事實上,當企業(yè)擁有及時、相關和可操作的情報時,他們可以加強自己的網(wǎng)絡防御措施,甚至可以從一開始就防止勒索軟件攻擊的發(fā)生。
知識就是力量
更多的好消息:人們知道勒索軟件團伙是如何工作的,在很大程度上知道他們想要什么。
勒索軟件是機會主義的,運營商的進入壁壘相對較低,因為通過勒索軟件即服務(RaaS)模型,支持這些網(wǎng)絡攻擊的工具、基礎設施在各種在線非法社區(qū)中激增。勒索軟件分支機構可以租用惡意軟件,并從受害者的勒索費中收取傭金。
初始訪問代理(即出售勒索軟件運營商和附屬公司的威脅行為人)正在不斷掃描互聯(lián)網(wǎng),尋找易受攻擊的系統(tǒng)。來自漏洞和其他網(wǎng)絡事件的憑證泄漏可能導致暴力或憑證填充攻擊。員工需要不斷了解日益復雜的社交工程計劃。威脅參與者可以使用這些機制中的任何一種來破壞系統(tǒng)、提升權限、橫向移動,并理想地對目標采取行動,在受害者的網(wǎng)絡上植入惡意軟件并加密他們的所有文件。
網(wǎng)絡攻擊之前的情報鏈
行業(yè)專家以前介紹過關于在勒索軟件攻擊事件中檢測、隔離、緩解和協(xié)商的作用。如今,具備這種程度的準備是至關重要的。
阻止勒索軟件攻擊最有效的方法之一是在一開始就拒絕他們訪問。沒有訪問,就沒有攻擊。網(wǎng)絡攻擊者只需要一條訪問路徑即可侵入,防御者必須知道并封閉進入網(wǎng)絡的所有入口。各種類型的情報可以揭示網(wǎng)絡攻擊之前的情報鏈的風險,并幫助企業(yè)在成為攻擊者的目標之前監(jiān)控和防御他們的攻擊面。
脆弱的情報
最好的漏洞情報應該是可靠和可操作的。例如,利用包括漏洞可用性、攻擊類型、影響、泄露模式和其他特征的漏洞情報,漏洞管理團隊可以預測漏洞被用于勒索軟件攻擊的可能性。
有了這些信息,通常資源不足的漏洞管理團隊可以優(yōu)先為系統(tǒng)打補丁,并先發(fā)制人地防御可能導致勒索軟件攻擊的漏洞。
威脅情報
對勒索軟件團伙運營的非法網(wǎng)絡社區(qū)有深入和積極的了解,也有助于提供更多應對方法,并防止勒索軟件攻擊。企業(yè)必須能夠在被盜登錄憑證到達犯罪分子手中之前監(jiān)控并收到警報。這種情報可以減輕賬戶接管,并打破導致暴力破解或憑據(jù)填充攻擊的鏈條。
技術情報
當網(wǎng)絡威脅者成功滲透到企業(yè)的網(wǎng)絡時,隨后的攻擊并不總是立即發(fā)生。有時,他們會安裝工具,幫助他們進一步入侵和尋求訪問最有價值的數(shù)據(jù)。技術情報可以幫助安全團隊檢測到妥協(xié)指標(IOC),以及Cobalt Strike信標的存在,這些信標可能在不知不覺中出現(xiàn)在企業(yè)的系統(tǒng)中,隨后幫助勒索者實施攻擊。
通過準備進行預防
為了幫助企業(yè)的員工和高管了解與勒索軟件相關的各種風險,企業(yè)應尋求實施由具有專業(yè)知識第三方設計的桌面練習,以準備和應對勒索軟件事件。這些模擬場景應涵蓋如何發(fā)現(xiàn)(并報告)網(wǎng)絡釣魚攻擊等社交工程方案,這些方案誘使員工點擊鏈接或與有害附件進行交互,從而使勒索軟件惡意軟件部署在企業(yè)設備上。
通過在攻擊場景之前花時間制定和演練響應計劃,企業(yè)的團隊將能夠在勒索軟件相關的緊急情況下做出明智的決策??梢粤钊朔判牡氖牵菏诌呑詈糜姓_的情報,其中包括數(shù)據(jù)、專家見解和工具,這些情報可以幫助企業(yè)從一開始就防止攻擊,并使其業(yè)務不受干擾地運行。
關于企業(yè)網(wǎng)D1net(r5u5c.cn):
國內(nèi)主流的to B IT門戶,同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營18個IT行業(yè)公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權利。