为什么我们始终无法抵御勒索软件攻击？

放眼全球，几乎每周都会有一家大公司成为勒索软件攻击的受害者。网络安全厂商Prevailion 的 CTO内特·沃菲尔德(NateWarfield)探讨了想要改变这一现状所面临的巨大挑战。

是的，做安全是很难的——没有人能保证百分百地免受潜伏在那里的威胁。但勒索软件是如何一次又一次地无数大公司接连中招？我们为什么没能更好地预防它们呢？


2FA没有得到普遍实施

双因素身份验证 (2FA) 可能是一个企业可以实施的最简单的安全改进，也是信息安全专业人员最提倡的解决方案之一。尽管如此，我们仍会看到像Colonial Pipeline这样的漏洞发生，因为组织要么没有实施 2FA，要么没有“完全”实施。

任何需要用户名和密码才能访问的内容都应启用 2FA，包括电子邮件、业务应用程序、云部署、VPN等任何具有登录凭据的东西。

用户永远不会停止犯错

现代网络钓鱼技术如此先进，即使是信息安全从业者也会成为它们的牺牲品，那么，普通用户怎么才能表现得更好呢？

攻击者对他们的目标进行侦察，并调整他们的技术以取得成功。许多员工的工作流程实际上就是网络钓鱼攻击目标的一个案例研究。毕竟，一个会计部门的员工如何能够立即知道哪些 PDF 是安全的，哪些可能包含恶意软件呢？

我们对用户抱有不切实际的期望，然后当他们犯了许多信息安全专业人士自己犯过的同样错误时，我们会感到惊讶并责怪他们。多年前有专家一针见血地指出，不能指望员工不会搞砸。员工总是会犯错，那么我们为什么要假装这会改变呢？

反病毒解决方案依赖于容易绕过的检测逻辑

反病毒软件是现存最古老的安全软件，在过去 20 年中取得了长足进步。然而，许多解决方案仍然依赖过时的基于签名的系统来检测恶意软件。

使用恶意代码检测的前提是具有代码的二进制签名或文件哈希，而且仅在代码不变的情况下才有效。在编译代码之前重命名代码内部的函数，或在代码内部移动代码块都可能会使以前可行的检测变得无用。

传统的检测不会“引爆”恶意软件，也就是说，在受保护的沙箱中运行代码，即使恶意软件的行为将是相同的，无论其签名如何，这是非常难以检测的。

EDR/XDR/MDR 解决方案容易出现延迟

无数的“DR”（检测和响应）端点解决方案明显比防病毒软件更强大，但它们也有其局限性。

由于处理端点事件的逻辑存在于云中，这意味着在事件发生和它到达管理员控制台之间可能会有几秒到几分钟的延迟。这使他们容易丢失勒索软件执行。

当勒索软件负载被激活时，整个网络可以在几秒钟甚至几分钟内关闭。勒索软件运营商会经常提前跨网络中的所有系统暂存实际的勒索软件负载，以便在组织的所有系统中几乎同时执行负载，并且远远快于“DR”解决方案所能检测到的速度。

值得指出的是，来自同一供应商的 DR+AV 解决方案经常带有“阻止”选项，如果检测到恶意负载或操作序列，管理员可以隔离计算机。然而在实践中，此选项通常默认禁用，并且 由于担心会因误报影响工作效率，该选项经常被禁用。

LOLBin技术更难检测

勒索软件成功的另一个常见原因是，运营商已经学会了使用一种称为LOLBins的技术。

这些是正常的管理工具，遍布在操作系统中。这些工具具有有效、合法的目的，管理员每天都在使用，这使得检测这些工具的恶意使用变得极其困难。

防病毒和“DR”解决方案捕获定制的、参与者开发的工具是微不足道的，但几乎不可能确定查找本地域控制器的命令以及域管理员是作为故障排除网络连接的一部分，还是横向移动的前兆。因此，大多数DR供应商要么不警告这些LOLBins的使用，要么警告的严重性较低，因为这些命令在检测恶意活动时具有非常高的误报率。

免费提供的攻击工具集降低了勒索软件组织的门槛

无论是网络钓鱼工具集、模糊框架、初始访问工具、命令和控制 (C2) 基础设施、凭证滥用工具，还是开源勒索软件负载，几乎都可以在 GitHub 上免费找到。

虽然专业安全人员给开放人员发布分享相关攻击框架，理由是“防御者需要了解这些策略”，但这掩盖了这样一个事实，即攻击框架也有助于攻击者并使防御者更难跟上。

大多数这些攻击工具的使用都有很好的记录，但没有对被检测到。虽然攻击者进入的障碍已经降低到“你可以使用谷歌、GitHub 并拥有基本的计算机技能”，但防御者仍然需要为复杂的工具和设备支付巨额资金，这些工具和设备可能只能在受控测试场景中表现良好。

勒索软件组织的合作比网络安全行业更好

勒索软件之所以存在，是因为它们相互协作。事实上，安全行业的大多数人都同意，坏人实际上比试图阻止他们的团队和组织合作得更好。

通过将工作分散到多个犯罪集团，这使得战术、技术和程序 (TTP) 更难以归因于任何单个参与者，它可以混淆恶意参与者的意图，并允许勒索软件即服务 (RaaS)优先考虑高价值目标。

RaaS的利润分享模式可以很好地激励这些参与者不断寻找新目标，同时将繁重的工作转移到更老练的专业人士身上。这种合作方式导致了一种高效的分工，犯罪集团将最初的访问权排除在外，并要求其附属机构选择比小家族企业更有可能支付赎金的高价值组织。

加密货币为整个行业提供动力

加密货币将因两件事而被人们记住：促进勒索软件的传播和成倍增加二氧化碳排放量。严肃地说，如果没有强大的加密货币生态系统，勒索软件团伙将被饿死。

加密货币助长了整个犯罪行业，因为它通常难以追踪并轻松跨越国界。尽管美国财政部最近因涉嫌参与勒索软件犯罪而制裁了加密货币交易所 SUEX，但这一行动只是沧海一粟。这些团体还可以转移到不同的交易所，要求受害者直接进行交易，或者转向门罗币等更难追踪的加密货币。

如何应对勒索软件的祸害

不幸的是，没有什么灵丹妙药可以百分百阻止勒索软件对关键基础设施和我们生活的日益互联的世界构成的生存威胁。用户和组织需要时刻保持警惕，采用多层安全架构，尽早发现并及时补救任何的违规行为，无论其规模多么小，都是一种比被攻击后交纳赎金或重建系统更经济的办法。