到可被操縱以部署惡意代碼的軟件漏洞或錯誤，或者發(fā)現(xiàn)將為攻擊者提供部署代碼的入口點的錯誤配置。例如，此類漏洞可能通過云資源的錯誤配置或通過第三方依賴項而發(fā)生，這可能導致供應鏈攻擊的發(fā)生。

　　2.獲得對有效帳戶的未授權訪問。通過社會工程竊取用戶帳戶的憑證來實現(xiàn)對有效帳戶的未經授權訪問。

　　在勒索軟件攻擊通過更容易的訪問而激增的環(huán)境中，采用傳統(tǒng)安全套件和以往策略的防御者正在努力確保他們的數(shù)據(jù)安全。在不改變他們的方法的情況下，狡猾的攻擊者將繼續(xù)尋找漏洞來發(fā)起攻擊。

　　通過多重方法預防勒索攻擊

　　下一代身份和基于 AI 的終端保護提供了更好的解決勒索軟件的解決方案。傳統(tǒng)的較早一代解決方案（例如基于密碼的身份驗證或基于 AV 簽名的終端保護）在阻止現(xiàn)代勒索軟件方面存在嚴重漏洞。由于預防的目的是阻止最初的滲透，就讓我們具體分析一下這些現(xiàn)代安全解決方案如何在對抗勒索軟件的過程中提供新的武器。

　　策略1：部署預防對用戶身份驗證的攻擊

　　許多成功的勒索軟件攻擊通過破譯或竊取屬于有效帳戶的憑據(jù)，在受害者的網絡上獲得初步立足點。為了有效地預防這種情況，需要強大的用戶身份驗證憑證，以保證難以被猜測到、破壞或竊取的憑證。

　　例如，在今年早些時候對 Colonial Pipeline 的成功攻擊中，對有效帳戶的訪問為攻擊者提供了初始訪問權限。同樣，MAZE 和其他人為操作的勒索軟件的攻擊入口點通常是通過 RDP 訪問的面向互聯(lián)網的系統(tǒng)的被盜密碼，或使用弱密碼登錄 Citrix網站門戶賬戶。

　　傳統(tǒng)的多因素身份驗證 （MFA） 方法有助于解決密碼固有的安全漏洞，但它們從根本上仍然依賴于人類用戶必須記住和了解的內容，而基于手機的方法并非 100% 安全。更重要的是，MFA 增加的安全性伴隨著擁有和運營解決方案的巨額成本，這導致了用戶的嚴重焦慮。

　　無密碼 MFA 可預防憑據(jù)盜竊并使攻擊者無法猜測密碼。無密碼 MFA 使用多種身份驗證因素，但不包括傳統(tǒng)密碼。無密碼 MFA 最常用的身份驗證因素是用戶注冊的移動設備，以及通過設備內置指紋傳感器提供的用戶 PIN 或指紋。通過消除對傳統(tǒng)密碼的需求，安全性立即得到改善，用戶體驗得到簡化，成本得到控制。

　　策略2：立即檢測、隔離和刪除勒索軟件

　　實際上，采取適當?shù)念A防措施并不能保證攻擊者永遠不會成功滲透并獲得對用戶設備的訪問權限。因此這道防線應該是是自動的、機器速度的保護、檢測和響應機制，它可以在任何下游數(shù)據(jù)丟失、財務損失或時間投資發(fā)生之前，檢測并包含終端級別的可疑活動。

　　現(xiàn)代擴展檢測和響應 （XDR） 解決方案實時監(jiān)控本地進程并詳細分析其行為，從而可以識別具有非常高特異性的惡意代碼并立即采取緩解措施。這樣，無論是從本地內存還是遠程執(zhí)行，攻擊都會在攻擊開始的那一刻停止。

　　從技術角度來看，緩解的選項各不相同。根據(jù)環(huán)境和組織政策，系統(tǒng)可以刪除代碼的源代碼、終止所有相關進程、隔離可疑文件，或將受影響的端點與網絡完全斷開。

