首页 / 资源 / 白皮书 / 202iii / 勒索软件防御蓝图
勒索软件防御蓝图
白皮书于202iii年6月1日发布

勒索软件防御蓝图

文摘: 勒索软件攻击的频率、复杂性和破坏性在全球范围内持续增加.1 网络犯罪分子已经将勒索软件应用到一个价值数十亿美元的非法澳门赌场官方下载中,甚至有能力利用和破坏规模最大、最复杂的公司. 然而, 当公司制定和维护预防和缓解策略时,攻击的概率和严重程度都可以降低. 本白皮书提供了对当前勒索软件形势的见解,并概述了组织可以采取的准备和响应勒索软件攻击的步骤.
勒索软件事件管理快速参考指南

介绍

勒索软件是一种恶意软件,如果赎金要求没有得到满足,它会威胁永久限制对系统的访问或发布受损数据. 一旦系统被破坏, 然后对数据进行加密, 并且访问被阻止,直到收到付款以换取解密密钥的承诺.

网络犯罪分子利用勒索软件进行了数十亿美元的犯罪活动, 有能力利用和破坏甚至是最大和最复杂的公司. 勒索软件攻击可以, 在最好的情况下, 暂时影响创收, 或者最坏的情况, 造成巨大的经济损失,导致破产或清算.

坊间证据表明,无论是私营部门还是公共部门,都有太多的组织缺乏基本的网络安全实践,因此,不良行为者可以负担得起业务成本. 这反过来又导致了不同程度的政府反应, 通常以立法行动的形式.

考虑到政府授权的范围, 公共实体在应对潜在勒索软件威胁和响应方面的灵活性较低(至少在可预见的未来)。, 而私营澳门赌场官方下载仍然拥有决定是否支付赎金的能力. 是否支付赎金存在激烈的争论,超出了本白皮书的范围.

鉴于信息技术的多样性和侵入性, 必须实现的各种控制, 以及将这些控制整合到操作中的不同程度, 在一种环境中有效的防御可能在另一种环境中不起作用. 控制风险有一系列根本原因, 从对新的业务控制需求及其意图的误解到对员工的不当培训. 除了, 每次攻击都是独一无二的,因为动机和目标通常要求对手保持灵活和适应, 不受澳门赌场官方下载防御的阻碍.

澳门赌场官方下载文化也是影响其准备能力的最强因素之一, 防御并从攻击中恢复. 取决于澳门赌场官方下载的成熟度, 这可能意味着真正的准备和虚假的安全感之间的区别.

澳门赌场官方下载文化是影响最大的因素之一 对澳门赌场官方下载的准备能力、防御能力和 从攻击中恢复. 视澳门赌场官方下载而定 成熟,这可能意味着实际的差别 准备或一种虚假的安全感.

本白皮书提供了有关勒索软件攻击的信息,并就如何准备和应对这些攻击提供了详细的指导. 网络安全, 而具有挑战性的, 是否受到包括但不限于业务规模在内的变量的高度影响, 部门和行业.

勒索软件的兴起

尽管自1989年以来,勒索软件攻击一直在中断澳门赌场官方下载运营, 这类袭击的数量正在迅速增加. Verizon 2022年数据泄露调查报告 显示“勒索软件泄露事件增加了1iii%,比过去5年的总和还要多。.”2 图1 显示了从2017年到2022年全球勒索软件的崛起.

图1: 全球每年的勒索软件数量

全球每年的勒索软件数量
来源:SonicWall, Inc.,《澳门赌场官方软件》,202iii; http://www.sonicwall.com/202iii-cyber-threat-report/

网络犯罪集团继续发展他们的业务,扩大他们的市场空间. 图2 展示了运行一个简单的商品勒索软件活动的成本效益分析. 结果表明,进入勒索软件的门槛很低.

图2: 勒索软件活动的成本效益分析

勒索软件活动的成本效益分析
来源:Hinsch, Nicholas; “Louisville Metro ISSA Louisville, KY 2019 -勒索软件恢复,2019年11月18日, www.therubiconadvisorygroup.com/2019/11/18/louisville-metro-issa-2019/

勒索软件生命周期

随着网络安全实践不断发展,以跟上不断变化的数字环境, 不良行为者不断改变和适应,以克服这些做法. 一个简单的网页查询就能发现勒索软件攻击生命周期的无数变化. 例如,一个著名的金融实体发表了可视化的见解 图iii. 来自新西兰CERT的更详细的生命周期显示在 图4.

图iii: 勒索软件攻击的五个阶段

勒索软件攻击的五个阶段
来源:摩根大通,“勒索软件攻击的剖析”,2022年9月7日, www.摩根大通.com/commercial-banking/insights/the-anatomy-of-a-ransomware-attack

图4: 新西兰CERT的勒索软件事件生命周期

新西兰CERT的勒索软件事件生命周期
来源:新西兰政府,“勒索软件是如何发生的以及如何阻止它,” www.cert.政府.新西兰/ it专家/指导/ how-ransomware-happens-and-how-to-stop-it / 新西兰政府202iii年. 转载下 http://creativecommons.org/licenses/by-nc/4.0/.

了解勒索软件攻击的生命周期可以帮助业务专业人员识别威胁, 评估风险, 实施有效的缓解战略. 它还使他们能够制定事件响应计划,并促进网络安全意识的文化.

勒索软件事件类型

我们目睹了恶意软件从手动计算机进化到计算机传输(例如.g.(软盘或USB驱动器),以病毒复制的远程访问工具的开发. 以前, 组织受到攻击,他们的私人信息被泄露,目的是窃取的信息将在地下犯罪组织中出售. 现在,犯罪分子将加密软件武器化或使用系统加密功能. 他们要求立即通过加密货币支付. 我们对这些威胁的准备和最终反应必须改变. 勒索软件不再是娱乐,而是一项高利润的业务.

勒索软件不再是娱乐,而是 已经成为一项高利润的业务.

