[网管人文章分享] 跌破眼镜十大安全误解　勒索软体网路攻击曝真相

网路攻击频传，勒索软体横行，这段时间很不平静。Sophos Rapid Response团队调查各种组织遇到的网路攻击，列出了过去12个月内最常看到的一些安全误解，并根据事件回应人员在第一线的经验及观察来解开每一个错误认知。

 

最近Sophos Rapid Response团队整理出一份清单，列出了过去12个月内他们在消除和调查各种组织遇到的网路攻击时，最常看到的一些安全误解。同时，针对这十项安全误解，Sophos提供了对应的观点，根据事件回应人员在第一线的经验和观察来解开每一个错误认知。

误解1：我们不会成为锁定目标

许多网路攻击受害者都认为他们的企业规模太小或没有对攻击者有价值的资产，不会被锁定或缺乏可以吸引攻击者的高价资产。但事实上这并不重要：只要组织能够上网和拥有处理能力，那么就可能成为目标。尽管跃上媒体的头条新闻很耸动，但大多数攻击并不是由高阶的民族国家攻击者发动的，而是由机会主义者发起。他们多半寻找容易到手的猎物和唾手可得的机会，例如存在很容易利用的安全漏洞、错误或设定不当的组织或企业。

如果认为组织不会是目标，那么或许就不会主动留意网路上的可疑活动，例如在网域控制站上出现的Mimikatz（一种开源应用程式，可让使用者查看和保存验证凭证）──你可能会漏看攻击的早期迹象。

误解2：不需要安装进阶安全技术

部分IT团队仍然认为端点安全软体足以阻止所有威胁以及他们不需要伺服器安全保护。攻击者完全利用了他们这个心态。设定、修补或保护措施的任何错误，都会使伺服器成为主要目标，而不是过去被摆在一旁的次要目标。

试图绕过或停用端点软体，并避免被IT安全团队侦测出来的攻击技术与日俱增，包括由人为操纵，利用社交工程和多个弱点入侵的攻击；以重重封装和模糊的恶意程式码直接插入记忆体；以映射DLL（动态连结函式库）载入的「无档案型」恶意软体攻击；使用合法的远端存取代理程式进行的攻击（如Cobalt Strike），还有利用日常IT管理工具和技术等进行的攻击。基本的防毒技术难以侦测和阻止此类活动。

同样地，认为只要端点受到保护，就可以防止入侵者入侵未受保护的伺服器，这个假设是错误的。根据Sophos Rapid Response调查的事件，伺服器现在是首要攻击目标，攻击者可以使用偷来的存取凭证轻松地直接入侵它们。大多数攻击者也知道如何绕过Linux电脑。事实上，攻击者经常侵入Linux电脑并安装后门，将其作为避风港并当成入侵目标网路的一个管道。

如果组织只有基本安全保护，没有使用更进阶以及相关的整合式工具，例如以行为和AI为基础的侦测以及24/7全天候以人为主导的安全营运中心，那么入侵者最终仍会得逞，找到绕过防御的方法。

最后但同样重要的是，请务必记得，预防是理想，但侦测是必要的。

误解3：已经制定了强大的安全政策

为应用程式和使用者制定安全政策极为重要。但是，随著连线到网路的设备不断新增特性和功能，它们也需要不断检查和更新。请使用如渗透测试、桌上模拟演练和灾难复原计画测试等方法来验证和测试政策是否可行。

误解4：变更RDP连接埠并采用多因素验证就可免于被攻击

不少组织认为只要更改远端桌面通讯协定（RDP）伺服器的连接埠并采用多因素验证（MFA），就可以让它们免于攻击者的攻击。RDP服务使用的标准连接埠是3389，所以大多数攻击者会扫描这个连接埠来寻找开启的远端存取伺服器。但是，这些扫描也会寻找所有连接埠上任何开启的服务，因此变更连接埠几乎无法或根本没有提供保护。

此外，虽然采用多因素验证很重要，但除非对所有员工和装置强制执行这个政策，否则仍无法增强安全性。RDP活动应该在虚拟专用网路（VPN）的保护边界内进行，但如果攻击者已经在网路中取得立足点，只阻挡RDP也无法完全保护组织。理想情况下，除非不可或缺，IT部门应该限制或禁止在内部和外部使用RDP。

