勒索软件防御蓝图

目录 4简介 4勒索软件崛起 6 / 勒索软件生命周期 7 / 勒索软件事件类型 7 / 勒索软件威胁行为者 7 / 当前观察到的勒索软件趋势9准备与应急响应9 / 治理10 / 管理12/关键角色12/流程与目标15公共沟通与披露17保证 17 / 勒索软件准备情况评估 18 / 勒索软件准备情况测试 19 / 勒索软件准备情况培训20结论21致谢 摘要 勒索软件攻击在全球范围内持续增加其频率、复杂性和破坏性影响。1网络犯罪分子已经将勒索软件运营成了一个价值数十亿美元的非法产业，甚至有能力利用和破坏最大、最复杂的公司。然而，当公司制定和维持预防与缓解策略时，攻击的可能性和严重性都可以得到缓解。本白皮书提供了对当前勒索软件形势的洞察，并概述了组织可以采取的步骤来准备和应对勒索软件攻击。 鉴于信息技术的多样性和侵略性，必须实施的控制种类繁多，以及这些控制融入运营的程度各异，在一个环境中有效的防御措施可能在另一个环境中无效。控制风险有多种根本原因，从对新的业务控制要求及其意图的误解，到员工培训不当。此外，每次攻击都是独特的，因为动机和目标通常要求对手保持灵活性和适应性，不受企业防御的限制。 勒索软件是一种恶意软件，它威胁要在不满足勒索要求的情况下永久限制对系统访问或发布被泄露的数据。一旦系统被攻破，数据就会被加密，并且会阻止访问，直到收到用於换取解密密钥的付款为止。 网络犯罪分子已将勒索软件 operationalized into a multibillion-dollar criminal pursuit, with the capability to exploit and disrupt even the largest and most sophisticated companies. A ransomware attack can, at best, temporarily impact revenue generation, or at worst, cause a massive financial loss that triggers bankruptcy or liquidation. 企业文化也是影响其准备、防御和从攻击中恢复的能力的 strongest influences之一。根据企业成熟度，这可能意味着实际准备就绪和虚假安全感之间的 difference。 轶事证据表明，私营和公共部门中有太多组织缺乏基本网络安全实践，因此为恶意行为者保持了合理的业务成本。这反过来又导致了不同程度的政府回应，通常采取立法行动的形式。 企业文化对企业准备、防御和从攻击中恢复的能力有着最强的影响力之一。根据企业成熟度，这可能意味着实际准备与虚假安全感之间的差别。 鉴于政府规定的覆盖范围，公共实体在应对潜在的勒索软件威胁和反应方面（至少在可预见的未来）的灵活性较小，而私营企业仍然拥有决定是否支付赎金的能力。是否支付赎金存在大量争议，并且不在此白皮书范围内。 这份白皮书提供了有关勒索软件攻击的信息，并提出了关于如何准备和应对这些攻击的详细指南。网络安全虽然充满挑战，但深受多种因素的影响，包括但不限于企业规模、行业和行业。 勒索软件的兴起 虽然自1989年以来勒索软件攻击一直中断业务运营，但此类攻击的数量正在迅速增加。威瑞森2022 数据泄露调查报告揭示 13%的勒索软件入侵增加—更多2图1比过去5年总和还要多。” 显示了从2017年到2022年全球勒索软件的兴起。 2在商业资源，“2022数据泄露调查报告”，2022，维瑞斯 网络犯罪团伙不断改进其运营并扩大其市场空间。图2显示了运行简单商品的成本效益分析勒索软件活动。结果表明勒索软件的进入门槛较低。 这很简单！ • 按下“按钮”开始 • 观察10天（240小时，每小时150元） 攻击一百万目标 • 每台系统支付300美元的赎金1% 勒索软件生命周期 攻击生命周期。