2022-07-20 14:29:22

如何為勒索軟體攻擊做準備

勒索軟體攻擊持續增加,不良行為者已經改變了策略,並且正在使用更複雜和更有針對性的技術。為了幫助保護組織免受勒索軟體的侵害,安全和風險管理領導者需要更加重視此問題。

 

概述

主要發現

  • 網路釣魚、公眾基礎設施的遠程攻擊以及未經授權的遠程桌面連接仍然是勒索軟體的主要滲透來源。由於疫情的關係,導致遠距工作的情況增長,而加劇了勒索軟體的攻擊。
  • 不良行為者正在找尋洩露的數據以識別其他潛在的收入來源。
  • 勒索軟體攻擊後的恢復成本和導致的停機的時間以及聲譽損失的成本可能是贖金本身金額的10倍。

建議

負責端點和網路安全的安全和風險管理負責人必須關注勒索軟體攻擊的三個階段:

  • 透過構建包括端點保護、數據保護、不可變備份、資產管理、最終用戶意識培訓以及強大的身份和訪問管理在內的事件前預防策略,為勒索軟體攻擊做好準備。
  • 透過部署基於行為異常的檢測技術來識別勒索軟體攻擊,從而實施檢測措施。
  • 透過培訓員工和安排定期培訓演習來建立事故後響應程序。這應該包括開發勒索軟體響應手冊,透過添加恢復選項來增強現有的事件響應計劃。

 

介紹

勒索軟體繼續對組織構成重大風險。最近的攻擊已經從MazeRyuk等自動傳播攻擊演變為更具針對性的人為活動,主要攻擊整個組織而不是單個端點。這通常會導致雙重或三重勒索策略,這些攻擊對組織的影響已經造成一些組織快要面臨倒閉的程度。安全和風險管理(SRM)領導者需要適應這些變化,並超越端點安全控制來防範勒索軟體。

最近的勒索軟體活動,例如REvilRyuk,已成為人為操作的勒索軟體,其中攻擊由操作員控制,而不是自動傳播。此類攻擊通常利用眾所周知的安全漏洞來獲取訪問權限。例如,最近的一些勒索軟體事件被認為是從配置不當或易受攻擊的遠程桌面協議(RDP)配置或糟糕的身份和訪問管理(IAM)實踐開始的。以前洩露的憑據也被用於訪問系統,這些可以透過初始訪問代理或其他暗網數據中獲得。

一旦進入,攻擊者將在網路中識別有價值的數據,並評估使用的安全控制,通常會禁用端點保護工具並刪除備份。然後,當數據被識別後,可以上傳並用於勒索,再啟動勒索軟體對數據進行加密。惡意活動的第一個證據與勒索軟體部署之間的停留時間為5天。目標是最大限度地提高支付贖金的可能性,這通常意味著攻擊包括威脅在不迅速支付贖金的情況下公開數據。

 

分析

構建事件準備策略

安全和風險管理(SRM)領導者應該在勒索軟體攻擊會成功的假設下提前預防,並確保組織儘早發現問題並儘快恢復。您快速檢測和遏制勒索軟體攻擊的能力將對造成的任何中斷或中斷產生最大的影響。

第一個也是最常見的問題是,應該支付贖金嗎?,這必須是一個商業決策。它需要在執行或董事會層面進行,並提供法律建議。在某些情況下,支付贖金可能被視為非法,因為它為犯罪活動提供資金。最近的一項調查發現,46%的公司最終支付了贖金。

如果考慮付款,重要的是建立一個包括首席執行官、董事會和主要運營人員在內的治理和法律程序。不建議組織在沒有指導的情況下與不良行為者進行談判。這通常由第三方談判服務提供商完成,除了作為主要談判者之外,他們還具有促進支付的能力,並且在許多情況下消除了企業維護加密貨幣的要求。

 

請注意——即使支付了贖金,也不能保證您的數據會被恢復。由於加密過程中造成數據損壞,因此加密文件可能無法恢復。

 

一個好的備份流程和策略是勒索軟體後數據恢復的第一道防線,確保備份解決方案能夠抵禦勒索軟體攻擊,並持續監控備份的狀態和完整性。

用戶的安全意識也很重要,不斷向用戶宣傳所看到的攻擊類型,並透過定期警報和安全通訊來加強教育,確保用戶定期接受如何識別惡意電子郵件的培訓。

 

透過培訓人員和安排演習建立事件前後響應程序

安全和風險管理(SRM)領導者最終必須為勒索軟體攻擊成功做好準備,並制定適當的計劃、流程和程序。這些計劃需要包括IT方面,以及內部員工、合作夥伴和供應商的溝通計劃。安全和風險管理(SRM)領導者必須快速清晰地傳達問題,提供有關狀態以及系統何時恢復到系統可用點的定期更新,一些網路危機模擬工具可以幫助識別程序、角色和責任方面的差距。

這些計劃將根據勒索軟體攻擊的程度和成功程度而有所不同,它可能只是組織的一小部分,影響可能很小。對於更大規模的攻擊,影響可能會超出組織範圍,影響到客戶和合作夥伴。作為準備工作的一部分,定期進行演習以排練響應可能是有益的。理想情況下,這些練習將涵蓋所需的業務和技術響應活動,

恢復進行後,收集足夠的訊息以了解攻擊的根本原因並了解哪些控制措施失敗或沒有到位。同樣,專業的數字取證和事件響應服務在此分析中發揮著重要作用,系統恢復後,實施經驗教訓並將其反饋到準備階段至關重要。

 

開發勒索軟體手冊

勒索軟體不同於任何其他安全事件,決策過程中的任何延遲都會帶來額外的風險。

 

在勒索軟體事件中,企業領導者將被迫在幾乎沒有訊息的情況下做出重大決策。

 

1. 需要安排人力來負責根據勒索軟體的需求追蹤剩餘的響應時間。忘記時間可能會導致數據被公開並增加贖金金額,還應包括做出付費/不付費決定的指導。

2. 需要確定第三方服務,例如勒索軟體談判公司,並提供必要的聯繫訊息。

3. 需要了解您的組織在監控、檢測和響應安全事件方面的局限性,許多組織將需要幫助來幫助緩解、檢測攻擊並從攻擊中恢復。專業的事件響應團隊可以發揮重要作用,並且有一個事件響應保留器可以降低響應的成本和速度。

 

戰術恢復步驟會有所不同,具體取決於勒索軟體的組織和範圍,但將涉及:

  • 從備份中恢復數據,包括驗證這些備份的完整性以及了解哪些數據已丟失。
  • 恢復不僅僅是恢復數據,受感染的機器可能被鎖定並且可能需要物理訪問。在準備階段,了解和計劃如何實現這一點很重要。
  • 在允許設備返回網路之前驗證設備的完整性。
  • 更新或刪除受損憑證。沒有這項的話,攻擊者將能夠再次獲得進入。
  • 對發生的事情和方式進行徹底的根本原因分析——包括對任何被洩露的數據進行說明(doxxing)。當不良行為者威脅要發佈被盜訊息時,就會發生Doxxing。如果受害者決定不支付贖金,這將越來越成為一種次要的勒索方法。
  • 尋求專家協助。

資料來源 回列表頁
Loading...