强力推送:抵御勒索软件必读

【编者按:过去数周,WannaCry,Petya等各种勒索软件(ransomware)在全球大面积扩散,让成千上万的企业和个人受害,码头、核电厂、医院等基础设施和公共服务机构的运营受到影响,造成极大的破坏。本文来自思科系统(Cisco Systems),对如何抵御勒索软件作了系统的阐述,美国印象网强力推荐给所有读者朋友们。】

在有经验的攻击者手里,具有自我传播功能的勒索软件将会成为受害者的一场噩梦。但是,尽管可能发生上述情形,但是并不代表它必然会发生。总体 来说,大多数企业网络都以大致相同的方式构建,因此所描述的场景大体相同。这意味着无 论具体目标是谁,上述场景几乎都普遍适用。






鉴于企业的网络设计具有相同特性,针对“当攻击者以我们为目标的时候,会发生什么”这个问题,答案是相同的:如果没有坚实的外围防御, 那么攻击者就能够进行初始访问。如果攻击者可以进行初始访问,而且受害者允许这种威胁 在网络内逐渐渗透,攻击者所得到的授权就会逐步升级,最终他们就会映射网络,以访问帮 助他们达到目的的相关资产。如果允许权限升级,在攻击者部署勒索软件后,就会对目标组 织产生彻底危害,并造成服务的丧失。这时问题会变成:当攻击者不再满足于投机性地攻击 医院,而是将他们的目标设定在其他组织或者其他垂直行业,情况会怎样?电力、燃气、水、 运输、空中交通管制?与以往相比,深度防御已经不再是数十年间所宣传的一个概念或词语, 如今,它更成为一项必须进行的实践工作。

下面列出的是一些降低风险的策略。尽管这些都不是新出现的方法,但是当组合使用的时候, 这些防御技术和策略能够灵活地阻止初始访问,并且如果攻击者成功地获取初始访问,他们 具有限制相关威胁的作用。 防止初始访问 在攻击尚未开始之前,我们就可以采取措施来预防进攻的发生。如果攻击者在目标网络无法轻 易地建立初始访问,那么攻击者更可能转向其他较为容易进攻的目标。攻击者也是机会主义者 ,他们希望花费尽可能少的代价来取得相应的收益。如果无法轻易地建立初始访问,这会增加他们寻找其他更容易进攻目标的可能性。

获得初始访问通常采用如下两种方式中的一种:公共 服务的漏洞或者网络钓鱼/社交工程。 DMZ 强化技巧 DMZ 强化包括几个关键性的管理和维护任务:

  • 定期进行端口扫描:端口扫描可以用来映射您的 DMZ,并且在组织连接互联网的时候, 可以更好地查看实际的服务和操作系统的情况。如果您有一些服务连接到互联网,您 可以将公共地址映射到私有地址,以确定谁拥有那些资产和/或是否确有必要将这些服 务连接到互联网。连接到公共互联网的服务数量越少,攻击者的攻击范围就越窄。
  • 漏洞扫描/补救:一旦确定有公开暴露的服务,应使用漏洞扫描工具对其进行扫描。尽 快修复扫描结果。
  • 常规系统维护:
  • o 查找并遵循系统强化指南,例如 DISA 的 STIG[41] o 确保定期执行补丁维护。
    o 确保 DMZ 系统日志连接到日志采集器/SIEM。
    o 需要身份验证的所有公开系统/服务都应当使用强密码;并可以考虑实施双因素 身份验证(如果可能)。
    o 需要身份验证的所有公开系统/服务都应具有限速功能,或者可以基于失败的猜 测次数中断系统/服务,从而阻止暴力破解攻击。

缓解网络钓鱼/社交工程 若要防止攻击者通过网络钓鱼或社交工程获得初始访问则要困难得多,具体可以采取下述措 施来缓解相关风险:

