当地家庭传播责任的增加

今天，我讨论了一个有利于跨组织传播的攻击向量，在家庭本地传播。尽管经常被忽视，但这个向量在今天尤其重要，因为许多公司员工仍然在家工作。

在这篇文章中，我将家庭本地传播与威胁（尤其是勒索软件）在整个组织中传播的传统媒介进行了对比。我将讨论这种类型的传播对员工和公司都有问题的原因。最后，我提供了一些简单的解决方案来降低这种策略的风险。

IT和安全利益相关者为什么要关心？

今天的长周期袭击通常会对受害者环境进行数周甚至数月的侦察。在这段时间里，攻击者获得了大量关于受害者足迹中系统的知识。这种在受害者环境中的额外闲逛时间，再加上在家中临时维护的工作环境，呈现出安格斯大道攻击他们的网络以及出口大道用于从您的网络攻击员工的个人设备。

对比战术

• 传统传播—；在2020年的一段时间里，即使改用WFH，勒索软件仍在继续通过以前的一些载体传播。通过电子邮件、恶意网站、服务器漏洞、私有云和文件共享传播很常见。通常，这足以让攻击者在受害者的环境中饱和。然而，在我们的WFH生活方式之前，当涉及跨组织传播时，这些载体中的许多在很大程度上是不适用的。这将导致自然控制单个组织的感染。

• 在家本地传播—；最近，攻击者一直在从最初的公司受害者跳入相邻系统，包括受害者家中的其他端点。目前还不清楚这是否是由于他们作为双重勒索赎金努力的一部分而进行的侦察的自然延伸（要求赎金解密文件，要求第二次赎金不泄露被盗文件），或者这是因为他们认定其他受害者在几米之外。

可以通过传统的传播媒介（如打开的文件共享）、本地（到家庭网络）漏洞攻击，或通过接入点（AP）本身，实现物理本地系统的这种转移。家庭AP/路由器通常：

• 消费者级
• 配置不当（通常使用标准/默认管理员密码）
• 设备之间缺乏加密或任何安全措施
• 而且，您可以忘记检测和响应，因为这些设备的日志不会返回任何人的SIEM、SOC或MDR服务提供商。

这为威胁行为者提供了一个通过在家中进行本地传播的机会。

这样做有两个明显的好处。

员工个人设备感染：

• 虽然这可能意味着另一方可能会支付赎金（员工），但传播到员工个人设备上的真正价值是施加或影响公司支付的杠杆。想象一下，有问题的员工是IT总监，通过鼓励他们的领导团队支付赎金以恢复业务连续性，他们也相信他们可以解密家庭相册、游戏机或配偶的工作笔记本电脑。

第三方公司设备的感染

• 如前所述，跳转到不同公司环境的方式要么有限，要么防御良好。但是，由于不同公司的员工同居（配偶、室友）或共享互联网接入（邻居），下一个潜在的公司受害者离他们只有一步之遥，很可能是通过配置不良的AP/路由器。

后果

• 对于面临勒索软件攻击的公司来说，由于受害者跨越公司和组织边界，在家中进行本地传播意味着更大的责任。
• 此外，降低风险的能力有限，因为他们不太可能直接控制在家工作的员工的网络基础设施。事实上，这种分离受到了员工自己的强烈辩护，理由是隐私问题——这是你的另一个潜在责任。

补救措施

为了减轻家庭本地传播勒索软件（或其他恶意恶意软件）的风险，IT和安全团队可以考虑以下步骤：

• 鼓励员工拥有强大的网络设备配置
• 确保良好的远程软件更新能力，以将客户端端点卫生保持在适当的水平。
• 跨客户端端点识别和修复漏洞
• 在您的端点和环境中参与检测和响应（威胁搜寻）活动。

我希望这篇文章已经引起了人们对一个在当前形势下特别相关的向量的关注。有关在家本地传播的更多信息，请查看我们名为“勒索软件即服务和恶意软件交付机制的演变”的网络研讨会，我在会上与网络安全专家小组讨论了这一现象。或者，要了解更多勒索软件的其他发展，请查看我们关于勒索软件即服务的兴起的白皮书，我对此做出了贡献。

注—；本文由以下作者撰写：肖恩·希特尔，ActZero的杰出安全工程师。人工智能。他在新概念威胁防护发动机设计方面有超过20年的经验。

阿克泽罗。AI公司挑战中小型企业和中型市场公司的网络安全覆盖。他们的智能MDR提供了全天候监控、保护和响应支持，远远超出了其他第三方软件解决方案。他们的数据科学家团队利用AI和ML等尖端技术来扩展资源、识别漏洞并在更短的时间内消除更多威胁。他们积极与客户合作，推动安全工程，提高内部效率和有效性，最终建立成熟的网络安全态势。无论是支持现有的安全战略，还是作为主要的防线，ActZero都能通过授权客户覆盖更多领域来实现业务增长。