例如，一家著名的金融机构发布了一份可视化洞察报告。图3. 随着网络安全实践不断演进以适应不断变化的数字环境，恶意行为者继续改变和适应以克服这些实践。一个简单的网络查询就会得到无数种勒索软件的变体 新西兰CERT提供更详细的生命周期图 4. 图4：新西兰勒索软件事件认证生命周期 一个由人操作的常见攻击路径勒索软件事件的生命周期已发生的勒索软件事件（基于来自CERT NZ的示例） 勒索软件开发者将恶意代码租赁/提供给具备实施针对性入侵并在企业网络中部署勒索软件能力的合格附属机构（俗称“操作员”）。该模式使勒索软件开发者能够降低发起勒索软件攻击所需的技能水平，并通过向多个附属机构提供勒索软件来扩大攻击规模，同时将这些附属机构置于被识别和逮捕的风险之中。附属机构获得勒索款项的最大比例（通常约为60‒70%），并且无需管理敲诈活动（例如，谈判、加密货币转账、泄露网站管理、勒索软件开发等）。 理解勒索软件攻击的生命周期有助于商业专业人员识别威胁，评估风险并实施有效的缓解策略。它还可以让他们制定事件响应计划，并推广网络安全意识文化。 勒索软件事件类型 我们已经看到恶意软件从手动计算机到计算机传输（例如软盘或USB驱动器）发展到病毒复制，再到远程访问工具的开发。以前，组织被攻击，其私人信息被盗，目的是将窃取的信息在犯罪地下出售。现在，犯罪分子利用加密软件或使用系统加密功能。他们要求通过加密货币立即支付。我们必须改变针对这些威胁的准备和最终响应。勒索软件不再是为了娱乐，而是已经成为一种非常有利可图的生意。 勒索软件威胁行为者 三种主要类型的勒索软件攻击者实施勒索软件攻击： •犯罪集团—这些威胁行为者的唯一目标是赚钱。他们将勒索软件攻击视为一项商业交易，从中向目标勒索货币。 •国家支持的网络攻击者—这些行动者专注于破坏，以实现其地缘政治和社会政治目标，并影响目标方向。国家支持行动者得到其政府的支持。勒索软件通常在动性交战之前使用，正如2008年俄罗斯与格鲁吉亚战争以及最近涉嫌针对波兰的俄罗斯行动所显示的那样，破坏交通和物流组织，并切断向乌克兰提供军事援助的关键渠道。4 勒索软件不再是为了娱乐，而已经成为一种极具盈利性的商业活动。 三大勒索软件事件类型是： •隔离系统的批量自动化感染—威胁行为者撒下非常宽泛的网，并且严重依赖自动化来利用和传播勒索软件到机会目标。通常，这些对威胁行为者来说投资回报率较低。在企业勒索软件出现之前，这种攻击类型在2015-2019年之间很常见。 •勒索软件即服务（RaaS）提供者—攻击者使用一种犯罪化的软件即服务(SaaS)版本，其中勒索软件活动风险（例如成本、资源和法律风险）被降低，收益在联盟成员和RaaS（勒索软件即服务）提供者之间共享。 •企业勒索软件（又名“狩猎者”）—威胁行为者专注于以勒索为目的的定向入侵。受害者通常是中小企业和大型的企业网络。企业勒索软件在2019年之后成为最常见的勒索软件攻击形式，它也是勒索策略创新和勒索软件供应链生态系统（即接入代理、兑换和钱牛服务、防击穿主机、恶意软件分发网络等）出现的主要责任者。3 当前观察到的勒索软件趋势 威胁行为者正在完善他们的运营—与其投入资源以获取访问权限，威胁组织正利用他们与初始访问中间商的关系，这使得威胁组织可以将更多时间用于策划定向攻击，而不是投入 •勒索软件即服务 (RaaS)—这是一个旨在支持企业勒索软件运营的小说交付模式 3 T 由 CLOUDFLARE，“勒索软件攻击者升级敲诈手段，”theNE http://www.cloudflare.com/learning/insights-ransomware-extortion/4 美国网络安全与基础设施安全局（CISA），《俄罗斯国家资助和犯罪网络威胁对关键基础设施的威胁》。检索日期：2023年3月2日。http://www.cisa.gov/news-events/cybersecurity-advisories/aa22-110a 用于最初攻陷目标的资源。