如何在勒索軟件攻擊爆發(fā)前發(fā)現(xiàn)“苗頭”?
2022年04月09日
勒索軟件是影響較為嚴重的網(wǎng)絡(luò)攻擊之一�����,個人和企業(yè)深受其害���,并繼續(xù)淪為這種攻擊方式的受害者,這并非新現(xiàn)象�����,就像疫情不會憑空出現(xiàn)一樣��,勒索軟件也不會憑空出現(xiàn)�,通常有跡可循。
勒索軟件攻擊實際上是攻擊周期的最后一個階段。據(jù)美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(簡稱“CISA”)《MS-ISAC勒索軟件指南》報告稱�,在一些情況下,勒索軟件部署只是網(wǎng)絡(luò)入侵的最后一步���,旨在混淆掩飾前面的入侵后活動����。
此外�����,當我們查看MITRE ATT&CK?對抗戰(zhàn)術(shù)和技術(shù)知識庫時��,發(fā)現(xiàn)其對“前兆惡意軟件”(precursor malware)的解釋為:勒索軟件感染可能表明之前未成功化解的網(wǎng)絡(luò)入侵�����。舉例說明�,假設(shè)初始訪問(TA0001)因零日漏洞而未被檢測出來,前兆惡意軟件(TA0008)通過企業(yè)網(wǎng)絡(luò)和設(shè)備橫向傳播�����,在勒索軟件包部署之前提取訪問權(quán)限(TA0004)�����。
當企業(yè)被感染時,一些跡象表明惡意軟件感染已經(jīng)出現(xiàn)了幾個月�����,在某些情況下����,勒索軟件攻擊前三個月就會顯露出一些跡象。安全人員可能會看到一些異?;顒樱僭O(shè)他們已經(jīng)通過防火墻或端點檢測和響應(yīng)(EDR)代理檢測并屏蔽了勒索軟件����。但是,這也可能僅僅是惡意軟件攻擊的前兆����,后續(xù)也許會有更嚴重的破壞活動。
與此同時�,安全團隊可能還會收到大量毫不相關(guān)的警報�����,從而促使其更關(guān)注這些警報而不是前兆惡意軟件。警告信號往往隱藏在攻擊活動的不同階段����。如果我們能夠全面地查看前兆信息,就會有更大的機會及早發(fā)現(xiàn)勒索軟件�。以下是基于風險識別惡意軟件前兆信息的幾個步驟:
1. 確認企業(yè)的關(guān)鍵資產(chǎn),評估面臨的網(wǎng)絡(luò)安全風險
盡管首席技術(shù)官(CTO)或首席信息安全官(CISO)了解技術(shù)原理��,但也需要了解企業(yè)運作及關(guān)鍵的資產(chǎn)���,這些資產(chǎn)可能是信息���、應(yīng)用軟件、流程或支持企業(yè)日常運營的任何東西�����。我們需要明確實施網(wǎng)絡(luò)安全工具的最終目標——保護資產(chǎn)��,并確保其機密完整性和可用性���。此外��,網(wǎng)絡(luò)安全專業(yè)人員需要結(jié)合資產(chǎn)的重要性來評估風險���。一旦網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者確定什么對企業(yè)最重要����,就可以評估這些資產(chǎn)面臨的網(wǎng)絡(luò)安全風險�。
2. 將MITRE ATT&CK?戰(zhàn)術(shù)與網(wǎng)絡(luò)安全框架(CSF)相對應(yīng)
一旦我們知道了要保護什么,就可以將基于風險的識別方法運用于攻擊鏈的每個步驟���。為此���,我們需要網(wǎng)絡(luò)安全框架(Cybersecurity Framework,簡稱“CSF”)�����。該框架由美國國家標準與技術(shù)研究所(NIST)制定�,旨在為大大小小的企業(yè)提供具有成本效益的安全性,是企業(yè)可以用來保護其數(shù)據(jù)的一系列優(yōu)秀實踐����。
企業(yè)確保CSF目標與實際網(wǎng)絡(luò)威脅相一致的一個重要方法是利用MITRE的ATT&CK評估,這套評估模擬了針對市面上主流網(wǎng)絡(luò)安全產(chǎn)品的對抗性戰(zhàn)術(shù)和技術(shù)�,然后將信息提供給行業(yè)最終用戶,查看產(chǎn)品實際表現(xiàn)如何���、與組織的安全目標是否一致��。該框架針對攻擊的每個階段運用適當?shù)腁TT&CK技術(shù)���,已成為一種持續(xù)性評估,可以幫助企業(yè)及時衡量環(huán)境中的風險�,并找到相應(yīng)的緩解響應(yīng)措施。
此外���,我們需要了解網(wǎng)絡(luò)攻擊是個過程�����,這一系列活動必須以適當?shù)捻樞蚣右詧?zhí)行��,有特定的持續(xù)時間和地點�����。例如�����,勒索軟件是網(wǎng)絡(luò)攻擊的結(jié)果����。如果我們可以在此之前阻止其中一個步驟,就能防止勒索軟件攻擊�����。
3. 執(zhí)行零容忍政策
企業(yè)以前關(guān)注的焦點集中于攻擊者竊取信用卡號碼和黑客活動��,現(xiàn)在其關(guān)注點聚焦于勒索軟件�����,這種威脅也許會持續(xù)很長時間�����。為應(yīng)對這種持續(xù)性威脅��,政府需加強宣傳教育���,并提供資源以指導(dǎo)企業(yè)����,杜絕助長這種威脅的犯罪活動和經(jīng)濟動因。
同時���,私營企業(yè)應(yīng)側(cè)重于縮小攻擊面和做好綜合安全運營的基本面上���。這包括:
建議企業(yè)處理好小問題(警報/事件)��,以免受到災(zāi)難性攻擊��。找到隱蔽風險并非易事���,應(yīng)對這種情形的更好方法是改變理念�����,從原來阻止所有攻擊���,變成假設(shè)感染是不可避免的,執(zhí)行零容忍政策���,這樣一來�,企業(yè)可以讓所有安全措施協(xié)同發(fā)揮功效���。
(鄭重聲明:本網(wǎng)站涉及的所有內(nèi)容大部分來源于第三方提供�,如有以下情況視為內(nèi)容自動失效:1、廣告用語或內(nèi)容違反《廣告法》或其法律法規(guī)的情況�����;2�����、信息內(nèi)容如有涉及知識產(chǎn)權(quán)侵權(quán)或其他侵權(quán)的情況����。如果有疑問,請聯(lián)系我們進行更改��,刪除或解釋�,感謝您的理解配合。)