　　阻止正在進行的攻擊是任何 XDR 解決方案中最重要的工作，但它的作用并不止于此。在采取關鍵步驟阻止正在進行的攻擊后，IT 和安全團隊必須獲得詳細的取證視圖，其中包括惡意軟件活動的時間線、入口點和攻擊向量，以及所有受影響文件和網絡的列表。然后，管理員可以分析攻擊，以更好地為未來的威脅做好準備，并向其上級、執(zhí)法部門和保險公司提供所有相關數(shù)據(jù)。

　　在國內，微信、支付寶是大家最常使用的移動支付方式，當然，Apple Pay在美國就實現(xiàn)了“壟斷”。Pulse發(fā)布的一份統(tǒng)計顯示，去年在北美市場，92%的手機移動支付都是在Apple Pay上完成。據(jù)悉，去年北美進行了20億筆電子錢包交易，同比增長了51%。除去Apple Pay，余下的8%市場被Samsung Pay（三星智付）、Google Pay分食，但份額分別只有5%和3%。

　　如今，Apple Pay不僅可以借助iPhone，在Apple Watch、Mac、iPad等設備上同樣可以使用。

　　近日英國伯明翰大學和薩里大學的研究員發(fā)現(xiàn)了Apple Pay被爆安全漏洞可繞過鎖屏進行欺詐性支付。研究人員發(fā)現(xiàn)當 Visa 卡在 iPhone 上被設置為蘋果的 Express Transit 模式時，該漏洞可能允許攻擊者繞過 iPhone 鎖屏，在沒有密碼的情況下進行非接觸式支付。蘋果的 Express Transit 模式允許用戶在不解鎖設備的情況下，使用信用卡、借記卡或交通卡快速支付。目前，該漏洞只影響存儲在 Wallet 應用中的 Visa 卡。它是由Transit Gate使用的獨特代碼造成的，這些代碼向iPhone發(fā)出信號，以解鎖 Apple Pay。攻擊者通過使用普通的無線設備，就能夠進行攻擊，誘使 iPhone 相信它是位于Transit Gate。這個概念驗證攻擊涉及一個啟用了 Express Transit 的 iPhone，向一個智能支付閱讀器進行欺詐性支付。類似的攻擊可能已經被黑客利用，然而，Visa表示，這種攻擊在大范圍內似乎不會發(fā)生，僅僅停留在理論上。即使攻擊者能夠成功，銀行和金融機構也有其他機制，通過檢測可疑交易來阻止欺詐。

　　策略3：回滾勒索軟件的更改

　　這種多層次方法中的第三個要素，也許對受勒索軟件影響的人來說是最重要的要素，是能夠倒轉時鐘并將所有資產和配置恢復到攻擊前的原始狀態(tài)。無論攻擊的范圍和深度如何，這一關鍵步驟都可以實現(xiàn)快速恢復并確保完整的業(yè)務連續(xù)性。

　　以前未知的惡意軟件或新的攻擊策略可能不會被檢測組件自動捕獲和阻止，因此撤消其操作是剩下的唯一保護措施。此外，潛在的攻擊不僅限于文件被加密或刪除。惡意軟件還可以更改可能在后續(xù)攻擊中被利用的訪問權限和安全配置。

　　這種多步驟攻擊通常被黑客用于針對企業(yè)網絡和公共基礎設施，并構成特別危險的威脅。在這些長期活動中，第一階段通常僅用于下載惡意程序，以便在特定日期（例如假期或重要商業(yè)活動）更容易執(zhí)行攻擊。通過這種方式，攻擊者可以讓受害者大吃一驚，并利用他們缺乏預防準備，讓他們別無選擇，只能支付全額贖金。

　　惡意代碼或可疑代碼執(zhí)行的所有更改，無論多么小，都會自動恢復，這給管理員提供了一個安全網，保護他們和整個域免受成功網絡攻擊的可怕后果。

　　用于勒索軟件預防的安全建議

　　總之，網絡安全架構師和企業(yè)網絡防御者的主要目標是預防，而對于勒索軟件，預防就是拒絕攻擊者對企業(yè)任何部分的初始訪問。綜合策略包括使用戶身份驗證攻擊具有抵抗力，立即檢測和消除威脅，最后，回滾攻擊者及其惡意軟件對無法檢測的攻擊采取的所有操作。

　　這一切都始于終端以及該終端的內在安全功能。