Gartner发布准备应对勒索软件攻击指南:勒索软件攻击的三个阶段及其防御生命周期

攻击者改变了策略,在某些情况下转向勒索软件。安全和风险管理领导者必须通过提高检测和预防能力来为勒索软件攻击做好准备,同时还要改进其事后应对策略。

主要发现

  • 勒索软件(无加密的数据盗窃攻击)是攻击者越来越多地使用的策略。

  • 攻击者正在挖掘泄露的数据来识别其他潜在的收入来源。

  • 网络钓鱼、对面向公众的基础设施的远程攻击以及未经授权的远程桌面连接仍然是勒索软件渗透的主要来源。

  • 勒索软件攻击后的恢复成本和由此导致的停机时间以及声誉损害的成本可能高达赎金本身金额的 10 倍。

建议

安全和风险管理领导者必须关注勒索软件攻击的所有三个阶段:

  • 通过构建事前预防策略,包括工作区和终端保护、数据保护、不可变备份、资产管理、最终用户意识培训以及强大的身份和访问管理,为勒索软件攻击做好准备。

  • 通过部署基于行为异常的检测技术来识别勒索软件攻击,从而实施检测措施。

  • 通过培训员工和安排定期培训练习来培养事故后响应技能。

  • 制定包含遏制策略的事件响应计划,并通过勒索软件手册进行增强。

介绍

勒索软件继续对组织构成重大风险。最近的攻击已从自动传播攻击演变为更有针对性的人为操作活动。我们现在看到攻击者不再加密数据,而是仅仅依靠被盗数据的价值来索要赎金以“销毁”被盗数据集的事件。

最近的勒索软件活动已成为“人为操作的勒索软件”,其中攻击由操作员控制,而不是自动传播。此类攻击通常利用众所周知的安全漏洞来获取访问权限。例如,最近的许多勒索软件事件被认为是由配置不当或易受攻击的远程桌面协议(RDP)配置或不良的身份和访问管理(IAM)实践开始的。之前被泄露的凭据也被用来获取系统访问权限。这些可以通过初始访问代理或其他暗网数据转储获得。

这些攻击对组织的影响已经加大,甚至导致一些组织倒闭,在医疗保健领域,生命也处于危险之中。安全和风险管理领导者需要适应这些变化,并不仅仅关注终端安全控制来防范勒索软件。

恶意活动的第一个证据和勒索软件的部署之间的中位停留时间正在减少。最近的一份报告指出,超过 50% 的活动在首次访问后一天内就被部署了勒索软件。

图 1 描述了勒索软件防御生命周期。多年来,网络安全界一直在说“问题不在于是否会受到攻击,而在于何时受到攻击。” 安全和风险管理领导者必须检查所有这些阶段,并确保分配足够的时间和精力来准备、防御和预防事件,同时进行必要的检测、响应和恢复活动。

图 1:勒索软件防御生命周期

分析

制定事前准备策略

安全和风险管理领导者应假设勒索软件攻击会成功,并确保组织准备好尽早检测、以最小的影响遏制威胁并尽快恢复。快速检测和遏制勒索软件攻击的能力将对由此造成的任何中断或中断产生最大的影响。

第一个也是最常见的问题是“应该支付赎金吗?”最终,这必须是一项业务决策,需要在行政人员或董事会层面上做出,并提供法律建议。执法机构和安全从业人员建议不要付款,因为这会鼓励持续的犯罪活动。在某些情况下,支付赎金可能被视为非法,因为它为犯罪活动提供了资金。无论如何,讨论需要进行。然而,有几个组织在勒索软件事件期间与执法部门合作并决定付款,因为这是对其业务的最佳选择。

如果考虑付款,那么建立一个包括首席执行官、董事会和关键运营人员在内的治理和法律流程非常重要。不建议组织在没有指导的情况下与攻击者进行谈判。这通常由第三方谈判服务提供商完成。除了作为主要谈判者之外,这些公司还有能力促进支付,并且在许多情况下消除企业维护加密货币的要求。

需要注意的是,即使支付了赎金,也不能保证数据会被恢复。由于加密过程中数据损坏以及数据本身被盗,加密的文件可能无法恢复。

良好的备份流程和策略是勒索软件后数据恢复的主要防线。确保备份解决方案能够抵御勒索软件攻击,并持续监控备份的状态和完整性。特别是,大多数备份供应商提供了一种机制来创建备份的不可变辅助副本或不可变快照。

