如何在勒索軟件攻擊爆發(fā)前發(fā)現(xiàn)“苗頭”���?
2022年04月09日
勒索軟件是影響較為嚴(yán)重的網(wǎng)絡(luò)攻擊之一�����,個(gè)人和企業(yè)深受其害�����,并繼續(xù)淪為這種攻擊方式的受害者���,這并非新現(xiàn)象,就像疫情不會(huì)憑空出現(xiàn)一樣��,勒索軟件也不會(huì)憑空出現(xiàn)�,通常有跡可循。
勒索軟件攻擊實(shí)際上是攻擊周期的最后一個(gè)階段����。據(jù)美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(簡(jiǎn)稱“CISA”)《MS-ISAC勒索軟件指南》報(bào)告稱,在一些情況下���,勒索軟件部署只是網(wǎng)絡(luò)入侵的最后一步��,旨在混淆掩飾前面的入侵后活動(dòng)��。
此外��,當(dāng)我們查看MITRE ATT&CK?對(duì)抗戰(zhàn)術(shù)和技術(shù)知識(shí)庫(kù)時(shí)�����,發(fā)現(xiàn)其對(duì)“前兆惡意軟件”(precursor malware)的解釋為:勒索軟件感染可能表明之前未成功化解的網(wǎng)絡(luò)入侵�����。舉例說(shuō)明����,假設(shè)初始訪問(wèn)(TA0001)因零日漏洞而未被檢測(cè)出來(lái),前兆惡意軟件(TA0008)通過(guò)企業(yè)網(wǎng)絡(luò)和設(shè)備橫向傳播����,在勒索軟件包部署之前提取訪問(wèn)權(quán)限(TA0004)��。
當(dāng)企業(yè)被感染時(shí)�����,一些跡象表明惡意軟件感染已經(jīng)出現(xiàn)了幾個(gè)月���,在某些情況下����,勒索軟件攻擊前三個(gè)月就會(huì)顯露出一些跡象。安全人員可能會(huì)看到一些異?����;顒?dòng)���,假設(shè)他們已經(jīng)通過(guò)防火墻或端點(diǎn)檢測(cè)和響應(yīng)(EDR)代理檢測(cè)并屏蔽了勒索軟件���。但是,這也可能僅僅是惡意軟件攻擊的前兆����,后續(xù)也許會(huì)有更嚴(yán)重的破壞活動(dòng)。
與此同時(shí)�,安全團(tuán)隊(duì)可能還會(huì)收到大量毫不相關(guān)的警報(bào),從而促使其更關(guān)注這些警報(bào)而不是前兆惡意軟件�����。警告信號(hào)往往隱藏在攻擊活動(dòng)的不同階段。如果我們能夠全面地查看前兆信息��,就會(huì)有更大的機(jī)會(huì)及早發(fā)現(xiàn)勒索軟件�����。以下是基于風(fēng)險(xiǎn)識(shí)別惡意軟件前兆信息的幾個(gè)步驟:
1. 確認(rèn)企業(yè)的關(guān)鍵資產(chǎn)����,評(píng)估面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)
盡管首席技術(shù)官(CTO)或首席信息安全官(CISO)了解技術(shù)原理,但也需要了解企業(yè)運(yùn)作及關(guān)鍵的資產(chǎn)���,這些資產(chǎn)可能是信息�����、應(yīng)用軟件����、流程或支持企業(yè)日常運(yùn)營(yíng)的任何東西�����。我們需要明確實(shí)施網(wǎng)絡(luò)安全工具的最終目標(biāo)——保護(hù)資產(chǎn)�,并確保其機(jī)密完整性和可用性�����。此外,網(wǎng)絡(luò)安全專業(yè)人員需要結(jié)合資產(chǎn)的重要性來(lái)評(píng)估風(fēng)險(xiǎn)��。一旦網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者確定什么對(duì)企業(yè)最重要�,就可以評(píng)估這些資產(chǎn)面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
