Gartner发布准备应对勒索软件攻击指南:勒索软件攻击的三个阶段及其防御生命周期

攻击者改变了策略,在某些情况下转向勒索软件。安全和风险管理领导者必须通过提高检测和预防能力来为勒索软件攻击做好准备,同时还要改进其事后应对策略。

主要发现

  • 勒索软件(无加密的数据盗窃攻击)是攻击者越来越多地使用的策略。

  • 攻击者正在挖掘泄露的数据来识别其他潜在的收入来源。

  • 网络钓鱼、对面向公众的基础设施的远程攻击以及未经授权的远程桌面连接仍然是勒索软件渗透的主要来源。

  • 勒索软件攻击后的恢复成本和由此导致的停机时间以及声誉损害的成本可能高达赎金本身金额的 10 倍。

建议

安全和风险管理领导者必须关注勒索软件攻击的所有三个阶段:

  • 通过构建事前预防策略,包括工作区和终端保护、数据保护、不可变备份、资产管理、最终用户意识培训以及强大的身份和访问管理,为勒索软件攻击做好准备。

  • 通过部署基于行为异常的检测技术来识别勒索软件攻击,从而实施检测措施。

  • 通过培训员工和安排定期培训练习来培养事故后响应技能。

  • 制定包含遏制策略的事件响应计划,并通过勒索软件手册进行增强。

介绍

勒索软件继续对组织构成重大风险。最近的攻击已从自动传播攻击演变为更有针对性的人为操作活动。我们现在看到攻击者不再加密数据,而是仅仅依靠被盗数据的价值来索要赎金以“销毁”被盗数据集的事件。

最近的勒索软件活动已成为“人为操作的勒索软件”,其中攻击由操作员控制,而不是自动传播。此类攻击通常利用众所周知的安全漏洞来获取访问权限。例如,最近的许多勒索软件事件被认为是由配置不当或易受攻击的远程桌面协议(RDP)配置或不良的身份和访问管理(IAM)实践开始的。之前被泄露的凭据也被用来获取系统访问权限。这些可以通过初始访问代理或其他暗网数据转储获得。

这些攻击对组织的影响已经加大,甚至导致一些组织倒闭,在医疗保健领域,生命也处于危险之中。安全和风险管理领导者需要适应这些变化,并不仅仅关注终端安全控制来防范勒索软件。

恶意活动的第一个证据和勒索软件的部署之间的中位停留时间正在减少。最近的一份报告指出,超过 50% 的活动在首次访问后一天内就被部署了勒索软件。

图 1 描述了勒索软件防御生命周期。多年来,网络安全界一直在说“问题不在于是否会受到攻击,而在于何时受到攻击。” 安全和风险管理领导者必须检查所有这些阶段,并确保分配足够的时间和精力来准备、防御和预防事件,同时进行必要的检测、响应和恢复活动。

图 1:勒索软件防御生命周期

分析

制定事前准备策略

安全和风险管理领导者应假设勒索软件攻击会成功,并确保组织准备好尽早检测、以最小的影响遏制威胁并尽快恢复。快速检测和遏制勒索软件攻击的能力将对由此造成的任何中断或中断产生最大的影响。

第一个也是最常见的问题是“应该支付赎金吗?”最终,这必须是一项业务决策,需要在行政人员或董事会层面上做出,并提供法律建议。执法机构和安全从业人员建议不要付款,因为这会鼓励持续的犯罪活动。在某些情况下,支付赎金可能被视为非法,因为它为犯罪活动提供了资金。无论如何,讨论需要进行。然而,有几个组织在勒索软件事件期间与执法部门合作并决定付款,因为这是对其业务的最佳选择。

如果考虑付款,那么建立一个包括首席执行官、董事会和关键运营人员在内的治理和法律流程非常重要。不建议组织在没有指导的情况下与攻击者进行谈判。这通常由第三方谈判服务提供商完成。除了作为主要谈判者之外,这些公司还有能力促进支付,并且在许多情况下消除企业维护加密货币的要求。

需要注意的是,即使支付了赎金,也不能保证数据会被恢复。由于加密过程中数据损坏以及数据本身被盗,加密的文件可能无法恢复。

良好的备份流程和策略是勒索软件后数据恢复的主要防线。确保备份解决方案能够抵御勒索软件攻击,并持续监控备份的状态和完整性。特别是,大多数备份供应商提供了一种机制来创建备份的不可变辅助副本或不可变快照。