恢复不仅仅是恢复数据。勒索软件将有效地锁定带有勒索软件注释的计算机,并且将计算机恢复到已知的良好状态可能比恢复数据更复杂。拥有将终端恢复到黄金映像的工具和流程可以加快恢复时间。一些组织在远程和海外地点使用 USB 设备。 Gartner 有时会发现客户甚至不尝试清洁或恢复机器。相反,勒索软件事件被视为刷新硬件的原因。无论什么过程,都应该定期进行模拟以发现缺陷。

用户的安全意识也很重要。不断地向用户介绍所见攻击的类型,并通过定期告警和安全“时事通讯”来加强教育。创建一组定期重复的简单安全消息。警惕的用户不仅不会陷入社交工程的陷阱,还可以起到早期预警的作用。尤其要确保用户定期接受如何识别恶意电子邮件的培训。提供一种简单的机制来报告可疑电子邮件,并通过确认用户做了正确的事情来强化它。考虑以电子邮件为中心的安全编排自动化和响应 (SOAR) 工具,例如包含电子邮件安全的 M-SOAR 或扩展检测和响应 (XDR)。这将帮助自动化并改进对电子邮件攻击的响应。

安全卫生对于防范“人为操作”勒索软件至关重要,并且需要对整个组织进行整体了解。 SRM 领导者应将以下行动纳入其防御勒索软件战略的一部分:

  • 建立可靠的资产管理流程,以确定需要保护的内容以及责任人。应特别注意遗留系统。

  • 实施基于风险的漏洞管理流程,其中包括威胁情报 (TI)。勒索软件通常依赖未打补丁的系统来允许横向移动。漏洞管理应该是一个持续的过程。与漏洞相关的风险会随着攻击者的利用而发生变化。

  • 实施宏观和微观网络分段,以创建更细粒度的网络分段,以最大限度地减少未来勒索软件攻击对网络的影响范围。

  • 构建并执行零信任策略,以降低攻击者滥用环境中的隐式信任来实现横向移动、利用可用漏洞并获得权限升级来部署勒索软件的风险。

  • 对配置错误和不合规的系统实施合规性扫描,以及入侵与攻击模拟 (BAS) 工具。

  • 实施安全配置管理流程,以确保对已部署的安全控制进行一致且持续的评估。评估自动安全控制评估 (ASCA) 工具。

  • 删除用户在终端上的本地管理权限,并限制对最敏感的业务应用程序(包括电子邮件)的访问,以防止帐户泄露。

  • 阻止访问命令提示符,并阻止在所有用户终端上执行 PowerShell 脚本。

  • 为特权用户(例如数据库和基础设施管理员以及服务帐户)实施强身份验证。记录并监控活动。攻击者通常会使用已知的、检测到的恶意软件来获取更高权限的帐户凭据。

  • 订阅暗网监控服务,以防止“相似”域名、凭证转储和与数字资产相关的访问权限出售。

实施检测措施来识别勒索软件攻击

不可避免的是,勒索软件可能会突破防御和保护措施。那么问题就变成了能够多快地发现事件。所描述的许多用于保护的工具还将提供用于检测的数据和监控数据。特别是,身份威胁检测和响应 (ITDR)、终端检测和响应 (EDR) 以及网络检测和响应 (NDR) 工具会收集危害指标 (IOC) 和事件,提醒可能表明攻击的异常行为“可能”正在进行中。EDR 还可以帮助识别“挖掘”,即攻击保持安静,同时收集进一步受损的帐户和权限。

对这些IOC和事件的理解、解释和调查往往需要更高水平的专业知识。越来越多的人将其作为终端保护平台 ( EPP) 解决方案的一部分或更广泛的托管检测响应 (MDR) 或 XDR 解决方案进行购买。使用这些服务对于没有员工或技能来拥有自己的安全运营中心 (SOC) 的组织来说可能是有益的。

保护组织免受这些攻击不仅仅是中终端保护,还包括许多不同的安全工具和控制。勒索软件攻击通常遵循图 2 所示的攻击模式。

图 2:勒索软件攻击剖析

一旦检测到勒索软件攻击,最大限度地减少影响至关重要。最常用的技术是隔离。隔离技术有很多种,大多数 EDR 工具都提供设备上隔离功能,使事件响应者能够将计算机与网络的其他部分隔离,同时允许远程访问以进行修复。

