近年來，勒索軟件攻擊經歷了大流行加速的演變，而防御系統則難以跟上。勒索軟件的第一階段已經讓位于新的、不同的、更好的和更壞的東西。為了幫助理解這一演變，Morphisec贊助了一份來自SANS的報告，探索勒索軟件防御的現狀。它研究了潛伏在攻擊版圖中的最新對手趨勢，以及對它們最有力的防御。

該報告證實，勒索軟件仍然是一種毀滅性的威脅，使每個組織都處于危險之中。但這份報告也帶來了希望:有了正確的團隊、技術和技巧，勒索軟件是可以避免的。

在這篇博客中，我們強調了SANS報告中的一些要點。然后，我們為那些認真防范勒索軟件的公司提出切實可行的下一步措施。

勒索軟件攻擊的新趨勢

公司突然轉向新的地點、技術和安全策略，同時將更多工作轉移到網絡和云。作為回應，勒索軟件攻擊變得更加頻繁、成功和毀滅性。威脅參與者采用了新的和更新的技術、戰術和程序(TTP)來幫助惡意軟件逃避檢測并繞過防御，包括以下內容。

情報收集

攻擊者“瀏覽”目標以獲取偵察信息，從而使他們的攻擊成為可能，或者鼓勵他們索要贖金。知道在組織內部何處以及如何橫向移動，可以使最終的攻擊更有可能成功并交付(或超過)預期的收益。但如果攻擊者遇到路障或情況與威脅行動者的情報計劃不匹配，這也可以對防御者有利。

競賽心態

當新的漏洞被發現時，它會引發一場競賽，一方面將它們武器化，另一方面進行防御。攻擊者通常獲勝是因為開發和實施補丁所需的時間--通常是幾周或幾個月--而一次攻擊只需要幾分鐘。威脅參與者的速度優勢加強了防御的必要性，以阻止攻擊鏈中更早出現的新威脅。廣泛使用的基于行為和簽名的防御措施，如下一代防病毒(NGAV)和終端檢測和響應(EDR)，正在努力應對未知和逃避的威脅。

躲避攻擊

為了逃避NGAV和EDR等檢測解決方案，攻擊者采用了無文件、內存中、運行時攻擊，并在到達最終目標的途中利用本地二進制文件進行攻擊。防止勒索軟件依賴于及早發現并應對攻擊。因此，回避讓攻擊變得極其難以阻止。SANS的報告指出，傳統的防御措施，如基于磁盤的文件分析，不能勝任這項任務。

流網 VS 捕魚

許多惡意軟件攻擊撒下了一張大網。他們的目標不是特定的實體，而是使用自動化來嘗試并瞄準盡可能廣泛的目標。自動化的一個成功例子是最近勒索軟件集團與銀行家特洛伊木馬下載器合作的小趨勢。然而，如今成功的勒索軟件攻擊越來越多地是手動的和高度針對性的。這使他們能夠快速適應組織并定制他們的攻擊--帶來毀滅性的后果。

勒索軟件防御的最新技術

勒索軟件攻擊的演變迫使防御前線取得進展。因此，盡管這些攻擊的破壞性比以往任何時候都要大，但它們并不總是帶來不可避免的網絡緊急情況。SANS報告強調了幾種可用的應對勒索軟件攻擊的對策。

防止遠程訪問濫用

黑客利用遠程訪問進入網絡，在許多情況下，還利用橫向移動和找到高價值目標的特權。防止遠程訪問濫用需要多層安全措施。外部的VPN和MFA、用于發現和阻止傳入威脅的EDR和NDR工具，以及用于保護外部空間的縱深防御或零信任策略。自從COVID強制遠程工作出現以來，遠程訪問濫用激增。防止這種濫用的關鍵是實施深度防御方法。您應該始終假設任何給定的防御層最終都可以被穿透，因此您需要最后一層防御層來保護您的終端應用程序內存和資源。勒索軟件攻擊可以而且確實穿透了許多級別的安全。這就是為什么網絡防御正在擴展到邊界之外，以應對特定的應用程序。

防止無文件惡意軟件

大多數當前的安全解決方案不是為檢測或阻止無文件惡意軟件而設計的。這就是勒索軟件使用這種攻擊方法以及本機二進制利用的原因。在加密發生之前，很難檢測到滲透到網絡并向前推進而不發出警報的攻擊--但并非不可能。與其尋找傳統的危險信號，不如考慮監視本機系統文件中的異常行為，并尋找由對手C2通信創建的獨特模式。更廣泛地說，納入專門防止無文件攻擊的安全解決方案。你不想僅僅依靠安全團隊的勤奮來發現和阻止躲避的威脅。

邁向成功的勒索軟件策略

SANS報告強調了有效防御高級勒索軟件威脅的新技術和新興技術。無論是作為獨立的解決方案，還是作為集成的深度防御安全態勢的一部分，所有公司都應該在其武器庫中擁有這些安全堆棧。

加密流量分析(ETA)

攻擊者正在加密他們的網絡流量，以隱藏他們的移動，使其不被檢測工具發現。ETA可以搜索該流量留下的未加密的元數據簽名，以找到攻擊的證據。另一種選擇是依靠安全解決方案來防御攻擊，而不必事先檢測到攻擊。

移動目標防御(MTD)

這項創新技術通過變形和移動參與者期望找到的預期內存資源威脅來防止攻擊。MTD可以防御攻擊，而不必首先檢測到它們--對于高級、未知的攻擊來說，這是一個很大的優勢。由于受保護的資產只有授權用戶才能訪問，并且始終處于活動狀態，其他所有用戶都無法訪問，因此，無論是先前已知的攻擊還是全新的攻擊，所有攻擊都會失敗。MTD創造了一個玩家無法穿透的動態攻擊面威脅，所以他們轉移到更容易的目標上。

AI事件聚合、關聯和入侵防御

自動化可以越來越多地在網絡安全的各個方面運行，從關聯和檢測事件到運行補救行動手冊。自動化總是比人類做同樣的事情走得更快、更有條理。這對網絡安全來說是個好消息，因為它允許精簡、資源不足的安全團隊產生遠遠超出其員工規模的影響。換句話說，每個人都可以抵抗勒索軟件。