勒索软件事件的三种主要类型是:

  • 孤立系统的大规模自动感染-威胁行为者撒下非常广泛的网,严重依赖自动化来利用和传播勒索软件到机会目标. 通常,这些方法对威胁行为者的投资回报较低. 在澳门赌场官方下载勒索软件出现之前,这种攻击类型在2015-2019年期间很常见.
  • 澳门赌场官方下载勒索软件(又名“Big Game Hunter”)-威胁行为者专注于有针对性的入侵以获取利润(勒索). 受害者通常是中小型澳门赌场官方下载和大型组织的澳门赌场官方下载网络. 澳门赌场官方下载勒索软件是2019年之后最常见的勒索软件攻击形式, 它也要为大多数围绕勒索策略的创新和勒索软件供应链生态系统的出现负责.e., 访问代理, 兑换和钱骡服务, 防弹托管, 恶意软件传播网络, 等.)iii
  • Ransomware-as-a-Service(老城)-这是一种新颖的交付模式,旨在支持澳门赌场官方下载勒索软件操作,其中勒索软件开发人员将恶意代码租赁/提供给拥有黑客技能的合格附属机构(又名“运营商”),以执行有针对性的入侵并在澳门赌场官方下载网络中部署勒索软件. 该模型允许勒索软件开发人员降低发起勒索软件攻击所需的技能水平,并通过向多个分支机构提供勒索软件来扩大这些攻击,同时也将被识别和逮捕的风险转移给这些分支机构. 附属公司获得的赎金比例最高(通常在60-70%左右),而且不需要管理勒索活动(例如.g.,谈判,加密货币转移,泄漏站点管理,勒索软件开发等.).
勒索软件威胁行为者

勒索软件攻击的三种主要威胁类型:

  • 犯罪集团-这些威胁行为者的唯一目标是赚钱. 他们认为勒索软件攻击是一种商业交易,从目标那里勒索货币.
  • 国家支持的威胁行为者-这些行为者专注于破坏,以进一步实现其地缘政治和社会政治目标,并影响目标的方向. 国家资助的演员得到政府的支持. 勒索软件通常是在动态交战之前使用的, 比如2008年的俄格战争,以及最近疑似俄罗斯针对波兰的军事行动, 扰乱了运输和后勤组织,以及向乌克兰提供军事援助的重要渠道.4
  • 勒索软件即服务(RaaS)提供商-威胁行为者使用软件即服务的犯罪化版本, 其中勒索软件活动的风险(例如.g., 成本, 减少资源和法律),并在附属成员和RaaS提供商之间共享回报.
当前观察到的勒索软件趋势

威胁行为者正在改进他们的行动-而不是投入资源来获得准入, 威胁组织正在利用他们与初始访问代理的关系, 允许威胁组织花更多的时间来策划有针对性的攻击,而不是投入资源来初步破坏目标. 这也为那些可能没有经验的不那么老练的攻击者打开了市场, 突破外围防御的技能或能力, 但可以按照手册操作.

威胁组操作的变化要求澳门赌场官方下载审查其安全意识和培训计划,并确保其员工充分了解勒索软件威胁和公司的勒索软件政策. 员工的政策意识应该包括公司的官方立场和回应.g.“Acme永远不会支付赎金”vs. “Acme将根据具体情况处理勒索软件.”

威胁组操作的变化需要澳门赌场官方下载 检讨他们的保安意识及培训 并确保他们的员工身体健康 意识到勒索软件的威胁和他们的 公司的勒索软件政策.

因为澳门赌场官方下载必须转型, 适应和创新以保持在市场中的主导地位, 犯罪经营者也必须这样做. 威胁行为者正在投资于他们的产品,以适应不断变化的市场格局.e.,澳门赌场官方下载攻击面.

威胁组织正在专业化和成熟他们的技术能力, 通常比澳门赌场官方下载学会适应和抵御它们的速度要快. 这种快速的创新和适应要求澳门赌场官方下载持续监控威胁,并增强其事件管理和数字取证(逆向工程)能力.

勒索软件的进入门槛正在降低——网络攻击形势发生了重大变化, 随着勒索软件即服务(RaaS)的出现,恶意行为者可以利用付费使用的恶意软件来发起和维持勒索软件活动. 而不是开发自己的勒索软件代码并执行一套量身定制的操作, 攻击者现在可以利用一个提供必要的勒索软件代码和操作基础设施的平台. 即服务提供商(即服务提供商)的增加.g., 初始访问代理和定制的勒索软件包)正在降低进入勒索软件市场的成本. 进入门槛处于历史最低水平, 而且还在继续下降, 允许更多的威胁行为者进入市场.

成本的下降是促使澳门赌场官方下载客观看待其威胁攻击的计划和准备的另一个因素.

威胁行为者越来越善于隐藏自己的身份和行为-威胁演员掩盖自己的身份, 利用常见的匿名服务,不仅当他们与犯罪对手互动时, 但也使澳门赌场官方下载更难抵御攻击. 攻击者还使用道德上灵活的VPN和云服务提供商来进一步混淆它们的来源.

更好的身份混淆强化了澳门赌场官方下载升级其威胁搜索和事件管理能力的需求.

零日漏洞正在增加在过去, 网络钓鱼活动是攻击者获得立足点的最成功的方法. 今天, 零日漏洞更常见, 来自高度公开的远程攻击,如Log4J (CVE 2021-45046), 各种基于微软windows的漏洞,5 强调库存维护的必要性, 配置管理, 漏洞管理和补丁管理程序.

除了以业务为中心的安全管理程序中常见的数据卫生实践之外, 这些漏洞表明需要额外的保护, e.g., 攻击范围管理, 威胁狩猎, 补丁管理, 网络分段和基线行为(网络和用户).

利用人工智能创建勒索软件的做法正在兴起-人工智能(AI)的易用性和易用性使其可以被武器化, 进一步降低勒索软件的进入门槛. 虽然目前的人工智能可以创建基本和基本的勒索软件功能,但可能不够复杂,无法绕过可用的端点检测和响应(EDR)。, 扩展检测和响应(XDR)或管理检测和响应(MDR)平台, 这类平台的全球采用速度警告我们,许多澳门赌场官方下载可能会发现自己是这类攻击的受害者.

