勒索軟體駐留時間:CISO 深入探討妥協的靜默階段
在不斷變化的網路威脅環境中,「駐留時間」已成為安全領導者的一項關鍵指標。它代表了攻擊者首次非法存取資訊系統到此存取被偵測到的時間段。最近的事件分析強調,這個靜默階段往往是造成最嚴重損害的準備階段,尤其是在勒索軟體部署之前。
發生了什麼事
事件報告一致顯示,勒索軟體攻擊並非突然發生,而是在組織系統中未被偵測到一段長時間後才達到高潮。這種「駐留時間」使攻擊者能夠仔細繪製網路圖、提升權限,並為資料外洩或加密做好準備。例如,一些事件強調了初始進入點(例如被入侵的憑證)如何促進在勒索軟體負載啟動之前的大量駐留時間。
在這個延長期間,威脅行為者從事了經常規避傳統安全控制的活動。他們悄悄地操作,利用與高級持續性威脅 (APT) 一致的技術,例如濫用原生工具(Living off the Land)和執行高級橫向移動。這些方法旨在繞過自動化 EDR 和 SIEM 障礙,使主要關注日常警報流程的內部安全營運中心 (SOC) 難以偵測。
為什麼這種模式會不斷重複
勒索軟體事件中長時間駐留的持續存在根源於幾個系統性挑戰。攻擊者越來越複雜,表現出的操作紀律可以與成熟的企業安全團隊相媲美。他們明白,長時間、未被偵測到的存在可以讓他們以更高的確定性和影響力實現目標。
許多組織仍然依賴反應性安全態勢,在漏洞變得明顯之後才專注於偵測。雖然內部 SOC 擅長處理常規警報,但他們通常缺乏數位鑑識、網路元資料重組和惡意軟體分析方面的專業知識,這些是發現高級、隱蔽入侵所需的。這種差距允許攻擊者保持持久性並準備他們的最後一擊,而不會觸發立即警報。
勒索軟體部署之前的靜默期並非平靜期;它是攻擊者進行偵察和準備的活躍、經過計算的階段。
攻擊者的逐步策略
許多勒索軟體攻擊,尤其是那些在長時間駐留之前發生的攻擊,通常遵循以下階段模式:
- 初始存取和立足點:這通常始於被入侵的憑證。攻擊者透過較少審查的途徑獲得網路的初始進入點。
- 建立持久性:一旦進入,攻擊者會努力確保持續存取,即使他們的初始進入方法被發現或修補。這可能涉及安裝後門、建立新使用者帳戶或修改系統配置。
- 內部偵察:然後,攻擊者系統地繪製網路圖,識別關鍵資產,並了解資料流。此階段對於規劃橫向移動和識別高價值目標至關重要。
- 憑證存取和權限提升:威脅行為者尋求獲得更高級別的憑證,通常針對管理員帳戶。這使他們能夠在網路中更自由地移動並存取敏感系統,通常繞過現有的安全控制。
- 橫向移動:利用被入侵的憑證和發現的漏洞,攻擊者擴大他們在網路中的存在,到達關鍵系統和資料儲存庫。這通常涉及濫用系統上已有的原生工具,使偵測變得困難。
- 資料暫存和外洩(可選但常見):在加密之前,攻擊者經常收集和暫存敏感資料,為外洩做準備。這為勒索軟體威脅增加了資料勒索元素。
- 勒索軟體部署:只有在完成這些前述步驟後,攻擊者才會釋放勒索軟體負載,加密系統並要求付款。
防禦者錯過了什麼
在以延長駐留時間為特徵的事件中,防禦者經常錯過微妙的指標,回想起來,這些指標可能預示著正在進行的入侵。自動化 EDR 和 SIEM 系統雖然功能強大,但可能會因警報疲勞而不堪重負,或被複雜的 APT 技術繞過。例如,濫用原生工具將惡意活動與合法的系統進程融合在一起,使傳統簽名或行為分析難以標記。
此外,缺乏持續、主動的威脅搜捕會讓隱藏的威脅逃避偵測。許多組織專注於反應性措施,等待警報而不是積極尋找表明妥協的異常情況。人為因素,例如使用被入侵的憑證,也突顯了僅靠技術控制經常被忽視的關鍵漏洞。在網路元資料重組和高級惡意軟體分析等領域缺乏專業知識進一步加劇了挑戰,阻礙了內部團隊有效剖析高級攻擊者複雜行為的能力。
實用的防禦檢查表
減少勒索軟體駐留時間需要多方面的綜合方法,結合技術、流程和專業知識。CISO 和安全工程師應優先考慮以下事項:
- 增強可見性和分析:在所有端點、網路和雲端環境中實施全面的日誌記錄和監控。利用高級分析來關聯看似不相關的事件。
- 主動威脅搜捕:建立專門的威脅搜捕團隊,或將威脅搜捕作為 SOC 內的常規操作活動,以主動搜尋逃避自動化控制的隱藏威脅。
- 實施持續驗證和零信任:透過持續驗證使用者身份和設備可信度來限制或標記可疑行為並防止權限提升。
- 制定強大的事件回應計劃:確保在事件顯示 APT 特徵時(例如濫用原生工具或高級橫向移動)有明確的程序來聘請外部網路事件回應專家。
- 加強憑證管理:在所有關鍵系統中強制執行強密碼策略、多因素驗證 (MFA) 和定期憑證衛生稽核。解決共享或重複使用憑證的風險。
- 定期實施攻擊性安全測試:透過可執行概念證明進行自主攻擊性測試,以在攻擊者利用漏洞之前識別漏洞並驗證防禦能力。
- 投資於數位鑑識和惡意軟體分析能力:培養內部專業知識或與專門從事數位鑑識、網路元資料重組和惡意軟體分析的外部公司合作,進行更深入的事件調查。
現代攻擊性測試如何捕捉到這一點
最近勒索軟體事件中看到的延長駐留時間突顯了現代攻擊性測試(尤其是自主平台)旨在解決的關鍵差距。傳統的漏洞掃描和滲透測試通常提供時間點評估,這可能會錯過攻擊者在數週或數月內採用的更微妙、多階段的策略。
自主攻擊性測試透過可執行的概念證明,可以模擬威脅團體使用的橫向移動、憑證洩露和持久性技術。透過持續模擬真實世界的攻擊路徑,它可以識別初始立足點如何升級為全面妥協。這種主動、持續的方法揭示了可利用的路徑和防禦盲點,在真正的攻擊者利用它們之前。此類測試將突顯憑證管理中的弱點、未被偵測到的橫向移動能力以及濫用原生工具的可能性,從而提供可操作的情報,以在勒索軟體部署之前加強防禦。
接下來要注意什麼
不斷變化的威脅環境要求安全領導者不斷適應。預計將會更加關注透過第三方供應商獲得初始存取的攻擊,這些攻擊可能會利用較弱的安全態勢。Living off the Land 技術的複雜性也將持續增長,使得歸因和偵測更具挑戰性。此外,人工智慧和機器學習在攻擊性和防禦性網路安全中的融合將加速,要求 CISO 了解這些技術如何影響威脅偵測和回應。優先考慮主動安全措施、持續驗證和專業知識對於減輕延長駐留時間的靜默但毀滅性影響至關重要。