  • 考虑建立一个公司管制的文件共享程序,组织的用户和/或公司合作伙伴之间可以通过 该程序交换文件。使用一个文件共享解决方案,并指示用户不得共享或接收来自邮件 的文件,这样做几乎就可以完全缓解利用附件的网络钓鱼攻击。指示用户不得使用邮 件服务器进行文件交换,也不得将其用于文件归档。
  • 通知用户不必经常使用启用宏的 office 文档,甚至永远不要启用宏。 实际上,您大多 数的基础用户无需使用宏,可以通过组策略禁用 office 宏,并只为有特定需要的业务 部门而启用宏。 对于必须使用 Office 宏的那些业务部门,可以考虑使用数字签名 的宏,以进一步降低该风险。
  • 有些网络钓鱼攻击是通过传送 PDF 文件来进行的,专门针对某些 PDF 阅读器应用 (例如 Adobe Reader)的漏洞来达到执行代码的目的。可以考虑使用其他 PDF 阅 读器并禁用额外的功能(例如 PDF 上的 JavaScript)。
  • 确保邮件扫描网关禁止发送和接收可执行文件(exe、dll、cpl、scr)、带有宏的 JavaScript(.js 文件)office 文档,以及扫描 .zip 文件的内容。
  • 对 SPF 记录进行检查/验证,以减少欺骗性电子邮件。 • 确保您拥有邮件网关解决方案,并使用最新的网络钓鱼域信息对其进行更新 (如 senderbase 等) • 通常,由于新的 gTLD 和动态 DNS 域价格低廉,因此在恶意软件活动中出现了严重 的滥用。在大多数情况下,几乎可以无所顾忌地将这些域列入黑名单;毕竟它们与业 务的相关性往往非常低。将动态 DNS 和 gTLD 默认为黑名单,并且只有在特定业务 确有需要的情况下,将单个域根据需要加入白名单。
  • 提示用户,即便信任也要进行验证,特别是对于来自公司外部的带有附件的任何邮件 。进行验证时,只需简单地询问发送方“您发送过此邮件吗?”在打开附件之前,都应 首先通过电话进行确认。 • 在任何情况下,如果用户怀疑他们遭到了网络钓鱼攻击,指示用户报告该事件。不应让 用户畏惧您的 SOC 或安全部门,并且不应因为用户报告安全事件而对其施加惩罚。
  • 通知用户,IT 和/或安全部门从不会要求其提供他们的密码,从而降低网络钓鱼攻击的 有效性,他们在攻击的时候会尝试收集用户的凭证。
  • 禁止安装 USB 驱动器。这将减少“由于帮助别人打印其 USB 驱动器中的简历而感染恶 意软件的场景”,同时可以缓解试图通过已感染病毒的 USB 驱动器躲避防御的自我传 播型恶意软件。如果无法在整个企业都禁用可移动介质,至少要禁止可移动介质通过 GPO 自动运行,并且指示员工决不可接受或使用来自不受信任源的闪盘。指示用户在 插入闪盘以及访问文件之前,应当对所有的闪盘进行病毒扫描;可以考虑配置相应的 杀毒软件,从而在任何 USB 驱动器插入系统时,杀毒软件会自动进行即时扫描。如 果需要在敏感的物理分隔区使用闪盘,可以考虑单独留存一批闪盘,将其标记为公司 资产并在每次使用时进行签名登记。
  • 确保访客在前台进行登记、签名,并始终对其进行跟踪监控。访客进行访问时,应始 终有陪同人员在旁。
  • 近距尾随,即未获授权的个人跟随已获授权的个人进入限制区,可能会成为一个严重的 问题。大多数人都有避免冲突的倾向,因此就使得实施防止近距尾随的策略更加困难, 对于似乎“手头工作很忙”的人提出上述要求则尤为困难。解决办法是将下述要求列入安 全政策:员工必须佩戴工牌并随时可以让人们看到。此外,所有授权访客、供应商等都 需要遵守本政策,进入所有门户时都必须携带工牌并且始终应由员工陪护/陪同。 阻止逐步渗透和传播 如果攻击者突破您的初始防御,您的目标就是尽可能地让他们难以在网络里逐步渗透。通过 周密的架构和密码管理,您可以使攻击者的逐步渗透变得非常困难。
  • 企业大部分的网络是“一马平川”的,在业务部门之间、用户和数据之间、特定数据和 业务部门之间等,几乎很少甚或没有分段。在大型组织里,您通常看不到网络分段的 原因是这需要大规模的协调和规划。大多数网络随着容量需求的增加而随之增长,同 时只有很少甚或根本没有考虑进行分段。进行企业兼并时,他们通常关注的是如何快 速集成其他资源,而这和安全的要求是相反的。除了这些之外,对网络进行适当分段 的好处是不容否认的。通过分段可以终止和/或减缓逐步渗透,并控制所产生的威胁。