随着人工智能能力的增强, 更多的坏人会利用它, 要求所有澳门赌场官方下载专业人员保持较高的警惕性.

双勒索-威胁行为者使用的策略, 加密目标文件后, 然后潜逃并威胁要公布那些文件. 这种方法于2019年首次使用,此后提高了勒索软件活动的有效性. 虽然大多数勒索软件攻击者投资于破坏组织(大型游戏猎人), 一些威胁行为者正在使用勒索软件即服务,他们仍然会泄露数据, 即使在支付了赎金之后.

三重勒索-一种用于附加攻击的策略(例如.e.(分布式拒绝服务)被用来对目标组织施加额外的压力.

准备和准备

Ransomware, 就像我们在商业中面临的其他威胁一样, 需要正式的预防措施和保护立场. 就像组织定义和建立政策以确保对其他业务事务的适当管理一样, 网络安全协议需要清晰和简洁, 当您的组织受到勒索软件攻击时,阐明适当和预期的反应.

勒索软件政策提供了基本原理和 解释为什么要在一个地方投资 一个领域超过另一个领域,或者为什么某些业务会发生变化 进行操作.

好消息是,通过回到系统和网络卫生的基础, 澳门赌场官方下载可以处理和减轻许多攻击. 出口过滤的实现增加了中断与命令和控制(C2)节点的通信的可能性. 如果做得正确(并强制执行),网络分段可以有效地减少过度配置的帐户. 最后,备份必须满足业务需求,并经过可用性测试.

治理

当勒索软件事件发生时,响应计时器正在倒计时. 因此,澳门赌场官方下载应对威胁的方法应该有一个计划. 官方的勒索软件政策通知并指导澳门赌场官方下载的实践和操作, 以及它对勒索软件事件的反应.

高级管理层需要明确他们对勒索攻击的官方立场. 勒索软件政策提供了理由和理由,说明为什么要在一个领域进行投资,而不是在另一个领域进行投资,或者为什么要对业务操作进行某些更改.
勒索软件/勒索不一定要成为它自己的政策. 最重要的是,勒索软件攻击在危机管理中得到充分的保护, 业务连续性, 事件检测和响应剧本, 等.

图5 显示澳门赌场官方下载勒索软件/勒索策略级别以及没有策略的后果.

图5: 勒索软件/勒索策略级别

勒索软件/勒索策略的级别
我们不会付钱 有限的基础上 未定义策略
  • 在任何情况下我们都不会 支付赎金.
  • 这将需要董事会和高级管理层开会. 这也将为决策提供信息,并应用于证明资源获取和投资的合理性.
  • 这需要对操作环境以及对人员投资的合理性和可追溯性有深入的了解和理解, it相关业务项目的流程和技术. 满足这一需求所需的基础设施必须覆盖整个组织.
  • 这包括在与it相关的业务计划中进行大量投资和投入资源.
  • 只有业务关键系统或流程才值得考虑支付赎金.
  • 非关键系统和流程中未暴露的监管或敏感数据将无需采取进一步行动.
  • This will require support from senior management to unilaterally prioritize and identify 关键业务系统 and processes (and their supporting subsystems) across the entirety of the enterprise; this will reduce the scope of what needs to be protected, 允许组织为风险优化的目的集中资源和财务投资.
  • 尽管仍然需要投资于与通用it相关的业务程序和基础设施, 范围可以缩小到只关注那些业务关键型系统和流程, 允许组织做出明智的决定.
  • The enterprise will get caught off guard; react, not respond; and lose productivity, 宝贵的时间, 利益相关者的信心和公众的信任.
  • 澳门赌场官方下载的事件响应成本将会增加.
  • 澳门赌场官方下载员工会感到倦怠.
  • 澳门赌场官方下载保险公司很可能会拖延, 拒绝和推迟索赔,因为澳门赌场官方下载没有充分准备.
  • 澳门赌场官方下载已经接受了100%的责任和问责,它要么没有完全理解,要么错误地认为永远不会发生在它身上.

  管理

管理层有责任制定战略,并投入必要的资源来开发有效的勒索软件防御. 图6 - 9 展示多种角色, 项目, 实施和维护战略所需的过程和技术.

图6: 支持运营和战略所需的澳门赌场官方下载角色
应用程序架构师 澳门赌场官方下载架构师 Ransomware谈判代表
应用程序开发团队 法医分析人士 逆向工程
首席财务官 人力资源 风险分析师
首席信息官 保险公司 安全架构师
首席信息安全官 内部审计 SOC的团队
首席运营官 IT架构师 系统管理员
首席私隐主任 法律顾问 威胁情报分析员
首席技术官 业务范围  
资料私隐主任 网络工程师  


  图7: 支持运营和战略所需的流程

管理项目
资产管理 人力资源及保安 风险管理
业务连续性 & 容灾管理 识别 & 身份验证管理 安全工程 & 体系结构
能力 & 性能规划 事件管理 安全 & 隐私治理
变更管理 信息安全保障 安全 & 隐私管理
云安全管理 信息/网络安全标准 安全意识 & 培训管理
合规管理 维护 安全操作
配置管理 移动设备管理 员工技能管理
持续的监控 网络安全管理 技术开发 & 收购
密码管理 补丁管理 第三方管理
数据分类 & 处理管理 物理 & 环境安全 管理 威胁管理
嵌入式/聪明/物联网技术 管理 隐私工程 & 体系结构 脆弱性管理
终端安全管理 项目 & 资源管理 网络安全


