幾乎每週都有一家大公司成為勒索軟體攻擊的受害者，那麼如何改變企業現在所面臨的巨大挑戰?做到絕對安全很難，因為沒有人能100%免受潛在網路攻擊的威脅。勒索軟體是如何一次有一次的發動成功的攻擊?為什麼我們沒有更好地防禦它們?

首先，我們來了解一些基礎情況，然後再探討主要原因。

1、軟體自身安全問題

2、2FA使用滯後

3、使用者錯誤永遠不會消失

4、過時的防毒方案

5、檢測和響應延遲

6、LOLBin 技術更難檢測

7、Cobalt Strike 和其他合法工具被重新利用

8、一流的網路犯罪合作

9、加密貨幣催化

軟體自身安全問題

軟體安全是網路安全的基礎部分。作為網路中關鍵的基礎部分，軟體安全漏洞對網路攻擊的成功與否起到很大作用。美國國家標準與技術局(NIST)、國家漏洞資料庫(NVD)資料顯示，90%以上的網路安全問題是由軟體自身的安全漏洞被利用導致。隨著數字化時代到來，網路系統中的軟體呈爆發式增長，伴隨而來的安全漏洞為發動網路安全事件增加攻擊面。

2FA未普遍實施

雙因素身份驗證 (2FA) 是資訊保安專業人員提倡的解決方案之一。儘管如此，我們仍會看到像Colonial Pipeline這樣的漏洞發生，因為組織要麼未能實施 2FA，要麼未能“完全”實施。

任何需要使用者名稱和密碼才能訪問的內容最好能啟用2FA。包括電子郵件、業務應用程式、雲部署、VPN等。

使用者錯誤

現代網路釣魚技術如此先進，即使是資訊保安從業者也成為它們的犧牲品，那麼普通使用者怎麼能表現得更好呢?

現代的網路釣魚技術如此先進，以至於連資訊保安從業者都成為了它們的犧牲品。

攻擊者對他們的目標執行偵察並調整他們的技術以獲得成功。許多員工的工作流程實際上是網路釣魚攻擊目標的一個案例研究。

防病毒解決方案依賴於容易繞過的檢測邏輯

防毒軟體是現存最古老的安全軟體，在過去20年裡取得了長足的進步。然而，許多反病毒解決方案仍然依賴於過時的基於簽名的系統來檢測惡意軟體。

使用反病毒檢測惡意程式碼是基於程式碼的二進位制簽名，或檔案雜湊，這隻在程式碼不改變的情況下有效。在編譯程式碼之前重新命名程式碼內部的函式，或者在程式碼內部移動程式碼塊，會使以前可行的檢測變得失效。

傳統的AV不會“引爆”惡意軟體——也就是說，在一個受保護的沙箱中執行程式碼——因此，即使惡意軟體的行為與其特徵無關，也很難檢測到。

這個問題是如此係統性，以至於像Invoke-Obfuscation這樣的框架存在，以幫助紅隊以及隨後的惡意參與者繞過反病毒解決方案。

EDR/XDR/MDR 解決方案容易出現延遲

無數的“DR”(檢測和響應)端點解決方案明顯比防病毒軟體更強大，但它們也有其侷限性。

由於處理端點事件的邏輯存在於雲中，這意味著在事件發生和到達管理員控制檯之間可能會有幾秒到幾分鐘的延遲。這使他們容易錯過勒索軟體的執行。

當勒索軟體負載被啟用時，整個網路可以在幾秒鐘甚至幾分鐘內關閉。勒索軟體運營商經常會提前在網路中的所有系統中部署實際的勒索軟體有效負載，這樣有效負載就會在組織中的所有系統中幾乎同時執行，並且比容災解決方案能夠檢測到的速度快得多。

值得指出的是，來自同一供應商的DR+AV解決方案經常帶有“阻止”選項，如果檢測到惡意負載或操作序列，管理員可以透過該選項隔離/隔離計算機。然而，在實踐中，這個選項通常是預設禁用的——由於擔心由於誤報而影響使用者的生產力——它經常被禁用。

LOLBin技術更難檢測

勒索軟體成功的另一個常見原因是，運營商已經學會了使用一種稱為“生活在陸地上的二進位制檔案”(LOLBins)的技術。

這些都是普通管理工具，通常在Microsoft Windows中，但所有現代作業系統都有一些。這些工具具有有效、合法的途徑，管理員每天都在使用，這使得檢測惡意使用這些工具變得非常困難。例如，最近洩露的Conti集團的事件表明，他們嚴重依賴標準的Windows管理工具。

在某些情況下，LOLBin工具可用於新增到程式碼中的附加功能，因為開發人員或客戶曾希望他們的管理工具能夠從 Internet 下載任意檔案，或者工具本身可以作為輔助工具啟動應用程式。