这也为那些缺乏经验、技能或能力来突破边界防御但可以遵循运行手册的不那么成熟的攻击者打开了市场。 勒索软件市场。进入门槛已降至历史最低点，并且仍在持续下降，使得更多威胁行为者能够进入该市场。 这种成本的下降是企业客观审视其针对威胁攻击的计划和准备的一个驱动力。 威胁集团运营的变化要求企业重新审视其安全意识和培训计划，并确保其员工充分了解勒索软件威胁及其公司的勒索软件政策。员工的政策意识应包括官方的公司立场和响应，例如，“Acme永远不会支付赎金”与“Acme将根据具体情况处理勒索软件。” 网络攻击者越来越擅长隐藏他们的身份。 操作——威胁行为者通过使用常见的匿名服务隐藏自己的身份，不仅在与他们的犯罪同伙互动时这样做，而且使企业更难防御攻击。攻击者还使用道德上灵活的VPN和云服务提供商来进一步掩饰他们的来源。 威胁组织运营的变化要求企业审查其安全意识培训计划，并确保其员工充分了解勒索软件威胁以及公司自身的勒索软件政策。 更好的身份混淆强化了企业升级其威胁搜寻和事件管理能力的需求。 零日漏洞攻击正在增加—过去，网络钓鱼活动一直是攻击者获得立足点的最成功方法。如今，零日漏洞利用更为普遍，从备受关注的远程漏洞如Log4J（CVE 2021-45046），到各种基于Microsoft Windows的漏洞，5强调需要维护库存、配置管理、漏洞管理以及补丁管理程序。 因为企业必须转型、适应和创新以在市场空间中保持主导地位，犯罪运营者也必须这样做。威胁行为者正在投资他们的产品，以适应不断变化的市场格局，即企业攻击面。 威胁组织正不断专门化和成熟其技术能力，其速度通常比企业学习适应和防御它们的速度更快。这种快速的创新和适应速度要求企业持续监控威胁，并提升其事件管理和数字取证（逆向工程）能力。 除了以业务为中心的安全管理程序中常见的數據清潔實踐之外，這些利用行為還表明需要額外的保護，例如攻擊表面管理、威脅獵捕、補丁管理、網絡劃分以及基線行為（網絡和用戶）。 勒索软件的进入门槛正在降低—网络攻击的形势发生了显著变化，随着勒索软件即服务（RaaS）的出现，恶意行为者可以利用付费使用的恶意软件来发起和维持勒索软件活动。攻击者不再需要开发自己的勒索软件代码并执行一套定制的操作，现在他们可以利用一个提供所需勒索软件代码和运营基础设施的平台。即服务提供商（例如初始访问中介和定制勒索软件套餐）的增加正在降低进入成本 使用人工智能创造勒索软件正在兴起—人工智能（AI）的可访问性和易用性使其可以被武器化，进一步降低了勒索软件的入门门槛。尽管当前的AI能够创造基本的、原始的勒索软件能力，这些能力可能不够复杂，无法绕过可用的端点检测与响应（EDR）、扩展检测与响应（XDR）或托管检测与响应（MDR）平台，但全球 2019年，并且此后增加了勒索软件活动效果。虽然大多数勒索软件攻击者会投资于渗透组织（大鱼），但一些威胁行为者正在使用勒索软件即服务（Ransomware-as-a-Service），这些服务在支付数据赎金后仍然泄露数据。 采用此类平台的速率提醒我们，许多企业可能发现自己成为了这种攻击的受害者。 随着人工智能能力的增强，将会有更多的不良行为者利用它，这要求所有企业专业人士保持更高水平的警惕。 三元勒索—一种战术，其中使用额外的攻击（即分布式拒绝服务）来对目标组织施加额外的压力。 双重敲诈—a由威胁行为者采用的一种策略，该行为者先加密目标的文件，然后窃取并威胁要发布这些文件。这是首次采用 应急准备与响应 治理 勒索软件，正如我们商业活动中面临的任何其他威胁一样，需要一种规范化的预防方法和保护立场。正如组织为确保其他商业事务的妥善管理而制定和建立政策一样，网络安全协议必须是清晰简洁的，阐明在您的组织遭受勒索软件攻击时，应该采取的适当和预期的响应。 当勒索软件事件发生时，响应定时器正在倒计时。因此企业应为其应对威胁的方式制定计划。