勒索软件猖獗。在任何一天,您都可以访问“前往”网络安全新闻来源,阅读有关另一次成功攻击或新恶意软件变体的信息。事实上,Proofpoint ( PDF ) 的研究发现,76% 的组织在 2022 年经历过勒索软件攻击未遂,64% 的组织遭到破坏。因此,勒索软件已成为安全和 IT 团队在管理其威胁情报策略时的头等大事。
但是,您如何从战略走向执行,从认为“我们需要使用威胁情报来帮助我们阻止勒索软件攻击”到实现这一目标?
随着企业意识到妥协是不可避免的,安全运营中心 (SOC) 正在转变为检测和响应组织。现在的最终目标是降低风险,我们越早更好地了解威胁参与者——他们的动机、目标和方法——我们就能更有效地减少风险。然而,当只有 35% 的 Mandiant 全球威胁情报展望报告 ( PDF ) 受访者表示他们对不同的威胁组及其工具、技术和程序 (TTP) 有全面的了解时,我们就遇到了问题。
在处理勒索软件时,关键是在有效负载运行之前检测活动。因为在那之后,可能就太晚了。这就是威胁情报变得如此重要的原因;因此,公司可以了解外部发生的事情,以便更好地预测和保护内部。公司需要分析正确的数据以预测这些类型的攻击,如果攻击正在进行,则根据该情报采取行动,在威胁参与者执行有效负载之前主动阻止他们。让我们仔细看看。
预测勒索软件攻击:在这里,您正在增强对威胁形势的看法,通过将各种外部威胁数据源放入中央存储库来识别勒索软件的关键趋势,这样您就可以查明环境上下文中的相关数据。有通用威胁数据,包括我们从每天使用的防御措施中获得的签名更新——我们的防火墙、入侵检测和预防工具、防病毒、Web 和电子邮件网关、端点检测和响应解决方案——以及开源情报(开源情报)来源。
但要真正了解可能使用勒索软件针对您的组织的威胁行为者,您还需要查看来源以获得更个性化的数据。一个好的起点是国家/政府计算机应急响应小组 (CERT) 和按行业组织的信息共享和分析中心 (ISAC) 提供的地理和行业特定数据。此外,商业上可用的威胁源以及 MITRE ATT&CK 等工具和框架提供了关于对手、他们的目标和他们的 TTP 的更多细节。随着供应链攻击的兴起,在您的生态系统中包含基于第三方的威胁数据也很重要,对手可能会积极瞄准这些数据并可能将其用作进入您组织的途径。
将所有数据汇总到一个中央存储库后,您可以使用您根据风险状况、安全基础设施和运营环境设置的参数自动确定优先级。现在,您可以从主动的角度利用威胁情报来预测攻击并通过确定特定补丁的优先级、引入补偿控制、更新某些配置和进行安全意识培训等步骤来降低风险。随着新数据和知识被添加到存储库中,您可以重新确定修补的优先级并更新设置和策略。
领先于有效负载:如果勒索软件活动已经在进行中,您仍然有机会在数据被泄露和系统被锁定之前领先于它。但是,您需要能够迅速采取行动,将外部情报与来自安全基础设施的内部威胁和事件数据相关联,以了解攻击是否正在进行、威胁参与者当前在杀伤链中的哪个位置运行以及接下来会发生什么。
假设您开始看到来自用户帐户的异常活动或来自您通常不开展业务的国家/地区的 IP 地址等指标。要更全面地了解正在发生的事情,您可以查看外部威胁情报以确认或反驳恶意活动。您可能会看到引发怀疑的 IP 地址与特定的勒索软件活动相关联。深入挖掘其他威胁情报来源,您可以更多地了解对手、活动和使用的策略。当您观察整个环境中正在发生的事情,将内部和外部数据关联起来以全面了解正在发生的事情时,您可以快速确定该活动是否是勒索软件活动的一部分,以及该活动将如何展开。
鉴于勒索软件在过去几年中造成的严重影响,以及这些类型的攻击并未放缓的迹象,寻求威胁情报的帮助是有意义的。有价值的外部和内部数据随时可用。当与加速分析和行动的能力相结合时,组织能够快速从意图转变为行动。
-
-
-
开启等级保护之路:GB 17859网络安全等级保护上位标准 -
回看等级保护:重要政策规范性文件43号文(上) -
网络安全等级保护:第三级网络安全设计技术要求整理汇总 -
网络安全等级保护:等级测评中的渗透测试应该如何做 -
网络安全等级保护:等级保护测评过程及各方责任 -
网络安全等级保护:政务计算机终端核心配置规范思维导图 -
网络安全等级保护:什么是等级保护? -
网络安全等级保护:信息技术服务过程一般要求 -
闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载 -
闲话等级保护:什么是网络安全等级保护工作的内涵? -
闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求 -
闲话等级保护:测评师能力要求思维导图 -
闲话等级保护:应急响应计划规范思维导图 -
闲话等级保护:浅谈应急响应与保障 -
闲话等级保护:如何做好网络总体安全规划 -
闲话等级保护:如何做好网络安全设计与实施 -
闲话等级保护:要做好网络安全运行与维护 -
闲话等级保护:人员离岗管理的参考实践 -
-
>>>工控安全<<< -
-
工业控制系统安全:信息安全防护指南 -
工业控制系统安全:工控系统信息安全分级规范思维导图 -
工业控制系统安全:DCS防护要求思维导图 -
工业控制系统安全:DCS管理要求思维导图 -
工业控制系统安全:DCS评估指南思维导图 -
工业控制安全:工业控制系统风险评估实施指南思维导图 -
工业控制系统安全:安全检查指南思维导图(内附下载链接) -
工业控制系统安全:DCS风险与脆弱性检测要求思维导图 -
-
>>>数据安全<<< -
>>>供应链安全<<<
-
供应链安全指南:建立基础,持续改进。 -
英国的供应链网络安全评估 -
>>>其他<<<
-
网络安全知识:什么是AAA(认证、授权和记账)? -
最佳CISO如何提高运营弹性
原文始发于微信公众号(祺印说信安):使用威胁情报更智能地应对勒索软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论