  图8: 支持运营和战略所需的流程

流程
访问控制 电子/密钥 风险评估(针对勒索软件)
资产清单(含):
  • 账户(人类 & 非人类)
  • 应用程序
  • 数据、信息 & 知识
  • 硬件
  • 供应链/第三方
 澳门赌场官方下载架构 风险管理
应用程序访问控制 身份及查阅审查 安全的软件开发生命周期
应用工程 事件管理 安全意识 & 培训管理
资产管理 事件响应 安全工程
业务影响分析 信息/网络安全政策制定 保安策略发展 & 对齐
业务流程工程 信息/网络安全程序 系统访问控制
集中的日志 信息/网络安全流程管理 威胁情报管理
变更管理 信息/网络安全标准 威胁建模
配置管理 补丁管理 用户访问审查
持续的监控 私隐影响评估 脆弱性管理
危机沟通 特权帐户审核  
数据备份 & 恢复测试 Ransomware谈判  
数据分类、处理 & 库存 Ransomware剧本  


  图9: 支持运营和战略所需的技术

技术
访问控制 端点检测 & 响应 网络发现扫描器
防病毒/防病毒 终端用户的控制 网络取证工具
资产清查系统 文件完整性管理 网络监控系统
基线(用户 & 网络)系统 全包捕获 网络市场细分
集中的日志 蜂蜜罐/令牌 密码管理器
配置管理 主机取证工具 补丁管理
数据分析、挖掘 & 可视化 信息共享平台 沙盒
数据加密 入侵检测/防御系统 安全事故 & 事件管理系统
防止数据丢失 内存取证工具 系统硬化
检测 & 响应 中间件管理 威胁情报平台
目录服务 多因素身份验证 漏洞扫描器
静态加密 NetFlow捕获 Web应用防火墙
传输中的加密 网络访问控制 网络代理

  关键的角色

在勒索软件攻击成功之前, 确定澳门赌场官方下载业务中的关键角色非常重要, 流程及技术(图6 - 9). 需要清楚地记录这些角色, 理解和沟通, 并对工作人员进行充分培训,以确保有效和高效的反应. 以下是典型的关键角色:

  • 事件响应团队-小组的任务是调查这一事件, 决定妥协的程度, 收集证据, 并领导控制和根除工作. 该团队可能包括负责事件响应和数字取证的内部或外部员工. 非常明智的做法是,所有工作都是在与法律顾问协商的情况下进行的,以便在可能敏感的通信中附加律师-客户特权.
  • 法律顾问-内部和外部法律顾问的关键作用是与所有团队协调,以了解事件的细节,并就解决方案的各个方面提供法律建议.
  • 危机沟通——善于处理危机事件, 该个人或团队与法律顾问合作,开发并向内部和外部利益相关者传达有关事件的授权信息, 适当的.
  • 赎金谈判代表-符合官方澳门赌场官方下载勒索软件政策, 这个人是沟通和协商赎金的主要联络人. 这个人可以是澳门赌场官方下载内部的,也可以是雇佣的谈判代表.
  • 保险公司——请注意, 保险公司将要求提供信息并评估事故细节,以确定保险单的适用性.
过程和目标

澳门赌场官方下载成功应对和管理勒索软件攻击的能力依赖于其快速识别和响应的能力. 它识别攻击的速度就越快, 它的反应就越快, 减少对业务操作的长期影响和对手的停留时间. 良好定义的流程和过程有助于澳门赌场官方下载更快地控制和消除威胁.

虽然从勒索软件攻击中恢复的过程和目标通常与事件管理程序中的过程和目标相似, 必须特别注意勒索软件攻击的独特细节. 勒索软件管理的主要阶段如下:

  • 计划和准备
  • 检测/鉴定
  • 容器
  • 根除
  • 复苏
  • 后期/评估

每个阶段都应该根据组织进行定义和调整, 考虑到以下因素:

  • 可见性-检测可能导致勒索软件事件的指标的能力, 可见性指的是工具, 定义流程, 记录程序, 并且需要适当熟练和有能力的工作人员来识别勒索软件攻击的指标,并确定攻击是已知商品勒索软件的变种还是来自环境中移动的大型游戏猎人.

    攻击的类型决定了可能存在哪些指标, 以及它们是否与面向互联网的第一阶段文件拖放器和扫描/探针相关, 关键业务系统, 针对特权人员的网络钓鱼企图或针对内部业务关键系统的非法活动.

    攻击的类型决定了哪些指标可能 在场.
    可见性允许公司快速响应,而不是对威胁做出反应, 因此,通常需要对组织的业务和技术方面都有深入的了解. 建立确定好坏的基线是必要的,并且要求组织已经识别并正在积极监控其环境.
  • 初步调查分析-初始调查和分析过程的目的有两个:早期发现和更快地响应组织面临的主动和当前威胁, 并采取先发制人的防御措施,减少和管理澳门赌场官方下载的整体攻击面.
  • 防止横向移动-这支持遏制阶段活动,以及通过隔离受感染设备和减少威胁行为者在网络中横向移动的能力来减少和限制威胁行为者在环境中的访问. 采用网络分段和零信任可以减少攻击面, 但澳门赌场官方下载应该意识到这一点, 在大多数澳门赌场官方下载勒索软件事件中, 用户之间的信任关系, 勒索软件运营商利用设备和网络, 在很多情况下是内部域控制器, DNS服务器, 或者DHCP服务器被用来部署勒索软件, 绕过大多数网络分段措施.
  • 影响分析在检测和响应措施未能检测到勒索软件部署的情况下, 评估对数据和系统的影响是一项需要与从备份中恢复数据和系统(如果备份没有在攻击中被破坏)的冲动相平衡的活动。. 澳门赌场官方下载应根据其弹性计划和监管要求优先考虑恢复和调查活动. 组织应该意识到,在收集取证文物进行分析之前恢复系统和数据将导致对事件调查有价值的证据的破坏,并降低取证调查员了解攻击如何展开的能力. 在受管制行业经营的组织应考虑任何报告要求(例如.g.、披露影响个人信息的数据泄露等.),并确定如何平衡复原和回应/调查活动.
  • 确定访问了哪些数据-了解处理的系统, Store, 传输或访问敏感和受监管的数据至关重要. 这需要有当前的数据流程图, 准确的资产清单和网络架构,演示数据如何在组织内流动,并了解受影响的数据所有者和业务流程所有者.

