如今,沒有任何一家企業是安全的。勒索軟件即服務(RaaS)市場使網絡犯罪分子能夠利用最先進的技術針對特定組織(基于規模、行業、地理位置以及它們是在公共部門還是私營部門)進行攻擊。
那么應該擔心些什么?
企業對于勒索軟件攻擊主要的擔憂是,由于數據、應用程序和系統可能被封鎖,這使得他們無法開展業務。然后,他們擔心網絡攻擊會付出什么代價;是否需要支付勒索軟件費用的問題,因為77%的網絡攻擊還包括泄露數據的威脅。接下來是收入損失、平均23天的停機時間、補救成本以及對企業聲譽的影響等問題。
但這些都是網絡攻擊之后出現的問題,企業首先應該專注于可以采取哪些有效措施來阻止勒索軟件攻擊。
真正關注勒索軟件大規模增長的企業正在努力了解網絡威脅行為者使用的策略、技術和程序,以制定預防、檢測和響應措施,以減輕風險或最大限度地減少網絡攻擊的影響。此外,企業需要仔細審查他們現有的技術、流程和框架,并詢問他們的第三方供應鏈供應商。最終,他們正在努力確定必須防范勒索軟件的最關鍵系統。
但是,這些都不是企業應該主要關注的地方。在這一切的核心中,憑據泄露是勒索軟件攻擊的主要原因,因為憑據為黑客提供了將企業的系統劫持為人質所需的訪問權限。如果企業消除用戶名/密碼憑證,就消除了它們最容易進入其系統的入口點。
關注憑據
要了解勒索軟件攻擊中的憑據問題,必須了解憑據的真正含義。憑證代表用戶的身份,通常由用戶名和密碼組成,企業有時也會采用第二種形式的身份驗證(2FA)或多因素身份驗證(MFA)。在這種情況下,企業在憑證中的“身份”是密碼,大多數安全系統假定它是由其合法所有者使用的。
不幸的是,這些憑據可能會被盜、共享、購買或黑客攻擊并用于實現初始訪問。一旦進入,威脅參與者通常會尋求破壞特權訪問憑證以進一步滲透目錄服務。
一個簡單的8個字符的密碼可以在1小時內破解,一個12個字符的密碼可以在幾周內破解。隨著計算機處理速度的提高和軟件的智能化,破解密碼的時間會越來越短,這使用網絡攻擊者查找和使用憑證變得容易。他們使用Mimikatz和Microsoft的PsExec等合法工具從系統內存中轉儲憑據,并在遠程系統上執行進程。
經驗較少的威脅行為者可以購買被盜的憑據,他們能夠以低至20美元的價格購買低級別憑證,管理員級別帳戶的憑證價格從500美元到12萬美元不等。
既然知道將重點放在何處,那么如何應對風險?
為什么用戶名和密碼不夠好?
用戶名/密碼憑證本質上假定誰在訪問嘗試的另一側。僅使用用戶名和密碼,企業實際上永遠不會將經過驗證的身份附加到憑據中,因為任何人都可以使用它們。即使是雙因素身份驗證(2FA)、多因素身份驗證(MFA)和FaceID和TouchID等生物識別系統也只建立在密碼和用戶名上——它們當然有助于提升企業的安全性,但并不能解決密碼和用戶名的核心漏洞。此外,還有無數的一次性密碼破解、短信劫持、SIM卡交換等示例。所有這些都表明,如果威脅行為者有意繞過雙因素身份驗證,他們很可能做到。
這并不是說企業不應使用多因素身份驗證(MFA)和二級安全來源。對安全系統的驗證應該始終不止一層,但要使這些措施真正有效,企業必須建立一個與它們正在驗證的憑據相關聯的經過驗證的身份。
如何將身份與憑證相關聯
首先,用戶必須改變其對身份是什么以及它如何在其安全和身份驗證中起作用的心態。身份驗證依賴于三個要素:知道的東西、擁有的東西和身份。“知道的東西”是最容易受到網絡攻擊的身份驗證形式,因為如果知道這些,那么其他人也可以。然而,它是用戶名/密碼憑證的核心。為了在認證過程中建立一個可驗證的身份,必須消除“知道的東西”,專注于“擁有的東西”和“身份”。
隨著最近關于改善網絡安全的行政命令,身份驗證和生物特征認證正在獲得動力。在其中,美國總統拜登呼吁美國政府機構為內部部署設施和基于云計算的環境轉向零信任架構。零信任基于“永不信任,始終驗證”的原則。在憑據的場景中,這意味著企業不相信帳戶所有者正在提出訪問系統、應用程序或數據的請求,直到它得到絕對驗證。
遵循零信任驗證身份需要將“擁有的東西”(例如駕照或護照)與“身份”(例如活的生物識別特征)相結合。由于最近的技術進步,用戶可以將政府部門頒發的文件上傳到企業的安全系統,并且在每次登錄嘗試時都會根據這些文件驗證他們的實時生物識別信息。用戶現在已經建立并附加了確認的身份到他們的憑證中。
因此,在勒索軟件的背景下,這意味著企業甚至可以大幅減少經驗豐富的勒索軟件威脅參與者對其憑據的訪問。
將何去何從?
隨著企業努力確定勒索軟件攻擊的預防策略,答案在于查看威脅行為者更常使用的內容。憑證問題不能通過簡單地消除密碼和用戶名來解決。無密碼解決方案無疑是未來的趨勢,但如果不首先驗證用戶的身份,它們就毫無用處。
身份驗證是企業安全系統中提供訪問權限的最重要步驟,在身份建立之前無法進行身份驗證。這稱為基于身份的身份驗證,它是有效安全措施的基礎。一旦建立了具有高效率的身份,基于密碼的憑證就會過時。最終目標不是無密碼解決方案,其目標是基于身份的身份驗證,無密碼解決方案是實現這一目標的手段。
勒索軟件攻擊的成功取決于給予網絡攻擊者的機會。采用正確的技術將使企業能夠擺脫被動的安全方法,并有效應對日益復雜的網絡攻擊。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號