ค้นหา

ภาษา

เหตุใดแรนซัมแวร์จึงกลายเป็นภัยคุกคามข้อมูลประจำตัวที่สำคัญ

กรกฎาคม 19th, 2023

หน้าแรก » บล็อก » เหตุใดแรนซัมแวร์จึงกลายเป็นภัยคุกคามข้อมูลประจำตัวที่สำคัญ

แรนซัมแวร์ยังคงก่อกวนองค์กรต่างๆ ทั่วโลกด้วย ตรวจพบการโจมตีมากกว่า 493.3 ล้านครั้งในปี 2022. แม้ว่าผลิตภัณฑ์ในกลุ่มความปลอดภัยจะมีจำนวนมากขึ้นเรื่อยๆ แต่บริษัทต่างๆ ก็ยังตกเป็นเหยื่อของการโจมตีเหล่านี้ โดยเฉลี่ยอยู่ที่ 812,360 ดอลลาร์ในการเรียกค่าไถ่. และค่าใช้จ่ายทั้งหมดต่อองค์กรคือ ประมาณ 4.5 ล้านเหรียญสหรัฐเนื่องจากระยะเวลาที่เกี่ยวข้องกับการตรวจจับและแก้ไขการละเมิดเหล่านี้

บทความนี้สำรวจว่าเหตุใดการโจมตีของแรนซัมแวร์จึงเพิ่มขึ้นอย่างรวดเร็ว จุดบอดในการป้องกันข้อมูลประจำตัวมีบทบาทพื้นฐานในการโจมตีเหล่านี้อย่างไร และสิ่งที่องค์กรสามารถทำได้เพื่อแก้ไขจุดบอดเหล่านั้นและ หยุดแรนซัมแวร์ โดยสิ้นเชิง

สารบัญ

  • แรนซัมแวร์กลายเป็นความเสี่ยงทางธุรกิจที่สำคัญได้อย่างไร
  • ผลกระทบของแรนซัมแวร์ถูกขยายโดยการเคลื่อนไหวด้านข้าง
  • การโจมตีด้วยการเคลื่อนไหวด้านข้างเกิดจากข้อมูลประจำตัวที่ถูกบุกรุก
  • การโจมตีของแรนซัมแวร์เพิ่มขึ้นเนื่องจากมีจุดบอดสองจุด
  • สรุป ความน่าเชื่อถือของ Olymp Trade? Silverfort ระบุจุดบอดด้านความปลอดภัยเพื่อหยุดแรนซัมแวร์

    • แรนซัมแวร์กลายเป็นความเสี่ยงทางธุรกิจที่สำคัญได้อย่างไร

    แม้ว่าแรนซัมแวร์จะไม่ใช่ปรากฏการณ์ใหม่ บันทึกการโจมตีครั้งแรกย้อนกลับไปในปี 1989 ในช่วงไม่กี่ปีที่ผ่านมานี้เองที่มันกลายเป็นวิกฤตไปทั่วโลก เนื่องจากผู้โจมตีได้พัฒนาเทคนิคของตนอย่างรวดเร็วเกินกว่าที่องค์กรจะตามทัน จนกระทั่งประมาณสิบปีที่แล้ว ผู้คุกคามสามารถแพร่เชื้อไปยังเครื่องได้เพียงเครื่องเดียวในแต่ละครั้ง ransomware. นี่เป็นหายนะสำหรับผู้ใช้และเป็นปัญหาสำหรับทีมรักษาความปลอดภัย แต่ท้ายที่สุดก็ไม่ได้แสดงถึงความเสี่ยงขององค์กร

    แต่ด้วยการปรากฏตัวของการโจมตีทางไซเบอร์ที่น่าอับอายหลายครั้งในปี 2017 (รวมถึง WannaCry และ NotPetya) อาชญากรไซเบอร์แสดงให้เห็นว่าพวกเขาสามารถจับคู่เพย์โหลดการเข้ารหัสกับกลไกการแพร่กระจายอัตโนมัติ ซึ่งหมายความว่าผู้โจมตีกำลังใช้เทคนิคใหม่ที่ช่วยให้สามารถเคลื่อนที่ข้ามสภาพแวดล้อมได้ และด้วยเหตุนี้จึงไม่ใช่การโจมตีเพียงเครื่องเดียวในแต่ละครั้ง แต่ทำให้ทั้งองค์กรเสียหายในคราวเดียว

