以攻促防: 勒索软件攻击实战演练

本文章重点探讨勒索软件攻击的全球形势、产业现状以及为何攻击者偏爱此类攻击。报告指出,勒索攻击的损失主要源于业务中断、赎金支付和数据泄露,且损失金额持续攀升。在国内,企业多采取秘密处置勒索事件的策略,而监管机构也发布了相关防范要求。文章还描述了勒索攻击产业的发展,包括“勒索即服务”模式的兴起。

一、背景情况

1、国内外勒索攻击形势

全球范围内勒索攻击事件数量居高不下。从《从2022年1月1日续转看国际网络责任险市场的若干趋势》中直观感受到网络勒索的损失金额在网络安全保险整体损失中的占比一直在提升,从2019年低于30%到2021年接近80%,行业损失结构已经彻底改变。

勒索攻击的损失主要来自于业务中断、赎金支付、数据泄露三个方面。根据IBM发布的2023年《数据泄露的代价》报告,全球平均赎金支付额为170万美元,全球平均业务中断成本为265万美元,全球平均数据泄露成本为420万美元。

而国内被勒索攻击的企业也不在少数,但都选择秘密处理且严防泄密。近年银行业、证券业监管单位,均发布了防范勒索病毒攻击的要求和通知,同时公司领导也多次强调要做好保障。在近日,我们又收到一份监管发出的更详细的指南。

以攻促防: 勒索软件攻击实战演练

2、勒索攻击产业现状

2017年的WannaCry发起的全球性勒索软件攻击,它利用NSA泄露漏洞造成大规模破坏。让大众直观的认识了勒索软件。近年勒索软件向着双重勒索、定向攻击、大规模攻击的方向发展,除加密文件外,威胁泄露敏感数据,增加支付赎金的动机攻击者瞄准供应链,通过攻击第三方实现更广泛影响。
目前勒索攻击已经发展成庞大的产业链,勒索组织提供“勒索即服务”(Ransomware as a Service),为买家提供勒索病毒、内网权限、攻击工具,并帮助买家索要赎金,甚至会帮买家洗钱,目前有越来越多的勒索软件完成了RaaS化的“业务转型”。肉眼可见,未来勒索攻击的范围会更广,频次更高,危害也会更严重。
以攻促防: 勒索软件攻击实战演练

攻击者为什么要选择勒索攻击?

一是高回报且低风险:勒索攻击往往可以在短时间内获得高额回报。勒索攻击相对于其他形式的网络犯罪来说,风险相对较低。使用加密货币进行勒索支付可以有效逃避金融机构和执法机构的追踪,提高攻击者逍遥法外的可能性。

二是广泛目标且易于实施:勒索攻击的目标范围很广,可以针对个人用户、企业、医疗机构、政府机构等。勒索攻击通常使用成熟的勒索软件工具,这些工具往往易于获取和使用。

三是信息不可替代性:对于某些机构和个人而言,其数据可能是无法替代的,尤其是涉及到独特的知识产权、客户信息、研究数据等。

四是缺乏防御措施:一些组织和个人缺乏有效的备份策略和安全防护措施,使得他们更容易受到勒索攻击的威胁。

3、行业勒索攻击现状

国内企业出现信息安全事件时,大都采取封锁消息、消除影响的策略。因此,在公开信息中很少见到被勒索攻击案例,但在安全圈中经常能零星听到相关的事件。导致,安全团队向公司领导汇报时,很少或没有明确、详细案例,无法良性驱动企业安全建设、安全行业发展。

比如,某证券在非开市时间被勒索,周末24小时无休加班处置,在开市前完成处置。

二、实战演练思路

1、面对勒索攻击的疑问和误区

一些常见的疑问,有防病毒能不能防御勒索攻击?有技术大牛能不能防御勒索攻击?有应急预案能不能防御勒索攻击?有沙盘演练过能不能防御勒索攻击?有完善的信息安全防护体系能不能防御勒索攻击?