2. 將MITRE ATT&CK?戰(zhàn)術(shù)與網(wǎng)絡(luò)安全框架(CSF)相對(duì)應(yīng)
一旦我們知道了要保護(hù)什么��,就可以將基于風(fēng)險(xiǎn)的識(shí)別方法運(yùn)用于攻擊鏈的每個(gè)步驟�����。為此�,我們需要網(wǎng)絡(luò)安全框架(Cybersecurity Framework,簡(jiǎn)稱“CSF”)���。該框架由美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)制定����,旨在為大大小小的企業(yè)提供具有成本效益的安全性�����,是企業(yè)可以用來(lái)保護(hù)其數(shù)據(jù)的一系列優(yōu)秀實(shí)踐。
企業(yè)確保CSF目標(biāo)與實(shí)際網(wǎng)絡(luò)威脅相一致的一個(gè)重要方法是利用MITRE的ATT&CK評(píng)估���,這套評(píng)估模擬了針對(duì)市面上主流網(wǎng)絡(luò)安全產(chǎn)品的對(duì)抗性戰(zhàn)術(shù)和技術(shù)��,然后將信息提供給行業(yè)最終用戶�,查看產(chǎn)品實(shí)際表現(xiàn)如何��、與組織的安全目標(biāo)是否一致���。該框架針對(duì)攻擊的每個(gè)階段運(yùn)用適當(dāng)?shù)腁TT&CK技術(shù)�,已成為一種持續(xù)性評(píng)估��,可以幫助企業(yè)及時(shí)衡量環(huán)境中的風(fēng)險(xiǎn)����,并找到相應(yīng)的緩解響應(yīng)措施。
此外���,我們需要了解網(wǎng)絡(luò)攻擊是個(gè)過(guò)程��,這一系列活動(dòng)必須以適當(dāng)?shù)捻樞蚣右詧?zhí)行�����,有特定的持續(xù)時(shí)間和地點(diǎn)�����。例如����,勒索軟件是網(wǎng)絡(luò)攻擊的結(jié)果����。如果我們可以在此之前阻止其中一個(gè)步驟,就能防止勒索軟件攻擊����。
3. 執(zhí)行零容忍政策
企業(yè)以前關(guān)注的焦點(diǎn)集中于攻擊者竊取信用卡號(hào)碼和黑客活動(dòng),現(xiàn)在其關(guān)注點(diǎn)聚焦于勒索軟件�,這種威脅也許會(huì)持續(xù)很長(zhǎng)時(shí)間。為應(yīng)對(duì)這種持續(xù)性威脅���,政府需加強(qiáng)宣傳教育�,并提供資源以指導(dǎo)企業(yè)��,杜絕助長(zhǎng)這種威脅的犯罪活動(dòng)和經(jīng)濟(jì)動(dòng)因�。
同時(shí)�,私營(yíng)企業(yè)應(yīng)側(cè)重于縮小攻擊面和做好綜合安全運(yùn)營(yíng)的基本面上����。這包括:
建議企業(yè)處理好小問(wèn)題(警報(bào)/事件),以免受到災(zāi)難性攻擊�。找到隱蔽風(fēng)險(xiǎn)并非易事,應(yīng)對(duì)這種情形的更好方法是改變理念����,從原來(lái)阻止所有攻擊,變成假設(shè)感染是不可避免的�����,執(zhí)行零容忍政策����,這樣一來(lái),企業(yè)可以讓所有安全措施協(xié)同發(fā)揮功效�。
(鄭重聲明:本網(wǎng)站涉及的所有內(nèi)容大部分來(lái)源于第三方提供,如有以下情況視為內(nèi)容自動(dòng)失效:1��、廣告用語(yǔ)或內(nèi)容違反《廣告法》或其法律法規(guī)的情況����;2���、信息內(nèi)容如有涉及知識(shí)產(chǎn)權(quán)侵權(quán)或其他侵權(quán)的情況。如果有疑問(wèn)���,請(qǐng)聯(lián)系我們進(jìn)行更改,刪除或解釋����,感謝您的理解配合。)