    ตัวอย่างที่โด่งดังเมื่อเร็วๆ นี้ ได้แก่ การโจมตีท่อขนส่งโคโลเนียลในเดือนพฤษภาคม 2021 ซึ่งปิดหลอดเลือดแดงเชื้อเพลิงหลักบนชายฝั่งตะวันออกของสหรัฐฯ นำไปสู่การขาดแคลนเชื้อเพลิงและการประกาศภาวะฉุกเฉินโดยประธานาธิบดี ในปีนั้นอันที่จริง การโจมตีเพิ่มขึ้น 78% จากปี 2020 โดย 66% ขององค์กรทั่วโลกทั้งหมดได้รับผลกระทบจากแรนซัมแวร์.

    ผลกระทบของแรนซัมแวร์ถูกขยายโดยการเคลื่อนไหวด้านข้าง

    เพื่อชื่นชมว่าเหตุใดการโจมตีเหล่านี้จึงแพร่หลายและประสบความสำเร็จ สิ่งสำคัญคือต้องเข้าใจแนวคิดของ การเคลื่อนไหวด้านข้าง. ให้เป็นไปตาม บริษัท MITER การเคลื่อนไหวด้านข้าง ถูกกำหนดให้เป็นชุดของเทคนิคที่ฝ่ายตรงข้ามใช้เพื่อขยายการแสดงตนในสภาพแวดล้อมหลังจากการประนีประนอมครั้งแรก

    ความสามารถนี้ในการดำเนินการเคลื่อนไหวด้านข้างได้กระตุ้นความต้องการที่ไม่รู้จักพอในปัจจุบันสำหรับแรนซัมแวร์ เนื่องจากการประนีประนอมเพียงจุดเดียวสามารถให้ผลตอบแทนมหาศาลแก่ผู้โจมตี ในความเป็นจริง, ขณะนี้มีการใช้การเคลื่อนไหวด้านข้างใน 82% ของการโจมตีแรนซัมแวร์ทั้งหมด. นี่เป็นพัฒนาการที่น่ากังวล เนื่องจากไม่กี่ปีที่ผ่านมาความสามารถนี้ถูกจำกัดไว้เฉพาะกับอาชญากรไซเบอร์ที่มีความซับซ้อนสูง เช่น กลุ่มแฮ็คที่ได้รับการสนับสนุนจากรัฐและหน่วยข่าวกรองต่างประเทศ

    มาดูกันดีกว่าว่าเกิดอะไรขึ้นที่นี่

    การโจมตีด้วยการเคลื่อนไหวด้านข้างเกิดจากข้อมูลประจำตัวที่ถูกบุกรุก

    ตามการประมาณการบางอย่างมี ข้อมูลประจำตัวที่ถูกขโมยไป 24.6 พันล้านรายการ (เช่น ชุดชื่อผู้ใช้-รหัสผ่าน) ที่มีจำหน่ายบน Dark Web สิ่งนี้แสดงถึงขุมทรัพย์สำหรับผู้คุกคามฉวยโอกาสที่ต้องการมีส่วนร่วมในการขู่กรรโชกแรนซัมแวร์ เนื่องจากข้อมูลประจำตัวเหล่านี้อยู่ในมือ ผู้โจมตีจึงรู้ว่าการใช้เทคนิคที่ลองแล้วได้ผล เช่น ฟิชชิ่ง สมิชชิง หรือวิศวกรรมสังคม ในที่สุดพวกเขาก็สามารถเข้าถึงสภาพแวดล้อมขององค์กรในเบื้องต้นได้ จากนั้นจึงออกอาละวาด