一些常见的认知,要持续研究勒索攻击样本在终端把病毒都杀掉;要用“四步法”覆盖网关、流量、终端,建立勒索攻击的纵深防护体系;勒索攻击的前提是被攻破,应该专注事中,做好应急预案……

只有在勒索攻击发生时才发现,原来所谓规范没人看,原来应急预案行不通,原来操作流程记不住,原来找人电话没人接,原来样本会绕过防病毒,原来样本还能绕过EDR,原来命令参数不会用,原来网络封禁不生效,原来人员能力是这样,原来结果是这样……

2、面对勒索攻击的最佳方案

面对勒索攻击的一些考虑:企业需要基于监管、公司、预算、人员、时间等主要因素,作出适合自身的选择。而证券行业,监管有对勒索攻击防范提出明确要求,又有坊间传言的事件案例,对于消除较大安全风险公司一般是支持的,预算方面问题不大,但人员和时间极度匮乏。

面对勒索病毒的一些选项:一是直接躺平;二是制定勒索攻击应急响应方案;三是制定勒索攻击应急响应方案并进行沙盘演练;四是制定勒索攻击应急响应方案并执行实战演练。

最佳ROI的方案是,安全团队拉上运维、研发一起搞实战演练,但注意控制风险。实战永远是效果最好、最接地气的方法,相信很多同行知道721法则,70%的成长来自于实战。网络安全的世界里,没有出事并不代表结果是好的。没有被攻击,最终没有出事,只能说明你运气好。有被攻击但处置得当,才能说明是真正的好。

真枪实弹的实践,才能筑成真正的勒索攻击防线。

三、实战演练方案

以“真枪实弹”作为出发点,我们遵循真实、可控、技术先进的原则,制定并实施了一次还原度较高的勒索演练。

1、实战演练目标

勒索攻击实战演练是最贴近真实情况、效果最好、最能提升团队实战能力的方法,但难度最大、成本高昂也是不争事实。因此,在着手规划勒索演练前,我们需要再次明确勒索演练的目标。我们将本次勒索演练的目标归纳如下:

      1. 评估现阶段勒索防护措施有效性、防御效果;

      2. 评估安全团队应对勒索攻击的真实水平(日常有点飘);

      3. 发现可被勒索攻击利用的安全隐患并及时修复;

      4. 评估面对勒索攻击的应急响应能力和业务恢复能力;

      5. 评估勒索攻击应急响应方案的可操作性和有效性;

      6. 提升公司员工的勒索攻击安全意识。

2、实战演练原则

为了满足如上目标,本次勒索攻击实战演练遵守三个原则:
基于真实场景勒索演练重点不在于对抗,在于能否找到安全防御的薄弱环节和安全隐患。在日常工作场景中开展勒索演练,暴露真实问题。攻击时不通知安全运营人员,应急过程安排专家观察,样本模拟真实感染传播和锁机效果,协调多个团队共同参与。
安全风险可控。使用高度仿真且完全可控的病毒,勒索演练涉及到的终端、人员、数据从多维度对各类风险进行监控和规避,包括环境调研、仿真病毒测试、应急预案设计、人员培训等。选择可控的仿真病毒和投放平台非常重要。

技术先进性。为最大化实战演练效果,勒索攻击演练将真实勒索团伙作为假想敌,以评估面对勒索攻击时的真实防护能力。尽力使用勒索攻击真实手法和样本,采用人工+自动化工具结合的入侵方式、采用社工形式投递、样本具备较强的免杀能力等。

3、实战演练过程

制定勒索攻击实战演练计划,将整个勒索演练过程分为计划、准备、执行、总结四个阶段:

计划阶段

在此阶段,我们首先要确定演练目标,并和所有参与方都拉齐,达成共识;

第二步是根据现有资产网段、网络拓扑和安全产品部署的位置和覆盖的范围,对安全现状进行评估,到此我们对于整个网络架构中的薄弱点和安全水位应当有大致了解,有助于后续制订应急预案;

在此基础上,我们需要确定演练时间,以演练目标为导向确定演练进行的范围如办公区、测试区等,并制定演练剧本,同时初步确定攻击方的TTP;

然后是人员和资源的确认。需要成立本次演练的指挥部,下设攻击与评估组、防守组和资源调度组,并确认人员,包括是否安排“内鬼”、“演员”等。演练资源的确认要精细到哪些网段、资产可使用。

最终,以可执行表格的形式,把演练计划和时间点都落定。

准备阶段

这一阶段我们兵分两路,攻击方主要目标是为攻击的成功做准备,同时做好完善的风险控制,防守组则需要制定应急预案。

攻击方首先需要建立仿真环境,我们最终以虚拟终端和真实终端相结合的方式,既适当搭建了演练所需的虚拟环境,也保留了部分真实的环境,能仿真勒索的入侵过程和分支单位应急响应的过程,也能够兜底演练效果,保证各阶段流程顺利进行。其次是根据计划阶段的TTP准备相关的攻击工具和技术,要验证仿真病毒的有效性和可控性,同时考虑到演练节奏的可控性与可视化,需要部署并测试支撑平台,实现病毒一键投放和清理,以及演练过程中的实时效果展示;贯穿整个准备阶段的是风险控制,包括仿真病毒控制、演练人员安全管理和演练白名单等机制。

