在勒索软件事件发生的初始入侵阶段，攻击者占据优势。就像国际象棋的开局，白方先行，可能选择了后翼弃兵。在勒索软件攻击进行中阶段，与国际象棋一样，攻击者可以选择如何、何时以及在哪里攻击一个组织。他的行动隐秘且谨慎，等待着最佳的攻击时机。

勒索软件攻击的初始入侵阶段对应于洛克希德·马丁杀伤链（LMKC）的侦察、武器化和交付阶段，以及 MITRE ATT&CK 框架的侦察、资源开发和初始访问策略。在此活动阶段，攻击者占据优势。

然而，一旦攻击者获得了对防御者网络的初始访问权限并进入初始入侵后的损害阶段，他对主动权和操作节奏的控制就会减弱。威胁行为者必须循环使用攻击技术和策略（TTPs）并进行横向移动，以最大限度地扩大影响并确保获得尽可能多的支付赎金——同时不被防御者发现和干扰。攻击者面临的挑战是什么？他的大多数技术和活动动静都很大，这增加了他被捕获的机会。

在勒索软件攻击的这一阶段，防御者应该控制战场空间和环境。然而，这个初始入侵后的损害阶段经常被防御者忽视。用国际象棋作类比，这就是中局开始的地方。中局对应于 LMKC 的利用、安装和命令与控制阶段，以及 ATT&CK 框架中执行和命令与控制策略之间及包括在内的九个类别。

在中局阶段，攻击者必须在防御者的环境中运作，理论上防御者应该对其环境有完全的可见性，并且对数据、身份、访问和过程拥有完全的控制权。如果防御者了解并拥有对其环境的可见性，那么她就掌握了所有的牌。就像在国际象棋游戏中，她控制了棋盘中央的四个格子，使她能够观察和应对攻击者的动作。

不幸的是，大多数企业并没有落在棋盘中心的位置，无法监控指挥与控制（C2）信标、横向移动、域提升和其他勒索软件攻击的明显迹象。相反，许多企业继续优先考虑构建坚固的边界——这是一种在社交工程和钓鱼攻击、零日攻击、软件漏洞利用、对未受保护的云资产和易受攻击的移动设备的攻击面前反复证明是脆弱的战略。突破边界已经成为常态。

那么，有什么替代方案，解决方案又将会是什么？答案是在你想要保护的网络环境内部（包括本地、云端、虚拟和混合环境）部署可见性、检测和响应措施。这将使您能掌控全局，能够在攻击过程中看到攻击者在你的环境中使用 TTPs。只有这样，你才能按照 LMKC 流程中断攻击。

网络可见性和检测实现积极的勒索软件防御

从初始入侵到部署勒索软件之间的时间对防御者至关重要。这个越来越短的时间间隔为防御者提供了在威胁行为者实现其目标之前检测和中断攻击的最多机会。这是为什么呢？因为尽管攻击者试图保持隐蔽，但他们仍然需要在其试图破坏的企业网络上通信。根据定义，攻击者远程执行的任何交易或活动都必须在网络上可见。勒索软件攻击至少需要五个操作，所有这些都可以从网络监测中看到。这五个操作包括：

• 在防御者的网络内部进行移动和侦察，以定位和识别防御者的关键数据资料，将其转移并加密；

• 建立泄露路径；

• 创建远程控制框架，要么通过具有提升权限的独立 C2 节点，要么通过获取提供提升权限的身份；

• 复制、传输和将防御者的关键数据从防御者的环境中泄露出去；

• 执行命令，然后执行加密操作以远程加密防御者的关键数据。

在每一项操作中，网络在威胁检测中发挥着至关重要的作用，因为这是攻击者必须操作的地方。攻击者在此建立 C2 通信、扩展访问权限和提升权限。因此，网络本身能够观察和识别攻击者正在做的真实情况。而且与日志和端点检测与响应（EDR）代理不同，网络无法被规避或禁用。无法禁用带外且几乎无法检测到的网络监控解决方案，因为攻击者无法访问完全被动的监控解决方案，该解决方案通过窃听器或端口跨越/镜像查看网络流量来工作。