基于网络的隔离更像是一种生硬的工具,需要禁止可疑设备。这适用于 VPN、SSE 和 NAC 控制的网络基础设施,例如交换机和接入点。作为最后的手段,组织疯狂地拔掉网络电缆。但是,这可能会减慢恢复阶段,因为它需要对设备进行物理访问才能进行修复。

攻击从入口开始——即攻击的初始点。这通常采取通过网络钓鱼或有针对性的攻击提供的受损网站的形式,并且可能包括通过凭证转储获得的访问权限或通过访问代理购买的访问权限。安全电子邮件网关 (SEG) 和安全 Web 网关 (SWG) 可以帮助提供额外的保护层。网络隔离等技术也可以限制影响。如前所述,另一种常见的攻击方法是通过易受攻击的 RDP 端口。攻击者使用 RDP 帮助通过网络进行横向移动。渗透测试可以有效地发现防御漏洞。

其他安全工具也在检测阶段发挥作用。安全信息事件管理(SIEM)、ASCA、ITDR 和 NDR解决方案可以帮助提供早期检测。欺骗工具也可能很有效。这可以像设置从未实际使用过的虚假“管理”帐户一样简单,这样,如果尝试使用它,就可以发送告警。其他类型的诱饵,例如欺骗平台和蜜罐,也可以作为勒索软件防御策略的一部分进行部署。监控工具可以识别何时触发存储加密或何时发生重大数据泄露事件。

除了来自安全工具的 IOC 和警报之外,查看未发生的情况也很重要。如果更改或停止备份计划,备份量或更改率会意外增加。在某些计算机上禁用卷影副本,或者计算机上不再运行安全工具,可能表明攻击者位于组织内部。

攻击者可能会花几天到几个月的时间挖掘自己并在您的网络中获得横向移动。受感染的机器通过命令和控制通道接收指令。 DNS 安全、安全 Web 网关和 NDR 解决方案可以检测并阻止这些通道。终端防火墙、网络分段以及强大的漏洞和补丁管理都将有助于限制攻击者能够实现的目标。

EPP、EDR 和移动威胁防御 (MTD) 解决方案应作为防御的一部分。如果内部团队没有必要的技能或带宽,请通过托管服务补充 EDR。

SRM 领导者应根据攻击者使用的模式和技术调整其安全策略。 MITRE ATT&CK 框架可用于评估组织对每个阶段的保护并对其进行评分。 MITRE在其网站上还提供了 MITRE Engage,这是一个用于规划和讨论对手交战行动的框架。

基础设施即服务 (IaaS) 和平台即服务 (PaaS) 环境同样容易受到勒索软件攻击。从概念上讲,这些应该以同样的方式解决。改变的是必须执行的战术活动来隔离受影响的设备或网段。

通过培训员工和安排演习来建立事件前后和事件后响应程序

安全和风险管理领导者最终必须为勒索软件攻击的成功做好准备,并制定适当的计划、流程和程序。这些计划需要包括 IT 方面以及内部员工、合作伙伴和供应商的沟通计划。安全和风险管理领导者必须快速、清晰地传达该问题,这一点非常重要。定期更新状态以及系统何时恢复到可用状态。多种网络危机模拟工具可以帮助识别程序、角色和责任方面的差距。

这些计划会根据勒索软件攻击的程度和成功程度而有所不同。它可能只是组织的一小部分,而且影响可能很小。对于更大规模的攻击,影响可能超出组织范围,影响到客户和合作伙伴。作为准备工作的一部分,定期进行消防演习或桌面练习来演练应对措施可能会有所帮助。理想情况下,这些练习将涵盖所需的业务和技术响应活动。

恢复进行后,收集足够的信息以了解攻击的根本原因并了解哪些控制失败或未到位。同样,专业的数字取证和事件响应服务在此分析中发挥着重要作用。一旦系统恢复,落实吸取的经验教训并将其反馈到准备阶段至关重要。

开发勒索软件手册

勒索软件与任何其他安全事件不同。它让受影响的组织进入倒计时器。决策过程中的任何延误都会带来额外的风险。

在勒索软件事件期间,企业领导者将被迫在信息很少的情况下做出重大决策。

需要分配其他角色(例如计时员)。计时员负责根据勒索软件需求跟踪剩余响应时间。忘记时间可能会导致数据公开泄露和赎金金额增加。

还应包括做出“付费/不付费”决定的指导。需要识别勒索软件谈判公司等第三方服务,并提供必要的联系信息。勒索软件手册提供了解决勒索软件事件的说明性指导。

了解组织在监控、检测和响应安全事件方面的局限性。许多组织需要帮助来减轻、检测攻击并从中恢复。专业的事件响应团队可以发挥重要作用,并且拥有适当的事件响应人员可以降低成本并提高响应速度。

