企業(yè)面臨的關(guān)于勒索軟件的最大問題不是加密而是憑據(jù)

責(zé)任編輯:cres

作者:Hemen Vimadalal

2021-11-10 10:07:55

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

憑據(jù)泄露是勒索軟件攻擊的主要原因,因?yàn)閼{據(jù)為黑客提供了將企業(yè)的系統(tǒng)劫持為人質(zhì)所需的訪問權(quán)限。如果企業(yè)消除用戶名 密碼憑證,就消除了它們最容易進(jìn)入其系統(tǒng)的入口點(diǎn)。

隨著時(shí)間的推移,勒索軟件的威脅在頻率、復(fù)雜度和有效性上都在不斷增加。最初可能只是簡單的勒索贖金計(jì)劃,現(xiàn)在已發(fā)展成為成熟的勒索軟件即服務(wù)(RaaS)提供商生態(tài)系統(tǒng),網(wǎng)絡(luò)攻擊者甚至利用雙重甚至三重威脅勒索策略來確保滿足他們的勒索要求。
 
如今,沒有任何一家企業(yè)是安全的。勒索軟件即服務(wù)(RaaS)市場使網(wǎng)絡(luò)犯罪分子能夠利用最先進(jìn)的技術(shù)針對(duì)特定組織(基于規(guī)模、行業(yè)、地理位置以及它們是在公共部門還是私營部門)進(jìn)行攻擊。
 
那么應(yīng)該擔(dān)心些什么?
 
企業(yè)對(duì)于勒索軟件攻擊主要的擔(dān)憂是,由于數(shù)據(jù)、應(yīng)用程序和系統(tǒng)可能被封鎖,這使得他們無法開展業(yè)務(wù)。然后,他們擔(dān)心網(wǎng)絡(luò)攻擊會(huì)付出什么代價(jià);是否需要支付勒索軟件費(fèi)用的問題,因?yàn)?7%的網(wǎng)絡(luò)攻擊還包括泄露數(shù)據(jù)的威脅。接下來是收入損失、平均23天的停機(jī)時(shí)間、補(bǔ)救成本以及對(duì)企業(yè)聲譽(yù)的影響等問題。
 
但這些都是網(wǎng)絡(luò)攻擊之后出現(xiàn)的問題,企業(yè)首先應(yīng)該專注于可以采取哪些有效措施來阻止勒索軟件攻擊。
 
真正關(guān)注勒索軟件大規(guī)模增長的企業(yè)正在努力了解網(wǎng)絡(luò)威脅行為者使用的策略、技術(shù)和程序,以制定預(yù)防、檢測和響應(yīng)措施,以減輕風(fēng)險(xiǎn)或最大限度地減少網(wǎng)絡(luò)攻擊的影響。此外,企業(yè)需要仔細(xì)審查他們現(xiàn)有的技術(shù)、流程和框架,并詢問他們的第三方供應(yīng)鏈供應(yīng)商。最終,他們正在努力確定必須防范勒索軟件的最關(guān)鍵系統(tǒng)。
 
但是,這些都不是企業(yè)應(yīng)該主要關(guān)注的地方。在這一切的核心中,憑據(jù)泄露是勒索軟件攻擊的主要原因,因?yàn)閼{據(jù)為黑客提供了將企業(yè)的系統(tǒng)劫持為人質(zhì)所需的訪問權(quán)限。如果企業(yè)消除用戶名/密碼憑證,就消除了它們最容易進(jìn)入其系統(tǒng)的入口點(diǎn)。
 
關(guān)注憑據(jù)
 
要了解勒索軟件攻擊中的憑據(jù)問題,必須了解憑據(jù)的真正含義。憑證代表用戶的身份,通常由用戶名和密碼組成,企業(yè)有時(shí)也會(huì)采用第二種形式的身份驗(yàn)證(2FA)或多因素身份驗(yàn)證(MFA)。在這種情況下,企業(yè)在憑證中的“身份”是密碼,大多數(shù)安全系統(tǒng)假定它是由其合法所有者使用的。
 
不幸的是,這些憑據(jù)可能會(huì)被盜、共享、購買或黑客攻擊并用于實(shí)現(xiàn)初始訪問。一旦進(jìn)入,威脅參與者通常會(huì)尋求破壞特權(quán)訪問憑證以進(jìn)一步滲透目錄服務(wù)。
 
一個(gè)簡單的8個(gè)字符的密碼可以在1小時(shí)內(nèi)破解,一個(gè)12個(gè)字符的密碼可以在幾周內(nèi)破解。隨著計(jì)算機(jī)處理速度的提高和軟件的智能化,破解密碼的時(shí)間會(huì)越來越短,這使用網(wǎng)絡(luò)攻擊者查找和使用憑證變得容易。他們使用Mimikatz和Microsoft的PsExec等合法工具從系統(tǒng)內(nèi)存中轉(zhuǎn)儲(chǔ)憑據(jù),并在遠(yuǎn)程系統(tǒng)上執(zhí)行進(jìn)程。
 
經(jīng)驗(yàn)較少的威脅行為者可以購買被盜的憑據(jù),他們能夠以低至20美元的價(jià)格購買低級(jí)別憑證,管理員級(jí)別帳戶的憑證價(jià)格從500美元到12萬美元不等。
 
既然知道將重點(diǎn)放在何處,那么如何應(yīng)對(duì)風(fēng)險(xiǎn)?
 