    确定需要访问哪些数据 当前数据流程图,准确的资产盘点 网络架构展示了数据是如何 组织内部的流程和了解数据所有者 以及受影响的业务流程所有者.
    控制和仪表, 例如防止数据丢失, 数据发现系统, 身份和访问管理系统, 通常利用集中式日志记录、网络和用户行为分析来确定哪些数据可能已被访问或暴露, 哪些账户被用来确定对手在网络上的时间的广度和深度.

    Capabilities employed include incident response and digital forensic efforts; these need to be tailored to the environment and integrated with business operations. 已定义的过程、程序和相关人员的培训应形成文件. 此外,高级管理人员(例如.g., 首席运营官, 首席信息官, CISO, 阴极射线示波器, 首席财务官(CFO)应该参与关键决策, 移除障碍, 并优先考虑事件响应和取证团队请求的响应工作(首席信息官和CISO), 评估潜在的业务影响(阴极射线示波器)和批准财务支出(CFO).

    所涉及的人员应包括适当的高级管理人员, 法律顾问, 事件响应和取证团队成员, 以及受影响的数据所有者和业务流程所有者; additional staff may be included on an as-needed basis.
  • 数据是否被泄露?-能够知道数据是否从环境中泄露,通常意味着宣布数据泄露和强制通知之间的区别, 而且不用报告. 这种确定是一个重要的区别,因为未经授权的访问单独(系统或数据), 交互或程序化)并不意味着数据被泄露. 要确定是否发生了泄露,需要能够重新创建威胁参与者在澳门赌场官方下载网络中所采取的步骤, 这需要足够详细且架构合理的日志解决方案. 另外, 常见的跟踪工件可以存在于系统和网络中,指示数据泄露(例如.g., 最近创建和删除的压缩文件, 文件传输到未知目的地, 和内存驻留应用程序). 确保事件响应和数字取证流程和程序, 以及团队的能力, 满足组织需求是必要的. 他们需要能够证明正在向关键决策者提供和传达信息.

    能够知道数据是否被从 环境往往意味着差异 宣布数据泄露并强制通知, 而且不用报告.
    控制和仪表, 例如NetFlow, 目录服务, 我的系统, 全包捕获平台, SIEMs和正确配置的日志设置, 通常用于在网络上重现对手的活动. 系统取证工具可用于识别用于泄露的文件的创建和删除.

    所使用的功能包括基于已定义流程的事件响应和数字取证工作, 相关人员的程序和培训.

    所涉及的人员应包括适当的高级管理人员, 事件响应和取证团队成员, 网络架构师和工程师, 系统维护人员, 以及受影响的数据所有者和业务流程所有者. 可根据需要增加工作人员.
  • 业务恢复-业务恢复工作应在遏制勒索软件后开始. 这个过程对于每次攻击和澳门赌场官方下载官方的勒索软件政策都是独一无二的.
  • 数据恢复-如果澳门赌场官方下载对勒索软件的官方政策是不支付赎金, 在威胁参与者被控制并从环境中根除之后(并且对攻击者关闭了所有访问方法), 澳门赌场官方下载可以自信地从不可变备份中恢复数据并恢复操作.
  • 谈判恢复-澳门赌场官方下载需要确保他们已经准备好就潜在的数据恢复进行谈判(如果他们的官方勒索软件政策是付费的). 请注意,付款并不能保证任何数据将被恢复.
  • 谈判基于威胁演员的技能, 资源和复杂程度, 澳门赌场官方下载可能会协商一个比实际要求更低的金额. 一个有经验的、训练有素的谈判者意味着数据丢失和恢复之间的区别. 尝试谈判前的一些基本考虑包括:
    • Do not open the ransomware email or click links; normally, 时钟可能只在澳门赌场官方下载和威胁参与者之间发生第一次交换之后启动.
    • Contemplate possible outcomes; determine the best-case and worst-case results. 然后计划澳门赌场官方下载将如何应对每个结果.
    • 建立一个开放的通信通道(最好是在主要通道之外,因为澳门赌场官方下载网络现在已经受到损害). 这个沟通团队应该包括高级管理人员和法律顾问.
    • 核实威胁行为者是否在外国资产控制办公室(Office of Foreign Asset Control)的制裁名单上6 防止给澳门赌场官方下载带来额外的风险. 这应该由法律顾问来做.
    • 利用澳门赌场官方下载威胁情报程序, 包括从与执法部门建立的沟通渠道获得的威胁情报数据. 例如,要了解威胁行为者,请获得以下问题的答案:
      • 他们过去是如何处理赎金的?
      • 他们在提供能够恢复数据的解密密钥方面是可靠的吗?还是他们更像打砸抢的罪犯?
  • 威胁行为者通信-大型猎物猎人往往是出于经济动机. 他们通常会进行大量投资以获得访问权限,并在发动攻击之前花费数周时间了解澳门赌场官方下载的网络和业务运营. 他们投资于支持基础设施(例如.e., 呼叫中心)引导澳门赌场官方下载完成设置加密账户进行支付的过程. 谈判可能很快得到解决. 它们也可能是旷日持久的, 在达成协议之前,花点时间考虑报价和还价. 强烈建议澳门赌场官方下载不要低估利用数据勒索赎金的威胁行为者, 不要试图恐吓或威胁他们. 请记住,澳门赌场官方下载没有数据的每一个小时都是业务中断的一个小时.
  • 加密支付转移混淆-澳门赌场官方下载不应直接从公司账户支付赎金. 威胁参与者有可能在事务期间无法识别澳门赌场官方下载(即使他们在您的环境中度过了一段时间)。. 这可能对你有利, 因为它们可能不相关,澳门赌场官方下载愿意支付,可能不会试图在未来回报. 最近的一项研究7 报告称,80%支付了赎金的澳门赌场官方下载遭到了第二次勒索软件的攻击, 40%的人再次支付. 其中70%的人在第二次事故中支付了更高的金额.

