如何在勒索軟件攻擊爆發(fā)前發(fā)現(xiàn)“苗頭”���?
2022年04月09日
勒索軟件是影響較為嚴重的網絡攻擊之一,個人和企業(yè)深受其害����,并繼續(xù)淪為這種攻擊方式的受害者,這并非新現(xiàn)象�,就像疫情不會憑空出現(xiàn)一樣,勒索軟件也不會憑空出現(xiàn)��,通常有跡可循����。
勒索軟件攻擊實際上是攻擊周期的最后一個階段��。據(jù)美國網絡安全與基礎設施安全局(簡稱“CISA”)《MS-ISAC勒索軟件指南》報告稱����,在一些情況下�����,勒索軟件部署只是網絡入侵的最后一步��,旨在混淆掩飾前面的入侵后活動�����。
此外�����,當我們查看MITRE ATT&CK?對抗戰(zhàn)術和技術知識庫時��,發(fā)現(xiàn)其對“前兆惡意軟件”(precursor malware)的解釋為:勒索軟件感染可能表明之前未成功化解的網絡入侵�����。舉例說明,假設初始訪問(TA0001)因零日漏洞而未被檢測出來����,前兆惡意軟件(TA0008)通過企業(yè)網絡和設備橫向傳播,在勒索軟件包部署之前提取訪問權限(TA0004)��。
當企業(yè)被感染時��,一些跡象表明惡意軟件感染已經出現(xiàn)了幾個月�,在某些情況下���,勒索軟件攻擊前三個月就會顯露出一些跡象����。安全人員可能會看到一些異?���;顒樱僭O他們已經通過防火墻或端點檢測和響應(EDR)代理檢測并屏蔽了勒索軟件���。但是�����,這也可能僅僅是惡意軟件攻擊的前兆�����,后續(xù)也許會有更嚴重的破壞活動���。
與此同時���,安全團隊可能還會收到大量毫不相關的警報,從而促使其更關注這些警報而不是前兆惡意軟件�����。警告信號往往隱藏在攻擊活動的不同階段�。如果我們能夠全面地查看前兆信息,就會有更大的機會及早發(fā)現(xiàn)勒索軟件����。以下是基于風險識別惡意軟件前兆信息的幾個步驟:
1. 確認企業(yè)的關鍵資產,評估面臨的網絡安全風險
盡管首席技術官(CTO)或首席信息安全官(CISO)了解技術原理��,但也需要了解企業(yè)運作及關鍵的資產��,這些資產可能是信息�����、應用軟件、流程或支持企業(yè)日常運營的任何東西����。我們需要明確實施網絡安全工具的最終目標——保護資產,并確保其機密完整性和可用性��。此外�,網絡安全專業(yè)人員需要結合資產的重要性來評估風險�����。一旦網絡安全領導者確定什么對企業(yè)最重要�,就可以評估這些資產面臨的網絡安全風險。
2. 將MITRE ATT&CK?戰(zhàn)術與網絡安全框架(CSF)相對應
一旦我們知道了要保護什么���,就可以將基于風險的識別方法運用于攻擊鏈的每個步驟��。為此�����,我們需要網絡安全框架(Cybersecurity Framework��,簡稱“CSF”)����。該框架由美國國家標準與技術研究所(NIST)制定,旨在為大大小小的企業(yè)提供具有成本效益的安全性�����,是企業(yè)可以用來保護其數(shù)據(jù)的一系列優(yōu)秀實踐�����。
企業(yè)確保CSF目標與實際網絡威脅相一致的一個重要方法是利用MITRE的ATT&CK評估��,這套評估模擬了針對市面上主流網絡安全產品的對抗性戰(zhàn)術和技術���,然后將信息提供給行業(yè)最終用戶�,查看產品實際表現(xiàn)如何�、與組織的安全目標是否一致。該框架針對攻擊的每個階段運用適當?shù)腁TT&CK技術�,已成為一種持續(xù)性評估,可以幫助企業(yè)及時衡量環(huán)境中的風險�����,并找到相應的緩解響應措施。
此外�,我們需要了解網絡攻擊是個過程,這一系列活動必須以適當?shù)捻樞蚣右詧?zhí)行�,有特定的持續(xù)時間和地點。例如�,勒索軟件是網絡攻擊的結果。如果我們可以在此之前阻止其中一個步驟���,就能防止勒索軟件攻擊�。
3. 執(zhí)行零容忍政策
企業(yè)以前關注的焦點集中于攻擊者竊取信用卡號碼和黑客活動����,現(xiàn)在其關注點聚焦于勒索軟件,這種威脅也許會持續(xù)很長時間��。為應對這種持續(xù)性威脅���,政府需加強宣傳教育,并提供資源以指導企業(yè)����,杜絕助長這種威脅的犯罪活動和經濟動因。
同時���,私營企業(yè)應側重于縮小攻擊面和做好綜合安全運營的基本面上���。這包括:
建議企業(yè)處理好小問題(警報/事件)����,以免受到災難性攻擊�����。找到隱蔽風險并非易事����,應對這種情形的更好方法是改變理念,從原來阻止所有攻擊�,變成假設感染是不可避免的,執(zhí)行零容忍政策��,這樣一來�,企業(yè)可以讓所有安全措施協(xié)同發(fā)揮功效。
(鄭重聲明:本網站涉及的所有內容大部分來源于第三方提供�����,如有以下情況視為內容自動失效:1�、廣告用語或內容違反《廣告法》或其法律法規(guī)的情況���;2、信息內容如有涉及知識產權侵權或其他侵權的情況���。如果有疑問��,請聯(lián)系我們進行更改�����,刪除或解釋�,感謝您的理解配合����。)