许多中早期的攻击者行为，如 C2 信标、发现、横向移动、权限提升和域升级，在网络上检测效果最佳。我认为，能够检测这些行为和 TTP 类别的唯一解决方案是基于网络的解决方案。要在没有完整网络可见性的情况下检测这些活动，组织将需要服务器系统日志或事件日志以及端点进程分析的组合。

中后期的勒索软件活动，包括数据暂存和数据泄露，也最好在网络上检测。与中期相关的每个 MITRE ATT&CK 框架策略都包含仅通过网络监控和分析可见的技术。因为这些活动大多只发生在企业网络内部的东西向流量中，所以下一代防火墙无法检测到，因为它们只监控南北向流量。

而且本地、面向网络的边界解决方案无法在混合、虚拟或私有云中保护云资产。此外，由于大多数 TTPs 是基于行为的，基于签名的安全工具（如 IDS、IPS 和防病毒软件）无法观察攻击者的动作。同时，EDR 工具仅提供对端点上进程的可见性，因此，只能检测来自受 EDR 代理保护和监控的端点的行为。

在网络上观察攻击者的行为需要能够实时监控和分析原始的网络流量，包括数据包。理解并能够观察网络流量的三个要素至关重要：

1. 协议– 防御者使用的某些类型的协议，如 HL7 和 ICCP，是特定行业的；这些可以提供攻击者使用的非典型协议的指示。这些指示还包括勒索软件攻击者经常使用的协议的使用，如 RDP。

2. 流量数量– 网络流量的绝对数量可能是攻击的一个指标，特别是如果在不寻常的时间出现高流量时。

3. 数量和协议相结合 – 数量和协议使用的趋势是勒索软件参与者在防御者业务环境中逐步部署能力的指标。

解密的重要性

防范勒索软件攻击者还需要能够解密加密的网络流量（例如SSL、TLS 1.3、Kerberos、NTLM、MSRPC、LDAP、WINRM、SMBv3协议）有两个原因。一是在大多数环境中，组织高达 70％的网络流量是加密的。二是因为许多勒索软件攻击者经常使用自定义或非典型的加密技术来混淆他们的活动，防御者必须能够看到应该加密的内容并识别意外的加密。

解密像 Kerberos、MSRPC、WINRM 和 SMBv3 这样的加密协议的能力对于检测 PowerShell 远程处理、本地利用技术和横向移动至关重要——这些活动在勒索软件和其他攻击中已被多次记录。只有网络可见性才能完全了解防御者环境中加密的使用和滥用情况。

值得注意的是，现代解密方法不会在线路上解密任何数据包，因此它们保留了端到端加密。它们也不依赖于“中间人”或“中断和检查”方法，因此不会降低网络性能。

细粒度、数据包级别的数据和解密能力对于事件响应和取证调查也至关重要，因为只有完整的数据包才能确切地告诉事件响应者，勒索软件攻击是如何发生的。

为增加的勒索软件活动做好准备

勒索软件攻击似乎变得越来越不可避免。据ExtraHop 2024 年全球网络信心指数报告的数据显示，95％的受访者在调查前的 12 个月内至少经历了一次勒索软件事件，91％在同一时期支付了至少一次赎金。随着美国大选的临近和地缘政治紧张局势的持续上升，网络安全专家预测勒索软件攻击只会加剧。

作为回应，许多组织正在投资开发承诺在勒索开始阶段检测初始入侵策略的解决方案。但更明智的做法是，将部分预算用于检测初始入侵后的折中策略，因为在这方面防御者具有最大的优势。网络检测和响应工具使您能够在攻击链的几乎每个阶段（包括初始入侵阶段以及后续阶段）检测和响应威胁。当您具有网络可见性时，您可以更准确地防范包括勒索软件在内的各种高级威胁，并且您可以自信地做出响应。

编者按：本文于2024年7月15日首次发表于ISACA官网News and Trends/Newsletter/@isaca。文章内容仅代表作者本人观点。

作者：Mark Bowling, ExtraHop 首席风险、安全与信息安全官

翻译：王彪，COBIT2019、CISA、CDPSE、CDMP、CDSP、CISP-DSGI、ISO27001LA、信息安全工程师(软考)、ISACA微信公众号特邀通信员、天融信数据安全治理专家

校对：唐四宝（Jerry Tang），CISA， CDPSE，CZTP，ISACA微信公众号特邀通讯员。