战术恢复步骤会有所不同,具体取决于组织和勒索软件的范围,但将涉及:

  • 从备份中恢复数据,包括验证这些备份的完整性并了解哪些数据(如果有)已丢失。

  • 一旦受到威胁,使用 EPP 和 EDR 以及 MTD 解决方案作为补救响应的一部分来消除和隔离威胁。恢复不仅仅是恢复数据。受感染的机器可能被“锁定”并且可能需要物理访问。在准备阶段,了解并计划如何实现这一目标非常重要。

  • 在允许设备返回网络之前验证设备的完整性。

  • 更新或删除受损的凭据。如果没有这个,攻击者将能够再次进入。

  • 对发生的事情和发生的方式进行彻底的根本原因分析,包括对任何已被泄露的数据进行核算。当攻击者威胁要发布被盗信息时,人肉搜索就会发生。如果受害者决定不支付赎金,这正日益成为一种次要的勒索方法。

  • 引进专家——你无法独自完成这件事。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/9424.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

git的标签管理

理解标签 在Git中,标签tag用于标记特定的一个重要点,比如版本发布。标签允许捕捉某一次提交的状态,当我们需要退回到某次提叫的版本时,通过标签我们快速定位到。标签具有两种类型: 轻量标签:最简单的标签形式&#x…

Linux(CentOS7)离线使用安装盘部署Telnet

[在线工具网 - 各类免费AI工具合集,免费pdf转word等](https://www.orcc.online) https://orcc.online 挂载镜像CentOS-7-x86_64-DVD-1810.iso到/mnt下(其他位置也行),命令如下: mount /dev/sr0 /mnt 安装包默认在Pa…

C++ 概览并发

并发 资源管理 资源 程序中符合先获取后释放(显式或隐式)规律的东西,比如内存、锁、套接字、线程句柄和文件句柄等。RAII: (Resource Acquisition Is Initialization),也称为“资源获取就是初始化”,是C语言的一种管…

Vue.js-----vue组件

能够说出vue生命周期能够掌握axios的使用能够了解$refs, $nextTick作用能够完成购物车案例 Vue 生命周期讲解 1.钩子函数 目标:Vue 框架内置函数,随着组件的生命周期阶段,自动执行 作用: 特定的时间点,执行特定的操作场景: 组…

[前后端基础]图片详解

[前后端基础]图片传输与异步-CSDN博客 https://juejin.cn/post/6844903782959022093#heading-3 base64、file和blob用JS进行互转的方法大全【前端】_js base64转blob-CSDN博客 后端存储方式 对于第一种存储方式,我们前端直接将存储路径赋值给 src 属性即可轻松显示。…

STM32——GPIO输出(点亮第一个LED灯)

代码示例: #include "stm32f10x.h" // Device headerint main() {RCC_APB2PeriphClockCmd(RCC_APB2Periph_GPIOA,ENABLE);//开启时钟GPIO_InitTypeDef GPIO_InitStructure;GPIO_InitStructure.GPIO_Mode GPIO_Mode_Out_PP;GPIO_InitSt…

租赁商城小程序源码部署/售后更新/搭建上线维护

基于ThinkPHPFastAdminUniApp开发的租赁商城小程序,提供用户物品租赁服务的应用程序,方便客户搭建各种类型的租赁场景服务。通过小程序端多角色进行平台管理,用户租赁商品缴纳租金及押金,员工端可操作商品出库和归还,订…

文件夹名批量重命名:一键实现中文到意大利语的高效翻译!文件管理更高效!