防守方在制定应急预案后,将在应急评估小组的指导下对预案进行修改,最终定稿输出。

执行阶段

在准备完成后,攻击小组将“如约”以近源、邮件钓鱼等方式攻入演练仿真环境,投递仿真勒索病毒,并在预定时间开始扩散。

在此期间,防守组将利用已部署的安全设备去检测攻击行为。在仿真病毒爆发后,勒索演练正式进入应急流程,现阶段的安全水位和应急预案的有效性将被彻底检验。

在整个执行阶段,应急评估小组会对防守方的应急能力进行打分,并指导防守方完成应急流程,此外会收集和分析整场演练的数据和信息。

总结阶段

根据演练结果和数据,我们将产出《勒索演练攻击报告》、《勒索演练应急响应报告》和《勒索演练总结报告》,通过报告和复盘会,总结并评估勒索演练的效果和价值,以结果和数据为导向,提出企业安全的改进和加强措施,更新和完善企业安全防御架构和策略。

四、实战演练效果

整体看来,这次实战演练中我们的心态经历了一个从“我认为我可以”到“我以为我可以”的转变,实战之下,暴露出的问题非常全面。

1、预案准备:我认为我可以

“理论上可以”的坦途中早已埋下了隐患。

在准备阶段,我们先后制定和修订了《勒索攻击安全管理规范》、《勒索攻击应急响应流程》、《勒索攻击应急操作手册》、《勒索攻防纵深防御方案》,准备了勒索攻击应急工具包,甚至提前做了沙盘演练,还生成了《勒索攻击沙盘演练报告》。此外不得不提的是,在勒索攻击演练中,确认样本的可控性也很重要。

但是,规范、方案、流程、手册、工具包从来不等于效果,有时甚至和效果没有关系。就像成年人经常说的,这理论上可以,你说得有道理,但做起来却未必。

2、应急处置:我觉得我可以

在这个阶段,一些问题开始出现,但此时我们仍然觉得“问题不大”:

告警绕过。安全系统生效的前提条件有很多,比如要是真正的安全系统、资产要覆盖、策略要更新、告警要运营、人员要在线等,但这次演练就出现了很明显的告警绕过。

处置不当。应急响应在日常工作中发生极少,实践经验的积累很困难。由于缺少经验,会出现很严重的理论与实践脱节的情况。比如,断网之后如何远程排查。

阻断太慢。应急阻断的过程中需要多团队协调,由于通道建立后使用极少,导致在真正联系时出现电话不通、人员休假等问题。

3、排查溯源:我以为我可以

被攻击不可怕,找不到攻击的源头、不知道是什么在攻击我,才最可怕。在排查溯源阶段出现的问题引人警醒:

排查不到。问题依然出现在实践经验上,勒索攻击绕过安全系统防护时,需要安全人员对勒索病毒有足够深入的了解,有丰富的应急响应经验才可能快速排查到。虽然问GPT能解决部分问题,但效果有限。

取证不全。处置不当可导致关键样本、进程、证据丢失,获取样本后要及时分析样本行为。同时,取证非常考验安全人员Linux和Windows的功底。不当的取证操作如:直接让用户关机、重启,自身处理不了时未及时借用第三方能力等。

恢复不了。备份是应对勒索攻击最有效的方法,否则只能自行解密、或求助安全厂商、或向攻击者交赎金。但有时未及时备份,备份也会被加密等情况。

五、总结与展望

实战演练的收获是全方面的,最终基本达成预期。

1、没有实践的理论与废纸无异

不经历一次完整的演练,不可能具有全局视野。没经过验证的应急预案,就是废纸一张。没有真正受打打击的人,心态上不可能真正归零,也不可能打破了固有认知。做安全保持空杯心态,实践先行理论跟进。没有调查就没有发言权,而调查就是实践。

2、没有常态化的实践及格都难

做一次只能解决了不了解的问题,三次只能解决会不会的问题,十次能解决熟练的问题,而百次才能解决是否精通的问题。坚持实战演练,坚持复盘总结。用真实场景进行真实对抗,才能真正打胜仗。

来源参考:

https://mp.weixin.qq.com/s/yHJhWBpMj4vd-3XNHzcrtA

本文来自投稿,不代表首席安全官立场,如若转载,请注明出处:https://cncso.com/ransomware-attack-practical-exercise.html

(0)
上一篇 2024年1月6日 下午8:26
下一篇 2024年1月8日 下午7:27

相关推荐