    สาเหตุเป็นเพราะข้อบกพร่องพื้นฐานใน โครงสร้างพื้นฐานด้านข้อมูลประจำตัว ตัวมันเอง เมื่อผู้โจมตีสามารถเข้าถึงเครื่องเริ่มต้นได้ พวกเขาจำเป็นต้องแสดงข้อมูลประจำตัวที่ถูกบุกรุกต่อผู้ให้บริการข้อมูลระบุตัวตนที่รับผิดชอบในการตรวจสอบสิทธิ์ผู้ใช้เท่านั้น ซึ่งส่วนใหญ่แล้ว ไมโครซอฟท์ Active Directory (AD) ซึ่งใช้โดย 90% ของ Global Fortune 1000 – และการเคลื่อนไหวด้านข้างสามารถเริ่มต้นได้

    นี่คือสาเหตุที่การเคลื่อนไหวด้านข้างเป็นภัยคุกคามตัวตนที่ร้ายแรง เนื่องจากการมีอยู่ของข้อมูลรับรองผู้ใช้ที่ถูกขโมย เช่นเดียวกับความสามารถของผู้โจมตีในการดึงข้อมูลรับรองจากเครื่องที่ถูกบุกรุกหรือโดยการสกัดกั้นทราฟฟิกเครือข่าย ซึ่งทั้งหมดนี้ทำให้อาชญากรไซเบอร์สามารถตรวจสอบความถูกต้องกับเครื่องหลายเครื่องใน กระจายแรนซัมแวร์เพย์โหลดทั่วทั้งเครือข่าย และเข้ารหัสหลายเครื่องพร้อมกัน

    การโจมตีของแรนซัมแวร์เพิ่มขึ้นเนื่องจากมีจุดบอดสองจุด

    สิ่งนี้นำเราไปสู่จุดสำคัญเนื่องจากมาตรการรักษาความปลอดภัยที่เรียกว่า Multifactor Authentication (MFA) เป็นที่ทราบกันดีว่าสามารถป้องกันการโจมตีทางไซเบอร์ได้ 99.9%. แต่ถ้าเป็นกรณีนี้ เหตุใดการโจมตีแรนซัมแวร์เหล่านี้จึงดำเนินต่อไปโดยไม่ลดลง

    เหตุผลนั้นง่ายมากจนน่าตกใจ

    ไม่สามารถบังคับใช้ MFA ได้ทุกที่
    แม้ว่า MFA จะพร้อมใช้งานสำหรับแอปพลิเคชัน SaaS ปริมาณงานบนคลาวด์ และการเข้าถึง VPN ไม่สามารถบังคับใช้กับเครื่องมือการเข้าถึงบรรทัดคำสั่งทั่วไป เช่น PsExec, PowerShell และ WMI. นี่เป็นเพราะโปรโตคอลการรับรองความถูกต้องที่ AD ใช้โดยเฉพาะ Kerberos และ NTLM – ไม่รองรับ MFA เครื่องมือบรรทัดคำสั่งเหล่านี้ถูกใช้เป็นประจำโดยผู้ดูแลระบบเครือข่ายเพื่อเข้าถึงเครื่องจากระยะไกลในเครือข่ายของตน แต่อาชญากรไซเบอร์ก็ใช้งานเครื่องมือเหล่านั้นเช่นกัน ซึ่งรู้ว่าพวกเขาสามารถใช้ประโยชน์จากเครื่องมือเหล่านี้เพื่อการเคลื่อนไหวด้านข้างโดยใช้ข้อมูลรับรองที่ขโมยมาโดยไม่ถูกขัดขวางโดย ไอ้เวรตะไล. นี่เป็นจุดบอดที่สำคัญ