恢复不仅仅是恢复数据。勒索软件将有效地锁定带有勒索软件注释的计算机,并且将计算机恢复到已知的良好状态可能比恢复数据更复杂。拥有将终端恢复到黄金映像的工具和流程可以加快恢复时间。一些组织在远程和海外地点使用 USB 设备。 Gartner 有时会发现客户甚至不尝试清洁或恢复机器。相反,勒索软件事件被视为刷新硬件的原因。无论什么过程,都应该定期进行模拟以发现缺陷。

用户的安全意识也很重要。不断地向用户介绍所见攻击的类型,并通过定期告警和安全“时事通讯”来加强教育。创建一组定期重复的简单安全消息。警惕的用户不仅不会陷入社交工程的陷阱,还可以起到早期预警的作用。尤其要确保用户定期接受如何识别恶意电子邮件的培训。提供一种简单的机制来报告可疑电子邮件,并通过确认用户做了正确的事情来强化它。考虑以电子邮件为中心的安全编排自动化和响应 (SOAR) 工具,例如包含电子邮件安全的 M-SOAR 或扩展检测和响应 (XDR)。这将帮助自动化并改进对电子邮件攻击的响应。

安全卫生对于防范“人为操作”勒索软件至关重要,并且需要对整个组织进行整体了解。 SRM 领导者应将以下行动纳入其防御勒索软件战略的一部分:

  • 建立可靠的资产管理流程,以确定需要保护的内容以及责任人。应特别注意遗留系统。

  • 实施基于风险的漏洞管理流程,其中包括威胁情报 (TI)。勒索软件通常依赖未打补丁的系统来允许横向移动。漏洞管理应该是一个持续的过程。与漏洞相关的风险会随着攻击者的利用而发生变化。

  • 实施宏观和微观网络分段,以创建更细粒度的网络分段,以最大限度地减少未来勒索软件攻击对网络的影响范围。

  • 构建并执行零信任策略,以降低攻击者滥用环境中的隐式信任来实现横向移动、利用可用漏洞并获得权限升级来部署勒索软件的风险。

  • 对配置错误和不合规的系统实施合规性扫描,以及入侵与攻击模拟 (BAS) 工具。

  • 实施安全配置管理流程,以确保对已部署的安全控制进行一致且持续的评估。评估自动安全控制评估 (ASCA) 工具。

  • 删除用户在终端上的本地管理权限,并限制对最敏感的业务应用程序(包括电子邮件)的访问,以防止帐户泄露。

  • 阻止访问命令提示符,并阻止在所有用户终端上执行 PowerShell 脚本。

  • 为特权用户(例如数据库和基础设施管理员以及服务帐户)实施强身份验证。记录并监控活动。攻击者通常会使用已知的、检测到的恶意软件来获取更高权限的帐户凭据。

  • 订阅暗网监控服务,以防止“相似”域名、凭证转储和与数字资产相关的访问权限出售。

实施检测措施来识别勒索软件攻击

不可避免的是,勒索软件可能会突破防御和保护措施。那么问题就变成了能够多快地发现事件。所描述的许多用于保护的工具还将提供用于检测的数据和监控数据。特别是,身份威胁检测和响应 (ITDR)、终端检测和响应 (EDR) 以及网络检测和响应 (NDR) 工具会收集危害指标 (IOC) 和事件,提醒可能表明攻击的异常行为“可能”正在进行中。EDR 还可以帮助识别“挖掘”,即攻击保持安静,同时收集进一步受损的帐户和权限。

对这些IOC和事件的理解、解释和调查往往需要更高水平的专业知识。越来越多的人将其作为终端保护平台 ( EPP) 解决方案的一部分或更广泛的托管检测响应 (MDR) 或 XDR 解决方案进行购买。使用这些服务对于没有员工或技能来拥有自己的安全运营中心 (SOC) 的组织来说可能是有益的。

保护组织免受这些攻击不仅仅是中终端保护,还包括许多不同的安全工具和控制。勒索软件攻击通常遵循图 2 所示的攻击模式。

图 2:勒索软件攻击剖析

一旦检测到勒索软件攻击,最大限度地减少影响至关重要。最常用的技术是隔离。隔离技术有很多种,大多数 EDR 工具都提供设备上隔离功能,使事件响应者能够将计算机与网络的其他部分隔离,同时允许远程访问以进行修复。

