概述
主要挑战
-
远程桌面协议、自带 PC 以及虚拟专用网络漏洞和配置错误正在成为攻击者最常见的切入点。疫情导致远程工作的增长加剧了这种情况。 -
勒索软件越来越多地由人类操作,而不是由技术资源作为垃圾邮件传递。 -
勒索软件攻击后的恢复成本和由此产生的停机时间以及声誉损失可能是赎金的 10 到 15 倍。
建议
-
通过构建包括备份、资产管理和用户权限限制在内的事件前准备策略,为勒索软件攻击做好准备。确定组织是否最终准备好支付赎金。 -
通过部署基于行为异常的检测技术来识别勒索软件攻击,从而实施检测措施。 -
通过培训员工和安排定期演习来建立事故后响应程序。
介绍
分析
构建事前准备策略
-
建立可靠的资产管理流程,以确定需要保护的内容和责任人。应特别注意遗留系统(请参阅企业资产管理软件魔力象限)。 -
实施包含威胁情报 (TI) 的基于风险的漏洞管理流程。勒索软件通常依赖未打补丁的系统来允许横向移动。这应该是一个持续的过程。随着漏洞被攻击者利用,与漏洞相关的风险会发生变化(请参阅有效漏洞管理的基本要素)。 -
删除用户在端点上的本地管理权限并限制对最敏感的业务应用程序的访问,包括电子邮件,以防止帐户被盗(请参阅特权访问管理魔力象限)。 -
对配置错误和不合规的系统实施合规扫描,以及渗透测试和破坏攻击模拟 (BAS)工具。 -
为特权用户实施强身份验证,例如数据库和基础设施管理员以及服务帐户。记录活动。不良行为者通常会使用已知的、检测到的恶意软件来访问更高特权的帐户凭据。
实施检测措施以识别勒索软件攻击
-
从备份中恢复数据,包括验证这些备份的完整性以及了解哪些数据(如果有)已丢失。 -
一旦受到威胁,EPP 和 EDR 以及 MTD 解决方案应用作补救响应的一部分,以消除威胁并回滚任何更改。如前所述,恢复不仅仅是恢复数据。受感染的机器可能被“锁定”并且可能需要物理访问。在准备阶段,了解和计划如何实现这一点很重要。 -
在允许设备返回网络之前验证设备的完整性。 -
更新或删除受损凭据;没有这个,攻击者将能够再次获得进入。 -
对发生的方式和事件进行彻底的根本原因分析,包括任何已被泄露的数据。当不良行为者威胁要发布被盗信息时,就会发生。
通过培训人员和安排演习建立事故后响应程序
以前小时候的梦想:一定要当警察
现在的梦想:一定要当中国警察
以后:一定要当世界警察
原文始发于微信公众号(网络研究院):如何为勒索软件攻击做准备?
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论