误解5：阻挡高风险地区的IP地址就可以免受攻击

阻挡来自俄罗斯、中国和北韩等高风险地区的IP地址可以保护我们免受来自这些地区的攻击？确实，阻挡来自特定区域的IP有益无害，但如果只靠这一点来进行保护，则可能会造成虚假的安全感。攻击者的恶意基地分散在许多国家或地区，热点包括美国、荷兰和欧洲其他地区。

误解6：备份可以对勒索软体免疫

保持档案的最新备份，对业务非常重要。但是如果你的备份连线到网路，那么它们就都处于攻击者的锁定范围内，容易在勒索软体攻击中遭到加密、删除或停用。要注意的是，限制可以使用备份的人数不会显著提高安全性，因为攻击者会花时间在你的网路中找到这些人以及他们的存取凭证。

同样地，将备份储存在云端也要很小心——在Sophos Rapid Response调查的一起事件中，攻击者利用遭骇的IT管理员帐户向云端服务供应商发送电子邮件，要求他们删除所有备份，而供应商答应了。

在遭勒索软体攻击后复原资料和系统的备份标准原则是3-2-1法则：所有内容保存三个副本、使用两种不同的系统，其中一个处于离线状态。 最后要注意的是，离线备份无法保护信息免于敲诈型勒索软体的攻击，在这种类型的攻击中，犯罪分子会窃取并威胁要公开你的资料，而不是加密资料。

误解7：员工了解什么是安全性

根据《2021年勒索软体现状》调查，22%的组织认为他们将在未来一年内受到勒索软体的攻击，因为很难阻止使用者遭到入侵。 网路钓鱼电子邮件等社交工程手法越来越难以捉摸。邮件上的信息通常是手工制作的，描述准确、有说服力和非常小心地选择目标。你的员工需要知道如何发现可疑邮件以及收到邮件后该怎么做。他们应该通知谁，以便其他员工保持警惕？

误解8：事件回应团队可以在勒索软体攻击后复原资料

在勒索软体攻击后复原资料并不容易。当今的攻击者犯的错误越来越少，加密过程也不断改进，只靠事件回应团队找到漏洞来还原损害是极其罕见的。大多数现代勒索软体也会删除Windows磁碟区阴影复制等自动备份，并覆盖掉储存在磁碟上的原始资料，因此若想复原资料，只有支付赎金一途。

误解9：只要付赎金，资料一定可以取回

如果抱持著支付赎金后，就可以取回被勒索软体攻击的资料，可能要大失所望。根据《2021年勒索软体现况》，支付赎金的组织平均可以取回约三分之二（65%）的资料。只有8%的组织取回所有资料，29%的人复原了不到一半。因此，支付赎金（即使看起来是个更容易的选择或者也符合你的网路保险政策）也不是让贵组织重新站起来的最佳解决方案。

此外，复原资料只是复原过程的一部分，在大多数情况下，勒索软体会完全停用那些电脑，需要从头开始重建软体和系统，然后才能复原资料。2021年的调查发现，复原的平均成本是赎金的十倍。

误解10：只要撑过勒索软体攻击就没事

不幸的是，大部分都不是这种情况。勒索软体出现，只是攻击者希望你意识到他们存在且他们做了什么事情的一个时间点。

在勒索软体发动攻击，探索、停用或删除备份、寻找具有高价值信息或应用程式的电脑之前，攻击者可能早就已经进入你的网路中数天甚至数周，然后加密、删除信息及安装额外的装载（例如后门程式）。在受害者网路中保留据点，可让攻击者根据需要发起第二次攻击。

＜本文作者：Peter Mackenzie在Sophos负责带领事件回应团队。他与威胁搜寻专家团队合作，协助受网路威胁攻击的组织调查、遏阻和消除攻击。Peter自2011年以来一直服务于Sophos，专职于勒索软体攻击的防御工作。＞

全文连结：https://www.netadmin.com.tw/netadmin/zh-tw/viewpoint/D0093EA02BB44319A275B7B499921337