从思科数据泄露看体系化勒索防护能力构建

发布时间：2022-08-27 10:15:49 所属栏目：安全来源：互联网

导读：8月10日，思科公司证实，其内部网络遭到勒索软件团伙入侵，导致一些数据发生泄露。尽管思科发言人表示，攻击者只是从与受感染员工账户相关联的 Box 文件夹中窃取了一些非敏感数据，此事件未对思科的业务造成实际影响。但攻击者却声称，他们已经掌握了大约2.7

　　8月10日，思科公司证实，其内部网络遭到勒索软件团伙入侵，导致一些数据发生泄露。尽管思科发言人表示，攻击者只是从与受感染员工账户相关联的 Box 文件夹中窃取了一些非敏感数据，此事件未对思科的业务造成实际影响。但攻击者却声称，他们已经掌握了大约2.75GB思科公司内部数据，大约有3100个文件，其中很多文件涉及保密协议、数据转储和工程图纸等。

　　

　　一、攻击事件分析
　　根据思科对该攻击事件的初步调查发现，攻击者通过劫持员工的个人Google账号并拿到了其VPN登录用户名和密码，然后通过社会工程学攻击获得了二次认证凭据，从而成功进入到思科内网系统。此后，攻击者通过横向扩展到思科服务器和域控制器。在获得域管理员权限后，又通过使用 ntdsutil、adfind 和 secretsdump 等枚举工具收集更多信息，并将一系列有效负载安装到受感染的系统上，其中就包括后门。在获得初始访问权限后，攻击者进行了各种活动来维护访问权限，最大限度地减少取证，并提高他们对环境中系统的访问级别。

　　由此可以看出，此次思科数据泄露事件可能由双重勒索攻击所引发。攻击者通过窃取数据，对数据所有者进行勒索，一旦数据所有者没有按要求支付赎金，则将相关数据在暗网售卖，从而让攻击者能够切实获得攻击利润。

　　勒索攻击是指攻击者通过劫持用户的系统或数据资产，以敲诈勒索为主要目的的违法活动。近年来，勒索攻击已经成为危害最严重的、最普遍的网络攻击模式。根据勒索行为的攻击目标，勒索攻击可分为一般勒索攻击和定向勒索攻击。一般勒索攻击通常会采用“广撒网”的方式向网络中散布攻击组件，引诱未知的受害者被攻击。定向勒索的攻击者通常会提前收集目标者地域、业务特征、使用软件等信息，用于制定有针对性的攻击策略或攻击工具。

　　表：常见勒索攻击流程

　　

　　在此次思科事件中，攻击者有计划地构造获取登录凭证的步骤和方式，因此可以认为这是一起有预谋的定向勒索攻击。

　　二、勒索攻击防护体系建设
　　随着勒索攻击能力向高层次发展，对于勒索攻击防御也不再是简单的部署终端安全产品。勒索攻击的流程化、能力化已经与APT趋同，因此可以参照APT防护进行勒索攻击防护体系的建设。

　　针对勒索攻击防护体系建设可依据PPDR模型形成持续的预测、防护、检测、响应。依照攻击发生的状态，可分为勒索防护策略建立、勒索攻击事前防护、勒索攻击识别阻断、勒索攻击应急响应。

　　

　　1、勒索防护策略建立
　　在进行勒索软件防护时，遵从PPDR模型，通过持续的预测、防护、检测、响应以达到对企业系统内部的先进、持续、有效防护。持续的运营、服务将依赖于专家、厂商的持续更新的安全能力，为企业赋能。运营、服务应贯穿于勒索软件防护的各个阶段，实时把控企业的安全状态。

　　2、勒索攻击事前防护
　　勒索攻击的事前防御从左至右依次为容灾备份、安全防护产品和网络保险。在进行安全建设时，从左至右，依次进行能力的叠加。

　　

　　容灾备份
　　容灾备份可以分别从系统层面和数据层面保护企业的可用性和完整性。

　　要注意的是，容灾备份作为一个业务系统，也是具备被攻击的风险的，因此需要为容灾备份系统进行安全防护。

　　容灾备份只针对于传统的加密型勒索，对于现阶段越来越多的窃密型双重勒索，容灾备份系统已无法满足防护需求。

　　安全防护产品
　　针对勒索软件落地前的防护主要以边界防护为主，阻止勒索软件进驻系统当中。在构建安全防护时，需从制度和技术两个维度进行构建。

　　

　　从制度层面来看，需要构建网络访问、文件下载、文件拷贝传输等相关的制度，规范员工的网络行为。在此类制度建立之上，需要建立员工网络安全意识培训制度及要求，保证员工时刻具备前沿网络安全理念，避免钓鱼邮件的接收、钓鱼网站的访问等。

　　以此次思科事件为例，用户凭证两次被劫持，均与思科员工的安全意识淡薄有关。在第一次凭证窃取时，思科员工将重要的账户用户名密码进行了自动存储，导致谷歌用户账户被攻破后相应的凭据信息同步给了攻击者。在第二次凭证窃取时，思科员工受到了社会工程学攻击，导致了数据泄密。

　　技术层面以部署边界防护产品为主，配合访问控制产品、安全分析产品或应用安全产品等。在防御构建时，需采用叠加演进的思想，从被动防御向主动防御递进、从单一功能产品向融合型产品递进。

　　网络保险
　　对于是否应该购买网络安全保险，业界也处于探索阶段。一方面，网络安全保险能够在发生风险时减少自身的损失，另一方面，购买网络安全保险的企业也让攻击组织认为更容易获得经济利益。

　　许多主流提供勒索攻击防护方案的厂商开始与保险公司合作，企业在采购勒索防护产品后可进一步向厂商咨询相关服务。

　　3、勒索软件识别阻断
　　勒索软件进驻到企业内之后，需要通过技术避免其扩散或造成实际危害。

　　

　　网络防扩散
　　网络防扩散其目标在于防止勒索软件的横向移动，以及避免勒索软件发作后大规模扩散造成的多节点风险。主流的网络防扩散技术包括利用VLAN进行网段划分，以便在发生风险时快速阻断。另一项技术为网络探针技术，通过部署网络探针，可以尽快识别网络中的扩散风险。

　　在此次思科事件中，思科的关键内部系统，如与产品开发、代码签名等相关的系统没有被攻击，这表明思科可能已经做好了网络划分。

　　勒索软件识别
　　勒索软件识别技术及产品主要分为两种：

　　

　　在此次思科事件中，由于思科及时发现了攻击者，清除攻击载荷和攻击后门，让攻击者后续尝试的攻击均以失败告终。让此次窃取的数据控制在2.8GB。而没有造成更大的影响。

（编辑：濮阳站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!