公众沟通及披露

在勒索软件攻击之后,成功应对事件响应过程的关键是询问是否以及如何与内部和外部利益相关者进行沟通. 这需要针对不同受众量身定制清晰、有意的信息. 这应该由个人(在事件发生前经过精心挑选和培训)在与法律顾问协商后完成,以帮助确保及时传递消息, 上下文适当的方式,不会混淆, 歪曲或误导.

执法-与法律顾问合作,在事件发生前建立这些关系. 了解谁将与澳门赌场官方下载合作, 当澳门赌场官方下载被授权与他们联系时, 他们支持澳门赌场官方下载的能力是什么, 以及澳门赌场官方下载被允许分享的详细程度. 这应该被记录并保持最新.

监管机构-与法律顾问合作,确定适用法律下的任何披露要求, 包括时机, 物质, 以及任何信息披露的接受者. 而通知则取决于法律对事实的适用, 应记录并维护此通知表,以配合不断变化的法律和法规发展.

保险公司-与法律顾问合作,确定澳门赌场官方下载的联系人, 包括根据政策必须披露的信息(以及何时披露).

公众调查和公共媒体-与法律顾问合作, 危机管理, 澳门赌场官方下载沟通, 公关公司, 客户支持服务和社交媒体部门确保只分享准确反映事件的经过批准的消息. 法律顾问应审查信息,以防止提供过多的信息,并确保不泄露需要保护的信息.

与媒体的关系总是要小心处理的. 永远不要认为披露的信息是没有记录的. 确保只有那些接受过培训并被授权与公众交流的人分享信息. 这种保护措施减少了意外泄露过多信息的机会, 特别是如果调查涉及执法部门,而且还在进行中. 确保你的社交媒体部门和客户支持服务部门做好准备,并接受培训,了解如何回应和处理社交媒体平台上的公众询问或声明. 剧本、过程和程序必须形成文件并加以维护. 需要定期进行培训,以更新知识和测试响应,以确保它们正确地对齐.

沟通/披露战略对短期和长期影响都很重要, 领导必须:

  • 展示他们对纠正措施的决心和承诺.
  • 宣布事件.
  • 要诚实,做事要负责任.

案例研究:殖民管道勒索软件攻击
2021年5月,Colonial Pipeline遭受了勒索软件攻击. 当犯罪分子利用不应该使用的传统虚拟专用网络(VPN)时,他们获得了对Colonial Pipeline网络的初始访问权.

除了影响内部业务操作之外, 这一事件的影响要大得多, 影响其他行业(1).e.(商业航空旅行),并在四天内至少向17个州发起恐慌性购买.

尽管存在关于没有多因素身份验证(MFA)的遗留VPN系统如何仍在使用的问题, 殖民管道公司的领导层并没有试图逃避责任,也没有试图推卸责任. 他们确定了原因,并努力以一种他们当时认为符合其利益相关者最佳利益的方式解决问题.8

案例研究:Rackspace Attack
2022年12月2日, 云计算巨头Rackspace的客户开始遇到与他们的托管Exchange服务器有关的中断. 除了在决定“关闭电源并断开”服务后表示这是一次“安全事件”之外,几乎没有关于影响数千名客户的中断的信息.11

在其监管文件中, Rackspace州, “托管交换电子邮件业务约占Rackspace总年收入的1%,主要由只使用该产品的中小型澳门赌场官方下载组成. 没有其他Rackspace产品, 平台, 解决方案, 或业务受到影响或由于此事件而经历停机时间.”12 虽然这对Rackspace及其更大的客户来说可能是好消息, 对于首先依赖于解决方案提供商的小型澳门赌场官方下载来说,它几乎没有什么作用. Rackspace关于公司准备的公开声明与据称导致攻击发生的原因相冲突-未能为CVE-2022-41080和CVE-2022-41082打补丁.1iii, 14, 15 更糟糕的是, Rackspace似乎将其不打补丁的决定归咎于微软.16, 17 不管什么原因,顾客都很不满意,导致了至少两起诉讼.18

Rackspace勒索软件事件说明了对事件处理不当会如何影响公众情绪. 此外,它还强调了良好的危机沟通和同理心的重要性.

案例研究:卫报勒索软件攻击
2022年12月20日, 《澳门赌场官方软件》 被认为是勒索软件攻击的网络攻击事件击中. 202iii年1月, 《澳门赌场官方软件》证实这次攻击是勒索软件, 以及英国员工的个人数据被访问. 在IT人员完成系统恢复之前,新闻人员可以在家继续制作日报. 《澳门赌场官方软件》 聘请了“外部专家来评估攻击的程度并恢复其系统。.”9 管理层已通知公众及员工有关行动的中断.10

保证

勒索软件准备评估

本节旨在帮助组织确保为勒索软件攻击做好充分的准备. 以下指导和步骤可以帮助组织增强其准备和响应能力.

  1. 治理-为勒索软件攻击做准备,组织管理机构(例如.g., 董事会(董事会或董事会)需要确保采取主动措施,不仅要确定澳门赌场官方下载对事件的响应能力, 还有它的准备程度.

    从历史上看,这意味着增加网络保险. 然而,越来越多的保险公司正在从勒索软件事件中撤出保险19 或者制定更严格的承销要求20 (i.e., 客观可证明的充分证据, 不仅仅够用, 对组织内的信息安全和隐私工作进行程序化管理). 响应准备要求澳门赌场官方下载确定优先级,并可能彻底检查员工管理, 用于防御的过程和技术.

    为了获得所需的保证水平,澳门赌场官方下载可以考虑利用 勒索软件准备审核计划,21 一种与供应商无关的方法,用于确定澳门赌场官方下载应对勒索软件攻击的总体准备情况. 该计划帮助高级管理层和管理团队提高运营效率,并减少保险索赔被拒绝的机会,因为他们知道澳门赌场官方下载应该将其勒索软件保护资源集中在哪里.
  2. 管理-管理层必须了解澳门赌场官方下载最需要和最重视的数据资产(包括内部部署和第三方提供商),并清楚地说明勒索软件对这些数据构成的风险. 管理组织有效和高效地响应勒索软件攻击的能力需要查看攻击类别范围内的风险, 重新评估其作战态势, 确保系统和网络的健康.
  3. 信息保护过程和程序-制定勒索软件攻击优先级和计划的组织需要确保他们有适当的流程和程序.