文件夹管理成为了我们日常工作和生活中的重要一环。当文件夹名称繁杂且多样,尤其是涉及到不同语言时,如何快速、准确地批量重命名,成为了许多人的迫切需求。今天,我们就来聊聊如何轻松实现文件夹名从中文到意大利语的批量翻译&…

基于FPGA的视频矩阵切换方案

一、单个显示设备的系统方案:会议室只有1个显示设备 会议室的信号源有很多,但是显示设备只有1个,这个时候最佳方案是使用切换器。 (1)切换器(控制方式:遥控器、软件、机箱面板、中控&#xff…

版本控制工具之Git的基础使用教程

Git Git是一个分布式版本控制系统,由Linux之父Linus Torvalds 开发。它既可以用来管理和追踪计算机文件的变化,也是开发者协作编写代码的工具。 本文将介绍 Git 的基础原理、用法、操作等内容。 一、基础概念 1.1 版本控制系统 版本控制系统&#x…

Python-----容器的介绍以及操作

1.列表和元组 1.列表是什么, 元组是什么: 编程中, 经常需要使用变量, 来保存/表示数据. 如果代码中需要表示的数据个数比较少, 我们直接创建多个变量即可. 但是有的时候, 代码中需要表示的数据特别多, 甚至也不知道要表示多少个数据. 这个时候, 就需要用到列表 列表…

论文解读--High-resolution Automotive Radar Point Cloud Imaging and Processing

高分辨汽车雷达点云成像和处理 摘要 汽车雷达具有体积小、硬件成本低、全天候工作、高分辨率等公认的优点,是高级驾驶辅助系统(ADAS)必不可少的一类重要传感器。然而,低角度分辨率和低成像性能的限制很难满足下一阶段ADAS的需要。新兴的4D成像雷达采用多…

SSC369G 双4K高性价比AI IPC方案

一、方案描述 SSC369G 双4K高性价比AI IPC方案采用主芯片SSC369G,内核为CA55四核最高主频为1.5Ghz处理器。SOC内置集成一个64位的四核RISC处理器,先进的图像信号处理器(ISP),高性能的H.265/H.264/MJPEG视频编解码器&a…

每日OJ题_记忆化搜索⑤_力扣329. 矩阵中的最长递增路径

目录 力扣329. 矩阵中的最长递增路径 解析代码1_爆搜递归(超时) 解析代码2_记忆化搜索 力扣329. 矩阵中的最长递增路径 329. 矩阵中的最长递增路径 难度 困难 给定一个 m x n 整数矩阵 matrix ,找出其中 最长递增路径 的长度。 对于每…

Linux下多线程相关概念

thread 1.什么是线程1.1 线程优缺点1.2 线程异常1.3 线程用途 2. 进程和线程区别3. 线程控制3.1 POSIX线程库3.2 pthread_create()3.3 线程ID3.4 线程ID地址空间布局pthread_self() 3.5 线程终止pthread_exit函数pthread_cancle函数 3.6 线程等待3.7 分离线程__thread修饰全局变…

Spring Boot | Spring Boot 消息管理 ( 消息中间件 ) 、RabbitMQ“消息中间件“

目录: 一、"消息服务" 概述 :1.1 为什么要使用 "消息服务" ( 消息中间件 ) ?① 异步处理② 应用解耦③ 流量削峰④ 分布式事务管理 1.2 常用 "消息中间件" 介绍 :ActiveMQ ( 广泛应用于中小型企业 )RabbitMQ ( 没有特别要求的场景下…

如何利用SSL证书让IP实现HTTPS安全访问

在互联网日益发展的今天,数据安全与隐私保护成为了用户和企业共同关注的焦点。HTTPS(超文本传输安全协议)作为一种广泛采用的安全通信协议,通过加密数据传输,为网站访问提供了安全保障。然而,要实现HTTPS访…

uniapp百度地图聚合

// loadBMap.js ak 百度key export default function loadBMap(ak) {return new Promise((resolve, reject) > {//聚合API依赖基础库,因此先加载基础库再加载聚合APIasyncLoadBaiduJs(ak).then(() > {// 调用加载第三方组件js公共方法加载其他资源库// 加载聚合API// Ma…

Oracle数据库如何插入平方(²)立方(³)字符

第一步:创建数据表,字段一定要是NVARCHAR2类型的 第二步,插入数据用 unistr(1\00b3) 形式的写法 00b3 代表m,00b2代表㎡ SELECT * FROM TESTABC; UPDATE TESTABC set NAME1unistr(1\00b3); UPDATE TESTABC set NAME2unistr(2\00b2…

【LLM多模态】MiniGPT4模型结构和训练流程

note 图生文应用场景:比如电商领域根据产品图像生成产品描述、娱乐领域中根据电影海报生成电影介绍等MiniGPT-4将预训练的大语言模型和视觉编码器参数同时冻结,只需要单独训练线性投影层,使视觉特征和语言模型对齐。MiniGPT4的视觉编码器&am…