针对于勒索软件攻击香港服务器的准备程度如何？

确定当前人为驱动勒索软件浪潮的目标有多难涉及多种考虑。有四个步骤来分析您对勒索软件攻击的准备程度。

这种分析大致分为以下：（1） 首先进入环境是多么容易：（2） 给给初始脚趾保持，攻击者如何困难升级特权，横向移动，并获取对您的业务至关重要的数据和系统：（3） 您是否掌握需要大量赎金以防止公开披露的数据，以及未经检测即可从环境中渗出大量数据是多么容易：和 （4） 您对快速从备份中恢复环境的能力有多有信心？

需要注意的是，虽然您最终可能会出现在目标列表中，但如果您的环境最终构成太大的挑战，它们就会消失 - 毕竟，他们只关心资金，如果有一个更容易的目标，他们可能会攻击，相反，他们很容易继续前进。因此，这不像是一个民族国家正在实施的有针对性的攻击，因为攻击者非常有动机专门攻击您。在人工操作的勒索软件中，投入足够的战斗可以证明能够有效地阻止攻击。

闯入

请注意，执行勒索软件攻击的不同组具有不同的技能和使用不同的工具，但他们都采用了一些自动化和手动技术的组合。

攻击者获得初始访问环境的两种主要方式：利用人，以及攻击互联网接入服务。

到目前为止，最常见的针对人类的方式是通过网络钓鱼电子邮件，但也有变种，如浇水孔攻击（例如，黑客攻击您的组织经常访问的当地食品递送服务的网站），这可能是有效的。您永远不会实现完美的安全性，但这里的目标应该是拥有可信的控制、不太容易受骗的员工、良好的电子邮件安全、良好的网络安全网关和修补的最终用户系统（尤其是 Web 浏览器）。

保护自己免受互联网访问服务的攻击要复杂一些。很容易假设您拥有所有互联网访问服务的准确清单 - 直到开发人员在 AWS 帐户下建立测试系统，而您甚至不知道。花费在了解环境的哪个部分可以上网（即组织"数字足迹"）上的时间是重要的网络卫生。

对于每一个可访问互联网的服务，您的修补和身份验证策略都需要一流的，因为黑客相对容易重复使用公开可用的漏洞并尝试暴力身份验证攻击，这是此类服务的正常日常事件。

升级特权和横向移动

将门槛定得足够高，以防止初始进入是一个值得称赞的目标，但也遵循了收益递减的规律。这意味着重点必须转移到改善攻击者在进入环境后移动环境的难度。

攻击的这一阶段通常需要一些手动控制，因此识别和中断命令和控制 （C2） 通道可以带来显著的回报 ， 但要意识到只有最不复杂的攻击者才会重复使用以前攻击的相同域名和 IPs。因此，您的方法不是通过威胁情报源查找 C2 通信，而是需要查找看起来像远程访问特洛伊木马 （RAT） 或隐藏隧道（可疑的信标形式）的行为模式。

特权升级和横向移动的障碍归结为与修补相关的网络卫生（是否容易获得本地特权升级的漏洞？

当前大量勒索软件攻击都利用了凭据的串联泄露，从最初的输入点移动到网络中更有用的部分。这些攻击的特别有价值的目标是有权访问组策略对象 （GPO） 和活动目录域控制器的 香港服务器。

确定这种横向运动在环境中的易用性的方法之一是运行像"猎犬"这样的工具，以可视化可能导致这些目标的攻击路径。

渗透和公开披露

大多数现代勒索软件攻击试图通过过滤数据以及加密数据来最大限度地提高支付赎金的可能性 ， 从而威胁到数据的公开披露 （这可能导致罚款或尴尬） 。

您是否可能支付巨额赎金以防止数据公开披露，完全取决于您运营的业务类型和您保留的数据。想想你最不愿意看到泄露的数据（标准80/20规则可能适用），并放置额外的控制访问它 - 这通常会为您争取更多的时间来检测和驱逐攻击者之前，他们得到这些数据。

还要考虑泄露数千兆字节的数据（这是通常涉及勒索软件攻击的规模）是否会从您现有的安全控件中发出警报，并质疑您注意到并阻止此类传输的速度有多快。

加密和恢复操作的能力

在活动的这个关头，攻击者已经进入您的环境，横向传播和渗透他们认为有价值的数据，并开始加密这些数据。假设你现在停止了行动，恢复运营会有多难？

攻击者将尝试追查备份，以进一步偏向此微积分，从而确保无法使用现有凭据访问备份，或使用不可变的备份解决方案。了解从备份中恢复的速度也很重要 - 毕竟，如果您每小时可以恢复 10 GB（听起来不错），但您有 100 TB 的数据要恢复，则需要 400 多天才能恢复数据。

一些最终积分

您处理勒索软件攻击的明显目标是在渗透开始前抓住它们（并弹出攻击者）。但是，甚至在渗透开始之前，攻击者很可能已经访问 GPO 并将恶意软件推入所有域连接系统 - 因此您确实希望在此之前捕获攻击，因为在此点之后的补救措施必然是昂贵且非常耗时的。

在攻击的时间表中移动得越远，您就越需要依靠将几个较弱的信号聚合成一个较强的信号来识别可能的勒索软件攻击。您在攻击者路径上设置的障碍越多 ， 在网络卫生、检测和响应能力方面 ， 攻击者就越有可能放弃， 或者你在与时钟赛跑中给自己足够的时间， 以成功地将他们逐出您的网络。