    ปกป้อง บัญชีบริการ เป็นความท้าทาย
    จุดบอดที่สองเกี่ยวข้องกับบัญชีบริการที่ไม่ใช่มนุษย์ (หรือที่เรียกว่าบอท) ซึ่งเป็นบัญชีแบบเครื่องต่อเครื่องที่ใช้เพื่อทำหน้าที่สำคัญโดยอัตโนมัติในสภาพแวดล้อมเครือข่าย เช่น การอัปเดตซอฟต์แวร์และทำการสแกน เช่น การตรวจสุขภาพ ปัญหาคือองค์กรส่วนใหญ่ไม่ทราบว่ามีบัญชีเหล่านี้กี่บัญชีหรือแต่ละบัญชีกำลังทำอะไรอยู่ (เช่น ต้นทางและปลายทางใดที่บัญชีบริการต่างๆ กำลังตรวจสอบสิทธิ์)

    สาเหตุก็เพราะ ไม่มีเครื่องมือวินิจฉัยใดที่สามารถค้นพบบัญชีเหล่านี้ได้ทั้งหมด ในสภาพแวดล้อมที่น่าตกใจเนื่องจากหลายองค์กรมีจำนวนหลายพันแห่ง Scarier ยังคงเป็นความจริงที่ว่าผู้โจมตีพยายามที่จะประนีประนอมบัญชีบริการอย่างไม่ลดละ ซึ่งมักจะมีสิทธิ์สูง เพื่อให้พวกเขาสามารถเคลื่อนไหวด้านข้างโดยแทบไม่ถูกตรวจจับ และด้วยเหตุนี้จึงเข้าถึงเครื่องและระบบหลายเครื่องได้อย่างง่ายดาย

    หลายองค์กรมีสถานที่ก โซลูชันการจัดการสิทธิ์การเข้าถึง (PAM) เพื่อรักษาบัญชีผู้ใช้ให้ปลอดภัย แต่มีข้อจำกัดในเรื่องบัญชีบริการ เนื่องจากการเข้าถึงบัญชีบริการมักจะดำเนินการโดยการเรียกใช้สคริปต์ซึ่งมีข้อมูลประจำตัวเป็นแบบฮาร์ดโค้ด นั่นหมายความว่ารหัสผ่านเหล่านี้ไม่สามารถหมุนได้โดยอัตโนมัติโดย PAM โดยไม่ก่อให้เกิดปัญหา (เช่น บัญชีบริการไม่สามารถเข้าสู่ระบบเครื่องปลายทางได้อีกต่อไป จึงทำให้กระบวนการสำคัญเสียหาย)

    สรุป ความน่าเชื่อถือของ Olymp Trade? Silverfort ระบุจุดบอดด้านความปลอดภัยเพื่อหยุดแรนซัมแวร์

    พื้นที่ Silverfort ปึกแผ่น การป้องกันตัวตน แพลตฟอร์มถูกสร้างขึ้นเพื่อแก้ไขจุดบอดเหล่านี้ โดยมุ่งเน้นไปที่สถานที่ซึ่งการรับรองความถูกต้องของผู้ใช้เกิดขึ้น (เช่น ภายในผู้ให้บริการข้อมูลประจำตัว) Silverfort สามารถขยายการป้องกันภัยคุกคามข้อมูลประจำตัวตามเวลาจริงไปยังทรัพยากรทั้งหมดและป้องกันการแพร่กระจายของแรนซัมแวร์

    วิธีการทำงานคือ AD ส่งต่อการรับรองความถูกต้องทั้งหมดและความพยายามในการเข้าถึงไปยัง Silverfort สำหรับ "ความคิดเห็นที่สอง" ก่อนการตัดสินใจเข้าถึงใดๆ ครั้งหนึ่ง Silverfort ได้รับคำขอ วิเคราะห์โดยเทียบกับเครื่องมือความเสี่ยงและกำหนดนโยบายเพื่อพิจารณาว่าจำเป็นต้องมีการตรวจสอบความปลอดภัยเพิ่มเติม โดยเฉพาะ MFA หรือไม่ นั่นหมายความว่า Silverfort เป็นโปรโตคอลที่ไม่เชื่อเรื่องพระเจ้าอย่างมีประสิทธิภาพ: ตราบใดที่ผู้ใช้รับรองความถูกต้องกับ AD คำขอนั้นสามารถวิเคราะห์และประเมินได้ว่าโปรโตคอลที่ใช้คือ Kerberos, NTLM หรือ LDAP