    在操作上,澳门赌场官方下载严重依赖未记录的知识来维持业务. 过程和程序需要写下来,这些记录保持最新,以确保, 万一发生意外, 以最有效和最有效的方式进行响应和恢复.

    澳门赌场官方下载必须客观地看待其IT和安全体系结构,并确定差距,以确保业务连续性和灾难恢复工作考虑并考虑勒索软件攻击.
  4. 技术的控制-技术控制的获取和实施的问题源于澳门赌场官方下载业务运营中缺乏对这些控制的充分集成.

    尽管一些技术控制可能很容易获得, 例如新的端点检测和响应(EDR)或数据丢失预防(DLP)解决方案, 其他技术控制需要深思熟虑, 考虑技术和业务工作流程的执行和重新设计(例如.g.,引入现有网络环境的分段).

    勒索软件攻击利用澳门赌场官方下载的控制和控制漏洞来对付它. 攻击者之所以成功,是因为存在缺口. 工具不仅必须适当地适应环境, 但是,必须对工作人员进行适当的培训,了解工具的功能以及如何操作它们.
  5. 人类的控制-勒索软件准备中最困难的方面可能是人的因素,因为组织文化驱动着勒索软件准备计划和工作的成败.

    为了让人类控制成功, 澳门赌场官方下载必须确保员工了解各种策略, 攻击者的技术和程序(TTPs), 袭击的潜在影响以及联系谁. 澳门赌场官方下载还必须确保所有联系人都了解应采取的批准行动和步骤,以及如何升级此类事件.

    高级管理层需要优先考虑人为控制,并提醒和培训每个人在保护组织方面所扮演的角色.
勒索软件准备测试
  1. 桌面演习——桌面演习是组织网络安全准备计划的重要组成部分, 特别是考虑到攻击者能力的快速变化. 这些演习模拟真实世界的网络安全事件,并允许业务的不同部分测试其响应能力并改进其事件响应流程. 成功的桌面互动的关键是让正确的利益相关者参与进来. 重要的是要确保根据内部风险影响优先级确定和解决差距. 建议全年定期进行这些检测方法. 这些练习可以帮助组织了解不断变化的威胁形势, 实践事件响应程序, 培养网络安全意识的文化,并向利益相关者展示他们的准备.
  2. 模拟-这些测试方法在本质上更具侵入性,旨在测试控制效果,并有助于识别环境中可能存在的整体准备强度和潜在差距.

    应该利用模拟来验证和验证业务弹性的管理断言, 连续性, 事件响应和灾难恢复功能. 提供理事机构和高级管理层所要求的保证水平, 模拟必须在技术操作的背景下进行. 建议在技术业务操作和业务影响分析的背景下进行模拟, 识别与模拟相关的受影响系统. 在模拟过程中,来自业务和IT的人员应该能够快速识别影响.

    模拟可以是有计划的,也可以是隐蔽的. 应该很好地协调计划的模拟,以在满足识别目标的同时最小化对业务的影响, 以受控的方式记录和评估. 做的正确, 模拟将使澳门赌场官方下载能够制定以前不知道或不确定的适当纠正行动和缓解措施. 隐蔽模拟的目的是测试组织对真实攻击的响应.
勒索软件准备培训
  1. 最终用户确保每个员工都知道自己的职责是很重要的, 以及何时以及如何执行它们. 勒索软件攻击可能没有被报告,仅仅是因为最终用户不知道该联系谁, 认为IT正在处理这个问题,或者不相信帮助台的工作人员会帮助他们.

    勒索软件攻击通常以终端用户为目标. 攻击者知道最终用户是最后一道防线. 高级管理人员需要确保最终用户了解威胁, 知道如果他们怀疑非法活动应该采取什么步骤, 并及时报告,以减少勒索软件攻击的影响和影响. 最终用户的教育和意识必须有足够的频率,以满足组织的需求.
  2. 信息技术-给予他们更多的特权, 进入和触及环境, 必须让IT人员意识到并提醒他们,他们经常是攻击者的目标. 他们需要接受培训,了解如果发生可疑的勒索软件事件,如何与各自的事件响应以及网络和信息安全团队合作.

    IT人员在应对勒索软件威胁时扮演多种角色. 他们应该对支持剧本/标准操作程序有扎实的理解,这些程序定义了管理层已经认为允许的活动和步骤, 需要管理层批准的操作, 以及升级路径和相关的时间表,以减少对手在系统或网络中的停留时间,并减少攻击的传播和影响. 他们需要非常熟悉操作环境,以便更好地支持事件响应能力, 特别是那些与收容有关的, 根除和恢复工作.
  3. 勒索软件事件响应者-有效和高效地应对勒索软件需要特定的培训、技能和能力. 它还需要充分的计划和准备,基于澳门赌场官方下载的勒索软件策略(例如.e.(关于支付赎金的官方立场).

    存在大量的攻击者和各种勒索软件, 应答者可能不知道他们面对的是什么,直到他们积极参与. 响应人员需要保持与当前勒索软件相关的技能和能力.

    图10 展示与勒索软件事件响应工作相关的常见技能和能力.

图10: 常见勒索软件事件响应技能

个人技能 技术技能
能够遵循指示,政策和程序 对手的战术
协作 鉴定法医文物
沟通(书面和口头) 事件分析
外交 事件处理技巧
文档 IT和安全架构
完整性 IT与安全工程
调查 恶意软件
IR生命周期 监控
了解自己的极限 网络应用和服务
领导 网络操作系统
保存事故记录 网络协议
演讲 操作系统
解决问题和坚持不懈 编程
自我意识 安全问题(网络和主机)
压力管理 安全原则
时间管理 安全漏洞和弱点

结论

有一个明确的策略和路线图来减少大规模攻击的可能性,这是暴露勒索软件攻击的第一步——它是一场可以避免的灾难. 这需要准备. 当澳门赌场官方下载为勒索软件制定了明确的策略,并在他们准备接受的风险水平内进行管理时, 明智的决定是可以做出的. 如果发生勒索软件事件, 它将在业务的风险偏好范围内进行管理,并做出明智的决定.

