如何在勒索软件攻击爆发前发现“苗头”？

勒索软件是影响较为严重的网络攻击之一，个人和企业深受其害，并继续沦为这种攻击方式的受害者，这并非新现象，就像疫情不会凭空出现一样，勒索软件也不会凭空出现，通常有迹可循。

勒索软件攻击实际上是攻击周期的最后一个阶段。据美国网络安全与基础设施安全局(简称“CISA”)《MS-ISAC勒索软件指南》报告称，在一些情况下，勒索软件部署只是网络入侵的最后一步，旨在混淆掩饰前面的入侵后活动。

此外，当我们查看MITRE ATT&CK®对抗战术和技术知识库时，发现其对“前兆恶意软件”(precursor malware)的解释为：勒索软件感染可能表明之前未成功化解的网络入侵。举例说明，假设初始访问(TA0001)因零日漏洞而未被检测出来，前兆恶意软件(TA0008)通过企业网络和设备横向传播，在勒索软件包部署之前提取访问权限(TA0004)。

当企业被感染时，一些迹象表明恶意软件感染已经出现了几个月，在某些情况下，勒索软件攻击前三个月就会显露出一些迹象。安全人员可能会看到一些异常活动，假设他们已经通过防火墙或端点检测和响应(EDR)代理检测并屏蔽了勒索软件。但是，这也可能仅仅是恶意软件攻击的前兆，后续也许会有更严重的破坏活动。

与此同时，安全团队可能还会收到大量毫不相关的警报，从而促使其更关注这些警报而不是前兆恶意软件。警告信号往往隐藏在攻击活动的不同阶段。如果我们能够全面地查看前兆信息，就会有更大的机会及早发现勒索软件。以下是基于风险识别恶意软件前兆信息的几个步骤：

1. 确认企业的关键资产，评估面临的网络安全风险

尽管首席技术官(CTO)或首席信息安全官(CISO)了解技术原理，但也需要了解企业运作及关键的资产，这些资产可能是信息、应用软件、流程或支持企业日常运营的任何东西。我们需要明确实施网络安全工具的最终目标——保护资产，并确保其机密完整性和可用性。此外，网络安全专业人员需要结合资产的重要性来评估风险。一旦网络安全领导者确定什么对企业最重要，就可以评估这些资产面临的网络安全风险。

2. 将MITRE ATT&CK®战术与网络安全框架(CSF)相对应

图1. 网络安全框架

一旦我们知道了要保护什么，就可以将基于风险的识别方法运用于攻击链的每个步骤。为此，我们需要网络安全框架(Cybersecurity Framework，简称“CSF”)。该框架由美国国家标准与技术研究所(NIST)制定，旨在为大大小小的企业提供具有成本效益的安全性，是企业可以用来保护其数据的一系列最佳实践。

企业确保CSF目标与实际网络威胁相一致的一个重要方法是利用MITRE的ATT&CK评估，这套评估模拟了针对市面上主流网络安全产品的对抗性战术和技术，然后将信息提供给行业最终用户，查看产品实际表现如何、与组织的安全目标是否一致。该框架针对攻击的每个阶段运用适当的ATT&CK技术，已成为一种持续性评估，可以帮助企业及时衡量环境中的风险，并找到相应的缓解响应措施。

此外，我们需要了解网络攻击是个过程，这一系列活动必须以适当的顺序加以执行，有特定的持续时间和地点。例如，勒索软件是网络攻击的结果。如果我们可以在此之前阻止其中一个步骤，就能防止勒索软件攻击。

3. 执行零容忍政策

企业以前关注的焦点集中于攻击者窃取信用卡号码和黑客活动，现在其关注点聚焦于勒索软件，这种威胁也许会持续很长时间。为应对这种持续性威胁，政府需加强宣传教育，并提供资源以指导企业，杜绝助长这种威胁的犯罪活动和经济动因。

同时，私营企业应侧重于缩小攻击面和做好综合安全运营的基本面上。这包括：

• 了解企业环境中有什么资产(增强可见性)
• 确保一切配置正确(安全态势管理)
• 管理漏洞和打补丁
• 限制访问(微隔离更好)
• 制定事件响应计划

建议企业处理好小问题(警报/事件)，以免受到灾难性攻击。找到隐蔽风险并非易事，应对这种情形的更好方法是改变理念，从原来阻止所有攻击，变成假设感染是不可避免的，执行零容忍政策，这样一来，企业可以让所有安全措施协同发挥功效。

参考链接：https://hackernoon.com/ransomware-doesnt-arise-in-a-vacuum-spotting-the-early-sign-of-ransomware-infection