這樣做是為了繞過稱為應用程式允許列表的安全控制。允許列表”告訴作業系統不要執行任何軟體，除非它已經由可信的供應商(蘋果、谷歌、微軟等)進行了數字簽名。然而，透過欺騙一個有效的、已簽名的應用程式來開啟一個不受信任的、未簽名的應用程式，攻擊者可以透過作業系統的預設應用程式來繞過這種安全控制。

免費攻擊工具集降低勒索軟體組織門檻

就免費提供的工具(例如Metasploit和Mimikatz)或Cobalt Strike的盜版副本而言，攻擊者從未有過更好的體驗。

無論他們需要網路釣魚工具集、混淆框架、初始訪問工具、命令和控制 (C2) 基礎設施、甚至是開源勒索軟體有效載荷，幾乎所有這些都可以在GitHub上免費找到。大多數人認為惡意行為者隱藏在暗網上，只向最陰暗的黑帽子出售比特幣工具，但事實並非如此。

業界支援攻擊性安全專業人員開發和釋出攻擊框架，理由是“防禦者需要了解這些策略”。但這掩蓋了這樣一個事實，即攻擊框架也會幫助攻擊者，並使防禦者更難跟上。

雖然防守者確實需要理解進攻策略，但在現實中，大多數防守者都忙於日常工作，沒有時間測試每一個進攻框架，然後制定防守指導。

這些攻擊工具中的大多數在使用過程中都有很好的文件記錄，但在檢測過程中卻沒有。雖然攻擊者的進入障礙已經下降到“您能使用谷歌、GitHub並具備基本的計算機技能嗎?”，但防禦者不得不支付大量的錢來購買複雜的工具和裝置，這些工具和裝置可能只在受控的測試場景中表現良好。

勒索軟體組織的合作能力

透過將工作分散到多個犯罪集團，它使策略、技術和程式 (TTP) 更難以歸因於任何單個參與者，它可以混淆惡意參與者的意圖，並允許勒索軟體即服務 (RaaS)卡特爾優先考慮高價值目標。

RaaS的利潤分享模式可以很好地激勵這些參與者不斷尋找新目標，同時將繁重的工作轉移到更老練的專業人士身上。這種合作方式促成了一種高效的分工，犯罪集團將最初的渠道外包出去，並要求他們的分支機構選擇高價值、高淨值的組織，這些組織比小型家族企業更有可能支付贖金(儘管後者顯然也不能倖免)。

一旦攻擊者確定了他們所影響的業務和公司的價值，他們就會將贖金設定為受害者可以負擔得起的金額。一次使一家公司損失10,000美元的攻擊可能會使另一家公司損失 1,000萬美元，而且它將使用完全相同的工具、攻擊流程、訪問代理和勒索軟體負載。

私營和公共部門缺乏協調一致的反應和戰略

勒索軟體並不是一種新威脅，但它變得越來越容易實現、獲得報酬並逃脫。一方面，由於此前公共層面沒有明確的政策、方向或戰略規劃，使得受到攻擊的企業除了支付贖金別無選擇，另一方面，私營企業在網路安全防禦上存在潛在風險或網路、應用軟體安全透明度不高，給網路攻擊者以行動的機會。

隨著在網路、資料和資訊保護相關領域的法律法規不斷完善，企業和政府在打擊網路犯罪上可以協同共進，增加互助合作的粘性。

加密貨幣推動整個行業發展

加密貨幣將因兩件事而被銘記:促進勒索軟體和成倍增加二氧化碳排放。嚴肅地說，如果沒有一個強大的加密貨幣生態系統，勒索軟體團伙將會被餓死。

加密貨幣助長了整個犯罪行業，因為它提供了一個繞過美國控制的全球金融體系的金融框架，通常很難追蹤(即使贖金通常以比特幣支付，然後它們被轉移到另一個，在撤資前無法追蹤加密貨幣)，並很容易跨越國際邊界。

雖然美國財政部最近制裁了加密貨幣交易所SUEX，稱其涉嫌參與勒索軟體犯罪，但這一行動只是滄海一粟。這些群體也可以轉移到不同的交易所，要求受害者直接交易，或轉向難以追蹤的加密貨幣，如Monero。

如果美國政府想要嚴肅對待打擊犯罪的加密貨幣行業，它應該以不可追蹤的貨幣本身為目標，而是透過制裁任何允許這些交易和轉換的企業(加密或其他)。

如何應對勒索軟體禍害

沒有什麼靈丹妙藥可以阻止勒索軟體對計算、關鍵基礎設施和我們日益互聯的生活世界構成的生存威脅。但我們可以透過強化軟體自身安全來提高網路的安全性。資料顯示，90%的網路安全事件與安全漏洞被利用有關，而 靜態程式碼安全檢測是在開發階段降低軟體安全漏洞的有效手段。記住，在軟體開發早期發現並及時補救任何不安全的行為(無論有多小)都是比替代方案更經濟的方法。

參讀連結：https://threatpost.com/cybersecurity-failing-ransomware/175637/

為什麼網路安全防禦無法抵禦勒索軟體?