在过去, 澳门赌场官方下载试图将勒索软件风险转移给保险公司, 但如今,保险公司正在制定更为严格的承保要求,或者干脆取消承保范围. 勒索软件攻击只是澳门赌场官方下载需要考虑和解决的另一种风险.

勒索软件策略确保澳门赌场官方下载为勒索软件攻击做好准备,并在潜在攻击的背景下定义期望的目标和目的. 如果一个目标是确保快速恢复,则需要投资并验证(i).e.(测试,测试,测试)恢复业务关键资产的能力. 如果一个澳门赌场官方下载愿意与勒索者谈判以拿回其数据, 然后,它需要准备好加密货币,这样就不会浪费宝贵的时间.

知识检查:CPE测验
透过以下测试,测试你对防范勒索软件的认识: 勒索软件防御CPE测试蓝图. ISACA澳门赌场官方软件通过75%的分数可以获得1个CPE学分.

我们重视您的意见:提供反馈.

尾注

1 多尔夫曼, Max; “Cyberattacks Growing in Frequency, 严重程度, 和复杂性,“Triple-I博客, 保险信息研究所, 2022年4月29日, http://www.iii.org/insuranceindustryblog/cyberattacks-growingin-frequency-severity-and-complexity/
2 Verizon Business 资源,《澳门赌场官方软件》,2022, http://www.verizon.com/business/resources/reports/dbir/
iii theNET By CLOUDFLARE,“勒索软件攻击者升级了勒索策略,” http://www.cloudflare.com/learning/insights-ransomware-extortion/
4 网络安全 & 基建保安局(CISA), “俄罗斯政府支持的针对关键基础设施的犯罪网络威胁.202iii年iii月2日检索. http://www.cisa.gov/news-events/cybersecurity-advisories/aa22-110a
5 MS Office图形远程代码执行(CVE 2022-4721iii), MS Edge特权提升(CVE 2022-44708), MS SharePoint Server Remove Code Execution (CVE 2022-44690).
6 U.S. 财政部“外国资产控制-制裁项目和信息办公室”, http://ofac.treasury.gov/
7 ContinuityCentral.com; “80 percent of organizations that paid a ransom demand were hit again,” 9 June 2022, http://www.continuitycentral.com/index.php/news/technology/7iii8iii-80-percent-of-organizations-that-paid-a-ransom-demand-were-hit-again
8 David Sanger; Krauss, Clifford; Perlroth, Nicole; “Cyberattack Forces Shutdown of a Top U.S. 《澳门赌场官方软件》,《澳门赌场官方下载》,2021年5月8日 http://www.nytimes.com/2021/05/08/us/politics/cyberattack-colonial-pipeline.html
9 Milmo, Dan; “Guardian Confirms it Was Hit by Ransomware Attack,” 《澳门赌场官方软件》202iii年1月11日 http://www.theguardian.com/media/202iii/jan/11/guardian-confirms-it-was-hit-by-ransomware-attack
10 Waterson, Jim; “Guardian Hit by Serious IT Incident Believed to be Ransomware Attack,” 《澳门赌场官方软件》2022年12月21日 http://www.theguardian.com/media/2022/dec/21/guardian-hit-by-serious-it-incident-believed-to-be-ransomware-attack
11 博蒙特, Kevin; “Rackspace 云 Office suffers destructive security breach,“DoublePulsar, 12月2日, http://doublepulsar.com/rackspace-cloud-office-suffers-security-breach-958e6c755d7f
12 MarketScreener, 美国证券交易委员会, Rackspace 技术: Regulation FD Disclosure - Form 8-K,2022年12月9日, http://www.marketscreener.com/quote/stock/RACKSPACE-TECHNOLOGY-INC-110iii70iii21/news/Rackspace-Technology-Regulation-FDDisclosure-Form-8-K-42514786/
1iii Kovacs, Eduard; “Rackspace Completes Investigation Into Ransomware Attack,“保安周”, 202iii年1月6日, http://www.securityweek.com/rackspace-completes-investigation-ransomware-attack/
14 Culafi, Alexander; “Rackspace: Ransomware attack caused by zero-day exploit,“TechTarget, 202iii年1月4日, http://www.techtarget.com/searchsecurity/news/252528884/Rackspace-Ransomware-attack-caused-by-zero-day-exploit
15 Robichaux, Paul; “What We Can Learn from the Rackspace Breach,” Practical iii65, 19 January 202iii, http://practicaliii65.com/what-we-can-learn-from-the-rackspace-breach/#:~:text=Rackspace%20didn’t%20install%20the,2022%2D41082%20was%20remotely%20exploitable
16 Op cit Kovacs
17 《澳门赌场官方下载》,The Stack, 202iii年1月6日。 http://thestack.technology/rackspace-blames-microsoft-exchange-zero-day/
18 Kovacs, Eduard; “Rackspace Hit With Lawsuits Over Ransomware Attack,“保安周”, 12月12日, http://www.securityweek.com/rackspace-hit-lawsuits-over-ransomware-attack/
19 Cohn, Carolyn; “保险公司s Run From Ransomware Cover as Losses Mount,” Reuters, 19 November 2021, www.路透.com/markets/europe/insurers -运行- ransomware覆盖损失-山- 2021 - 11 - 19/
20 Violino, Bob; “Rising Premiums, 网络保险覆盖面受限给澳门赌场官方下载带来巨大风险,“CNBC, 科技行政会议, 2022年10月11日, www.cnbc.com/2022/10/11/companies-are-finding-it-harder-to-get-cyber-insurance-.html
21 ISACA,勒索软件准备审核计划,2022; http://Store.sukdha.com/s/Store#/Store/browse/detail/a2S4w000005uz6vEAA