    ผลที่ได้ก็คือ Silverfort สามารถบังคับใช้ MFA กับทรัพยากรใดก็ได้ (ไม่ว่าจะผ่านบริการของตัวเองหรือผ่านการผสานรวมกับผู้ให้บริการ MFA) รวมถึงอินเทอร์เฟซบรรทัดคำสั่งที่ผู้โจมตีใช้อย่างต่อเนื่องเพื่อการเคลื่อนไหวด้านข้าง วิธีนี้ช่วยแก้ไขจุดบอดแรกที่นำไปสู่การแพร่ระบาดของแรนซัมแวร์

    Silverfort ยังสามารถค้นหาและปกป้องบัญชีบริการทั้งหมดได้อีกด้วย เนื่องจากแพลตฟอร์มสามารถเห็นการรับรองความถูกต้องและคำขอการเข้าถึงทั้งหมด จึงสามารถระบุบัญชีใด ๆ ที่แสดงพฤติกรรมแบบเครื่องจักรซ้ำ ๆ ได้อย่างรวดเร็วและติดป้ายกำกับว่าเป็นบัญชีบริการ นอกจากนี้, Silverfort สามารถให้ "รั้วเสมือน" สำหรับบัญชีเหล่านี้โดยอนุญาตให้เชื่อมต่อกับเครื่องที่ระบุบางเครื่องเท่านั้น ทริกเกอร์ MFA (หรือแม้แต่ปิดกั้นการเข้าถึง) หากบัญชีเหล่านี้แสดงพฤติกรรมที่เบี่ยงเบนไปจากกิจกรรมปกติ ซึ่งหมายความว่าผู้โจมตีรายใดก็ตามที่บุกรุกบัญชีบริการจะถูกหยุดไม่ให้เคลื่อนไหวด้านข้าง

    ทั้งหมดนี้ทำได้โดยการกำหนดค่านโยบายการเข้าถึงเฉพาะใน Silverfort แพลตฟอร์มซึ่งเป็นกระบวนการที่ง่ายและไม่ซับซ้อน นโยบายในการบังคับใช้ MFA กับทรัพยากรที่ยากต่อการป้องกัน เช่น การเข้าถึงบรรทัดคำสั่ง การแชร์ไฟล์ และแอปพลิเคชันรุ่นเก่าสามารถบังคับใช้ได้ทันที และหลายองค์กรพบว่าสามารถค้นหาและปกป้องบัญชีบริการทั้งหมดได้ภายในไม่กี่สัปดาห์โดยไม่ต้องดำเนินการใดๆ การหยุดชะงักทางธุรกิจ

    ติดต่อเราวันนี้เพื่อ สาธิต และดูวิธีการ Silverfort สามารถช่วยให้องค์กรของคุณหยุดยั้งแรนซัมแวร์ได้


    พร้อมสำหรับการสาธิต?
    ลงทะเบียนวันนี้

    โพสต์ล่าสุด

    พฤษภาคม 9th, 2024

    Silverfort ประกาศการบูรณาการใหม่กับ Microsoft Entra ID ผู้จัดการทั่วไป 

    พฤษภาคม 6th, 2024

    การใช้ MITM เพื่อเลี่ยงการป้องกันฟิชชิ่ง FIDO2

    พฤษภาคม 2nd ฮิต

    Silverfort เตรียมเปิดตัวการวิจัยที่ RSA 2024: การใช้ MITM เพื่อหลีกเลี่ยงวิธีการรับรองความถูกต้องสมัยใหม่ไปยัง SSO

    เมษายน 24th, 2024

    5 วิธีในการเพิ่มสุขอนามัย AD ของคุณด้วย Silverfort  
    ดูเพิ่มเติม

    ช่องทางการติดต่อ

    หยุดการคุกคามตัวตนเดี๋ยวนี้