基于网络的隔离更像是一种生硬的工具,需要禁止可疑设备。这适用于 VPN、SSE 和 NAC 控制的网络基础设施,例如交换机和接入点。作为最后的手段,组织疯狂地拔掉网络电缆。但是,这可能会减慢恢复阶段,因为它需要对设备进行物理访问才能进行修复。

攻击从入口开始——即攻击的初始点。这通常采取通过网络钓鱼或有针对性的攻击提供的受损网站的形式,并且可能包括通过凭证转储获得的访问权限或通过访问代理购买的访问权限。安全电子邮件网关 (SEG) 和安全 Web 网关 (SWG) 可以帮助提供额外的保护层。网络隔离等技术也可以限制影响。如前所述,另一种常见的攻击方法是通过易受攻击的 RDP 端口。攻击者使用 RDP 帮助通过网络进行横向移动。渗透测试可以有效地发现防御漏洞。

其他安全工具也在检测阶段发挥作用。安全信息事件管理(SIEM)、ASCA、ITDR 和 NDR解决方案可以帮助提供早期检测。欺骗工具也可能很有效。这可以像设置从未实际使用过的虚假“管理”帐户一样简单,这样,如果尝试使用它,就可以发送告警。其他类型的诱饵,例如欺骗平台和蜜罐,也可以作为勒索软件防御策略的一部分进行部署。监控工具可以识别何时触发存储加密或何时发生重大数据泄露事件。

除了来自安全工具的 IOC 和警报之外,查看未发生的情况也很重要。如果更改或停止备份计划,备份量或更改率会意外增加。在某些计算机上禁用卷影副本,或者计算机上不再运行安全工具,可能表明攻击者位于组织内部。

攻击者可能会花几天到几个月的时间挖掘自己并在您的网络中获得横向移动。受感染的机器通过命令和控制通道接收指令。 DNS 安全、安全 Web 网关和 NDR 解决方案可以检测并阻止这些通道。终端防火墙、网络分段以及强大的漏洞和补丁管理都将有助于限制攻击者能够实现的目标。

EPP、EDR 和移动威胁防御 (MTD) 解决方案应作为防御的一部分。如果内部团队没有必要的技能或带宽,请通过托管服务补充 EDR。

SRM 领导者应根据攻击者使用的模式和技术调整其安全策略。 MITRE ATT&CK 框架可用于评估组织对每个阶段的保护并对其进行评分。 MITRE在其网站上还提供了 MITRE Engage,这是一个用于规划和讨论对手交战行动的框架。

基础设施即服务 (IaaS) 和平台即服务 (PaaS) 环境同样容易受到勒索软件攻击。从概念上讲,这些应该以同样的方式解决。改变的是必须执行的战术活动来隔离受影响的设备或网段。

通过培训员工和安排演习来建立事件前后和事件后响应程序

安全和风险管理领导者最终必须为勒索软件攻击的成功做好准备,并制定适当的计划、流程和程序。这些计划需要包括 IT 方面以及内部员工、合作伙伴和供应商的沟通计划。安全和风险管理领导者必须快速、清晰地传达该问题,这一点非常重要。定期更新状态以及系统何时恢复到可用状态。多种网络危机模拟工具可以帮助识别程序、角色和责任方面的差距。

这些计划会根据勒索软件攻击的程度和成功程度而有所不同。它可能只是组织的一小部分,而且影响可能很小。对于更大规模的攻击,影响可能超出组织范围,影响到客户和合作伙伴。作为准备工作的一部分,定期进行消防演习或桌面练习来演练应对措施可能会有所帮助。理想情况下,这些练习将涵盖所需的业务和技术响应活动。

恢复进行后,收集足够的信息以了解攻击的根本原因并了解哪些控制失败或未到位。同样,专业的数字取证和事件响应服务在此分析中发挥着重要作用。一旦系统恢复,落实吸取的经验教训并将其反馈到准备阶段至关重要。