分段网络有多个组件,但是不应只是将其视为一份详细清单,而是应当考虑具体实施 以下事项:

  • VLAN 和子网分段:每个业务部门都应拥有各自的 VLAN 和子网,从而对各自 访问的数据进行逻辑隔离。另外,分段不应该仅限于业务部门。用户工作站与 本业务部门所需的服务器/服务,以及跨业务部门所使用的服务(例如,消息、 文件共享、邮件等)同样需要进行分段。VLAN 和子网的列表应当由 IT 和安全 人员进行精心维护并供其使用。如果您由于疏忽而未获得这些信息,或者正在 尝试找出对用户、服务器和业务部门进行逻辑分隔的方法,可以考虑查找 DHCP 范围配置并且将其用作进行子网和 VLAN 分段的准则。
  • 专用防火墙/网关分段:防火墙是网络分段的另一个重要部分,但是在进行内部 网络设计时,它常常为人们所忽视。了解哪些业务部门有彼此直接通信的需求, 哪些没有这种需求。了解业务部门间进行通信时需要哪些服务和端口。对入口 和出口进行过滤(这需要了解服务数据流的方向)。定期审查防火墙策略。IT 和安全人员应当可以使用防火墙策略,并应参与策略审查的决定。
  • 配置入口/出口过滤的主机型防火墙。再次强调 – 入口和出口均需进行过滤。主 机彼此之间应当不能通过 SMB(139/tcp、445/tcp) 进行通信。如果设置了文 件服务器,实际上就不需要进行这种通信。如果您可以有效地禁用主机间的 SMB 通信,您就可以防止攻击者使用“通过散列表”所进行的逐步渗透。SMB 通讯应仅限于应用分发平台,文件共享和/或域控制器。
  • 应用程序管制/白名单:应用程序白名单是 windows 的内置功能,可以通过软件限制 策略来实施这种功能[43]。 但是,如同网络分段一样,它需要大量的时间进行实施和测 试,尤其当不同的业务部门有不同程序需求的时候。 因此作为一种临时措施,使用它 来阻止试图在特定位置(例如 Windows 系统的 %TEMP%或%APPDATA% 目录)运 行的可执行文件,可能较为容易,同时可以对某些有必要运行可执行文件的应用程序 做出例外设定[44]。 如同网络分段一样,白名单的设置也需要花费大量的时间,但是对 于控制和防止初始访问和逐步渗透,它能够为我们带来巨大的帮助。
  • 基于角色的网络共享权限(最小权限):在网络上多个业务部门、文件夹权限和共享 权限之间的文件共享往往极其复杂。应用程序的文件共享权限如果限制在最小范围, 就可以防止对单个用户的攻击所导致的网络文件共享上的大部分数据发生丢失,也可 以防止攻击者使用被侵害帐户来访问不同业务部门的数据;如果密码安全管理不善, 攻击者可能使用被侵害的用户帐号来收集文件共享中该用户所不应拥有的凭证。
  • 适当的凭证管理:应当对用户进行培训,从而要求其使用密码管理器和强密码来存储 网络凭证。要求客户不得重复使用密码 。