勒索软体的威胁与防护：未来的挑战与应对

主要要点

勒索软体攻击频率提升，平均每10秒发生一次，预计到2031年将每2秒就有一次。目前攻击者的能力足以对国家级政府发动勒索，但主要目标仍偏向企业和中小型企业SMB，因为它们的风险回报比更具吸引力。根据2023年 Verizon 数据泄露调查报告，勒索软体占据了所有报告中事件类型的24。事件恢复的整体成本日益增加，企业需要更加重视防范。

随著勒索软体的流行，攻击者的手法越来越高级，甚至有能力让国家政府屈服于勒索。尽管如此，国家级机构并非他们的主要目标，反而是企业和中小型企业因为其回报潜力而成为攻击的重点。

根据资料，从今往后，事件恢复的成本不断上升，这包括系统停机时间、保险问题和合规报告等带来的长期影响。因此，防范攻击的重要性不言而喻。

勒索软体防护的技术

端点侦测与回应EDR和扩展侦测与回应XDR技术成为目前业界标准，能够有效保护系统免受已知威胁的影响。然而，攻击者也不断调整策略，发展出能够规避这些防护方式的新技术。例如：

黑洞加速器下载无文件恶意软体：这种软体不使用传统档案，不留下任何静态内容，让发现变得困难。转移运算和行为分析：这些功能相对耗费资源，通常只能在受控环境内执行。

这使得攻击者能在不被发现的情况下持续威胁系统。

攻击工具描述GuLoader针对美国法律和投资公司的先进威胁InvalidPrinter高度隐蔽的加载器，曾在 Virus Total 上未被检测ProxyShellMiner利用 Microsoft Exchange 中的 ProxyShell 漏洞的变体

转变安全格局的必要性

随著攻击者逐渐采用变形技术，防守者也应借鉴该技术。在攻击发生时，如果目标资源不存在或持续变化，则被攻击的机率将显著降低。

自动化移动目标防御技术AMTD

AMTD 技术透过使攻击面不断变化和模糊，来增加攻击的复杂性，从而有效保护系统。这种技术的起源可以追溯到军事策略，其核心是掩护、隐蔽和保持灵活，以消除被精确锁定的机会。

透过在记忆体空间中加载应用程式，AMTD 技术可变形和隐蔽过程结构，利用轻型欺骗机制混淆攻击者，使得恶意程式无法接触到原始资源，进而失败并被完整记录。

这种以预防为主的策略可有效阻止攻击，让安全团队有更多时间进行威胁调查并确保系统安全。 AMTD 的确定性特征产生的高质量警报，有助于优先处理安全团队的工作，减少警报疲劳。

结论

面对日益增长的勒索软体和其他网路攻击的风险，提升端点保护的必要性不容小觑。防守者应该吸取攻击者的技巧，演