开发勒索软件手册

勒索软件与任何其他安全事件不同。它让受影响的组织进入倒计时器。决策过程中的任何延误都会带来额外的风险。

在勒索软件事件期间,企业领导者将被迫在信息很少的情况下做出重大决策。

需要分配其他角色(例如计时员)。计时员负责根据勒索软件需求跟踪剩余响应时间。忘记时间可能会导致数据公开泄露和赎金金额增加。

还应包括做出“付费/不付费”决定的指导。需要识别勒索软件谈判公司等第三方服务,并提供必要的联系信息。勒索软件手册提供了解决勒索软件事件的说明性指导。

了解组织在监控、检测和响应安全事件方面的局限性。许多组织需要帮助来减轻、检测攻击并从中恢复。专业的事件响应团队可以发挥重要作用,并且拥有适当的事件响应人员可以降低成本并提高响应速度。

战术恢复步骤会有所不同,具体取决于组织和勒索软件的范围,但将涉及:

  • 从备份中恢复数据,包括验证这些备份的完整性并了解哪些数据(如果有)已丢失。

  • 一旦受到威胁,使用 EPP 和 EDR 以及 MTD 解决方案作为补救响应的一部分来消除和隔离威胁。恢复不仅仅是恢复数据。受感染的机器可能被“锁定”并且可能需要物理访问。在准备阶段,了解并计划如何实现这一目标非常重要。

  • 在允许设备返回网络之前验证设备的完整性。

  • 更新或删除受损的凭据。如果没有这个,攻击者将能够再次进入。

  • 对发生的事情和发生的方式进行彻底的根本原因分析,包括对任何已被泄露的数据进行核算。当攻击者威胁要发布被盗信息时,人肉搜索就会发生。如果受害者决定不支付赎金,这正日益成为一种次要的勒索方法。

  • 引进专家——你无法独自完成这件事。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/605853.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

SpringBoot启动流程分析之创建SpringApplication对象(一)

SpringBoot启动流程分析之创建SpringApplication对象(一) 目录: 文章目录 SpringBoot启动流程分析之创建SpringApplication对象(一)1、SpringApplication的构造方法1.1、推断应用程序类型1.2、设置Initializers1.3、设置Listener1.4、推断main方法所在类 流程分析…

Seata之XA 模式的使用

系列文章目录 文章目录 系列文章目录前言 前言 前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。点击跳转到网站,这篇文章男女通用,看懂了就去分享给你的码吧。 Seata 是一款开源的…

计算机专业,求你别再玩了,我都替你们着急

明确学习目标和方向:确定自己希望在计算机领域的哪个方向深入发展,如前端开发、后端开发、数据库管理、人工智能等。根据目标方向,制定详细的学习计划,确保所学知识与未来职业方向相匹配。 【PDF学习资料文末获取】 扎实基础知识…

变配电工程 变配电室智能监控系统 门禁 视频 环境 机器人

一、方案背景 要真正了解无人值守配电房的运行模式,我们必须对“无人值守”这一概念有准确的理解。它并不意味着完全没有工作人员管理,而是通过技术设备和人机协作来确保配电房的正常运行。 利用变配电室智能监控系统,可以实时获得配电室各…

【优选算法】—Leetcode—11—— 盛最多水的容器

1.题目 11. 盛最多水的容器 给定一个长度为 n 的整数数组 height 。有 n 条垂线,第 i 条线的两个端点是 (i, 0) 和 (i, height[i]) 。 找出其中的两条线,使得它们与 x 轴共同构成的容器可以容纳最多的水。 返回容器可以储存的最大水量。 说明&#…

滑动窗口详解

目录 一、滑动窗口的特定步骤: 二、题目解析 1、⻓度最⼩的⼦数组---点击跳转题目 3、最⼤连续 1 的个数 III----点击跳转题目 4、将 x 减到 0 的最⼩操作数----点击跳转题目 5、⽔果成篮----点击跳转题目 滑动窗口是双指针算法中细分的一种,它由暴…

【AutoGPT】踩坑帖(follow李鱼皮)

本文写于2024年5月7日 参考视频:AutoGPT傻瓜式使用教程真实体验! 对应文章:炸裂的AutoGPT,帮我做了个网站! 平台:GitPod 云托管服务 原仓库已经改动很大,应使用的Repo为:Auto-GPT-ZH…

java后端15问!

