勒索软件攻击的神话以及如何降低风险

今天的现代公司都是建立在数据之上的，数据现在存在于无数的云应用程序中。因此，防止数据丢失对您的成功至关重要。这对于缓解日益增多的勒索软件攻击尤其重要，57%的安全领导人预计在未来一年内会受到威胁。

随着组织的不断发展，勒索软件也在不断发展。为了帮助您保持领先，Lookout首席战略官Aaron Cockerill会见了Microsoft首席安全顾问Sarah Armstrong Smith，讨论了远程工作和云如何使发现勒索软件攻击变得更加困难，以及部署基于行为异常的检测如何有助于降低勒索软件风险。访问完整面试。

Aaron Cockerill：我觉得现代企业的运作方式，包括各种技术的结合，让勒索软件得以蓬勃发展。在我过去的角色中经历过这种类型的攻击，我知道有多少CISO感觉到了。人类的本能是支付赎金。你看到了什么趋势？

Sarah Armstrong-Smith：想想勒索软件是如何演变的，这很有趣。我们认为这些攻击非常复杂。事实上，攻击者更喜欢经过测试的人：他们喜欢凭证盗窃、密码喷洒，他们扫描网络，从黑暗的网络上购买凭证，使用勒索软件包。

所以在很多方面，情况都没有改变。他们正在寻找任何进入您网络的方法。因此，尽管我们谈论网络攻击变得越来越复杂，但最初的切入点并不是勒索软件运营商的与众不同之处，而是接下来会发生什么。

这取决于坚持和耐心。越来越多的趋势是，攻击者非常了解IT基础架构。例如，许多公司都在运行Windows或Linux机器，或者在本地拥有实体。他们还可能利用云服务、云平台或不同的端点。攻击者明白这一切。因此，他们可以开发遵循这些IT基础架构模式的恶意软件。从本质上讲，这就是它们进化的地方，它们对我们的防御越来越明智。

Aaron：我们目睹的一个演变是数据被盗，然后威胁将其公开。你看到的是同一件事吗？

莎拉：当然。我们称之为双重勒索。因此，最初敲诈勒索的一部分可能是关于加密您的网络并试图获取解密密钥。敲诈勒索的第二部分实际上是关于你必须支付另一笔钱，以试图取回你的数据或不发布数据。您应该假设您的数据已丢失。很可能它已经被出售，并且已经在黑暗的网络上。

Aaron：你认为与勒索软件相关的一些常见神话是什么？

莎拉：有一种误解认为，如果你支付赎金，你会更快地得到你的服务。现实情况大不相同。

我们必须假设勒索软件运营商将其视为一个企业。当然，我们的期望是，如果你支付赎金，你将收到一个解密密钥。现实情况是，只有65%的组织实际收回了数据。这不是一根魔杖。

即使你要收到一个解密密钥，它们也有很多问题。而且它肯定不会把一切都公开。通常，你仍然需要一个文件一个文件地浏览，这是非常费劲的。这些文件中有很多可能会被破坏。您所依赖的那些大型关键文件很可能是您无法解密的文件。

Aaron：为什么勒索软件仍然对公司造成如此严重的影响？我们似乎一直在讨论攻击者用来实施这些攻击的方法，例如网络钓鱼和商业电子邮件泄露，以及永远防止数据外泄和修补服务器？为什么勒索软件仍然是一个大问题？我们能做些什么来预防呢？

莎拉：勒索软件作为企业运行。支付的人越多，威胁行为人就越会勒索赎金。我认为这是一个挑战。只要有人在某处付钱，攻击者就有投资回报。

现在的区别是，攻击者有多少时间和耐心。尤其是一些较大的公司，他们会有毅力，并且他们有意愿和愿望通过网络继续前进。他们更有可能使用脚本和不同的恶意软件，他们正在寻找特权的提升，以便能够过滤数据。他们将在您的网络中停留更长时间。

但如果你愿意的话，常见的缺陷是攻击者不指望有人监视。我们知道，有时攻击者会在网络中停留数月。因此，在网络被加密或数据被过滤的时候，对你来说已经太晚了。实际事件发生在几周、几个月或是很久以前。

这是因为他们正在学习我们的防御：“如果我提升了特权，如果我开始过滤一些数据，有人会注意到吗？如果我确实被注意到，有人能及时回应吗？”这些攻击者已经做好了准备，在他们要求某种敲诈或要求的时候，他们已经做了大量的活动。对于更大的勒索软件运营商来说，投资是有回报的。因此，他们愿意投入时间和精力，因为他们认为他们会找回这些。

Aaron：Gartner写了一篇关于如何检测和防止勒索软件的有趣文章。它表示，检测攻击的最佳时机是在横向移动阶段，攻击者在该阶段寻找漏洞以转移或窃取更有价值的资产。

我认为这是我们面临的最根本的挑战之一。我们知道如何降低网络钓鱼风险—；尽管这总是一个问题，因为它有一个人类因素。但是，一旦他们获得了初始访问权限，就可以获得RDP（远程桌面协议）或服务器的凭据，然后他们就可以开始横向移动了。我们该怎么做才能检测到呢？听起来这是最大的发现机会。

听完整的采访，听听Sarah对检测勒索软件攻击的最佳方法的想法。

保护数据的第一步是了解发生了什么。当你的用户无处不在，使用你无法控制的网络和设备访问云中的敏感数据时，很难看到你面临的风险。

通过了解非托管端点和托管端点、云中以及两者之间的任何地方发生的情况，消除了猜测。立即联系Lookout。