為什么用戶名和密碼不夠好?
 
用戶名/密碼憑證本質(zhì)上假定誰在訪問嘗試的另一側(cè)。僅使用用戶名和密碼,企業(yè)實(shí)際上永遠(yuǎn)不會(huì)將經(jīng)過驗(yàn)證的身份附加到憑據(jù)中,因?yàn)槿魏稳硕伎梢允褂盟鼈?。即使是雙因素身份驗(yàn)證(2FA)、多因素身份驗(yàn)證(MFA)和FaceID和TouchID等生物識(shí)別系統(tǒng)也只建立在密碼和用戶名上——它們當(dāng)然有助于提升企業(yè)的安全性,但并不能解決密碼和用戶名的核心漏洞。此外,還有無數(shù)的一次性密碼破解、短信劫持、SIM卡交換等示例。所有這些都表明,如果威脅行為者有意繞過雙因素身份驗(yàn)證,他們很可能做到。
 
這并不是說企業(yè)不應(yīng)使用多因素身份驗(yàn)證(MFA)和二級(jí)安全來源。對(duì)安全系統(tǒng)的驗(yàn)證應(yīng)該始終不止一層,但要使這些措施真正有效,企業(yè)必須建立一個(gè)與它們正在驗(yàn)證的憑據(jù)相關(guān)聯(lián)的經(jīng)過驗(yàn)證的身份。
 
如何將身份與憑證相關(guān)聯(lián)
 
首先,用戶必須改變其對(duì)身份是什么以及它如何在其安全和身份驗(yàn)證中起作用的心態(tài)。身份驗(yàn)證依賴于三個(gè)要素:知道的東西、擁有的東西和身份。“知道的東西”是最容易受到網(wǎng)絡(luò)攻擊的身份驗(yàn)證形式,因?yàn)槿绻肋@些,那么其他人也可以。然而,它是用戶名/密碼憑證的核心。為了在認(rèn)證過程中建立一個(gè)可驗(yàn)證的身份,必須消除“知道的東西”,專注于“擁有的東西”和“身份”。
 
隨著最近關(guān)于改善網(wǎng)絡(luò)安全的行政命令,身份驗(yàn)證和生物特征認(rèn)證正在獲得動(dòng)力。在其中,美國總統(tǒng)拜登呼吁美國政府機(jī)構(gòu)為內(nèi)部部署設(shè)施和基于云計(jì)算的環(huán)境轉(zhuǎn)向零信任架構(gòu)。零信任基于“永不信任,始終驗(yàn)證”的原則。在憑據(jù)的場景中,這意味著企業(yè)不相信帳戶所有者正在提出訪問系統(tǒng)、應(yīng)用程序或數(shù)據(jù)的請(qǐng)求,直到它得到絕對(duì)驗(yàn)證。
 
遵循零信任驗(yàn)證身份需要將“擁有的東西”(例如駕照或護(hù)照)與“身份”(例如活的生物識(shí)別特征)相結(jié)合。由于最近的技術(shù)進(jìn)步,用戶可以將政府部門頒發(fā)的文件上傳到企業(yè)的安全系統(tǒng),并且在每次登錄嘗試時(shí)都會(huì)根據(jù)這些文件驗(yàn)證他們的實(shí)時(shí)生物識(shí)別信息。用戶現(xiàn)在已經(jīng)建立并附加了確認(rèn)的身份到他們的憑證中。
 
因此,在勒索軟件的背景下,這意味著企業(yè)甚至可以大幅減少經(jīng)驗(yàn)豐富的勒索軟件威脅參與者對(duì)其憑據(jù)的訪問。
 
將何去何從?
 
隨著企業(yè)努力確定勒索軟件攻擊的預(yù)防策略,答案在于查看威脅行為者更常使用的內(nèi)容。憑證問題不能通過簡單地消除密碼和用戶名來解決。無密碼解決方案無疑是未來的趨勢,但如果不首先驗(yàn)證用戶的身份,它們就毫無用處。
 
身份驗(yàn)證是企業(yè)安全系統(tǒng)中提供訪問權(quán)限的最重要步驟,在身份建立之前無法進(jìn)行身份驗(yàn)證。這稱為基于身份的身份驗(yàn)證,它是有效安全措施的基礎(chǔ)。一旦建立了具有高效率的身份,基于密碼的憑證就會(huì)過時(shí)。最終目標(biāo)不是無密碼解決方案,其目標(biāo)是基于身份的身份驗(yàn)證,無密碼解決方案是實(shí)現(xiàn)這一目標(biāo)的手段。
 
勒索軟件攻擊的成功取決于給予網(wǎng)絡(luò)攻擊者的機(jī)會(huì)。采用正確的技術(shù)將使企業(yè)能夠擺脫被動(dòng)的安全方法,并有效應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)攻擊。
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)