前言 最近一位粉丝去面试一个中厂,Java后端。他说,好几道题答不上来,于是我帮忙整理了一波答案 G1收集器JVM内存划分对象进入老年代标志你在项目中用到的是哪种收集器,怎么调优的new对象的内存分布局部变量的内存分布Synchroniz…

中职大数据专业介绍:大数据技术应用

近年来,人工智能在经济发展、社会进步、国际政治经济格局等方面已经产生重大而深远的影响。规划纲要对“十四五”及未来十余年我国人工智能的发展目标、核心技术突破、智能化转型与应用,以及保障措施等多个方面都作出了部署。 据2020年全国教育事业发展统…

运用分支结构与循环结构写一个猜拳小游戏

下面我们运用平常所学的知识来写一个小游戏,这样能够加强我们学习的趣味性,并且能够更加的巩固我们所学的知识。 游戏代码: 直接放代码:(手势可以使用数字来代替,比如0对应石头,1对应剪刀&…

Qexo:让你的静态博客动起来

Qexo是一个强大而美观的在线静态博客编辑器,它不仅限于编辑,而是将静态博客提升到新的高度。通过GPL3.0开源协议,Qexo提供了一个集编辑、管理、扩展于一体的平台,让静态博客也能拥有动态的元素。无论你是Hexo、Hugo还是Valaxy的用…

【论文阅读】<YOLOP: You Only Look Once for PanopticDriving Perception>

Abstract 全视驾驶感知系统是自动驾驶的重要组成部分。一个高精度的实时感知系统可以帮助车辆在驾驶时做出合理的决策。我们提出了一个全视驾驶感知网络(您只需寻找一次全视驾驶感知网络(YOLOP)),以同时执行交通目标检…

C++类和对象中篇

🐇 🔥博客主页: 云曦 📋系列专栏:[C] 💨路漫漫其修远兮 吾将而求索 💛 感谢大家👍点赞 😋关注📝评论 文章目录 📔前言📔1、类的六个…

源代码怎么加密防泄漏?9种方法教会你

想做源代码加密防止泄漏,首先要了解程序员可以通过哪些方式将源代码传输出去! 程序员泄密的常见方式 物理方法: — 网线直连,即把网线从墙上插头拔下来,然后和一个非受控电脑直连; — winPE启动,通过光盘…

怎么写毕业论文的? 推荐4个AI工具

写作这件事一直让我们从小学时期就开始头痛,初高中时期800字的作文让我们焦头烂额,一篇作文里用尽了口水话,拼拼凑凑才勉强完成。 大学时期以为可以轻松顺利毕业,结果毕业前的最后一道坎拦住我们的是毕业论文,这玩意不…

常用目标检测算法介绍

目录 1. 常用目标检测算法 2. R-CNN 模型 3. Fast R-CNN 模型 4. Faster R-CNN 模型 5. SSD 模型 1. 常用目标检测算法 在深度学习框架下,目标检测方法通常涉及图像定位和分类两个关键方面。有两种主要的解决方法:一种是一阶(one-stage&…

去除快捷方式的箭头图标

文章目录 取消箭头显示恢复箭头显示结果展示 添加快捷方式之后,会有箭头图标,部分场景下看着较为难受: 可以通过如下方式取消/显示箭头: 取消箭头显示 新建一个.bat文件,内部加入如下命令: reg add "…

2024北京市人工智能大模型行业应用分析报告

来源:北京市科学技术委员会 方向一为基于AIGC技术的智能审计合规研究,由北京银行提出,以 提高审计工作效率和准确性为核心目标,需要参赛企业针对检查内容, 利用大模型技术寻找并给出相关现象涉及的制度名称及相关原文…

element ui的确认提示框按钮样式修改

修改确认提示框的默认按钮样式,使用css强制修改 例: js代码: deleteUser(params){this.$confirm("您确定要删除吗?此操作无法撤销并且将永久删除所有数据。", "提示", { type: "warning", cancel…

新款锐科达SV-2402VP SIP广播音频模块18123651365支持RTP流音频广播

一、模块介绍 SV-2402VP网络音频模块是一款通用的独立SIP音频播放模块,其带2*15W功放音频输出,可以轻松地嵌入到OEM产品中。该模块对来自网络的SIP协议及RTP音频流进行解码播放。 该模块支持多种网络协议和音频解码协议,可用于VoIP和IP寻呼…