共计 1929 个字符,预计需要花费 5 分钟才能阅读完成。
确定以后人为驱动勒索软件浪潮的指标有多难波及多种思考。有四个步骤来剖析您对勒索软件攻打的筹备水平。
这种剖析大抵分为以下:(1)首先进入环境是如许容易:(2)给给初始脚趾放弃,攻击者如何艰难降级特权,横向挪动,并获取对您的业务至关重要的数据和零碎:(3)您是否把握须要大量赎金以避免公开披露的数据,以及未经检测即可从环境中渗出大量数据是如许容易:和(4)您对疾速从备份中复原环境的能力有多有信念?
须要留神的是,尽管您最终可能会呈现在指标列表中,但如果您的环境最终形成太大的挑战,它们就会隐没 – 毕竟,他们只关怀资金,如果有一个更容易的指标,他们可能会攻打,相同,他们很容易继续前进。因而,这不像是一个民族国家正在施行的有针对性的攻打,因为攻击者十分有动机专门攻打您。在人工操作的勒索软件中,投入足够的战斗能够证实可能无效地阻止攻打。
闯入
请留神,执行勒索软件攻打的不同组具备不同的技能和应用不同的工具,但他们都采纳了一些自动化和手动技术的组合。
攻击者取得初始拜访环境的两种次要形式:利用人,以及攻打互联网接入服务。
到目前为止,最常见的针对人类的形式是通过网络钓鱼电子邮件,但也有变种,如浇水孔攻打(例如,黑客攻击您的组织常常拜访的当地食品递送服务的网站),这可能是无效的。您永远不会实现完满的安全性,但这里的指标应该是领有可信的管制、不太容易上当的员工、良好的电子邮件平安、良好的网络安全网关和修补的最终用户零碎(尤其是 Web 浏览器)。
爱护本人免受互联网拜访服务的攻打要简单一些。很容易假如您领有所有互联网拜访服务的精确清单 – 直到开发人员在 AWS 帐户下建设测试零碎,而您甚至不晓得。破费在理解环境的哪个局部能够上网(即组织 ” 数字脚印 ”)上的工夫是重要的网络卫生。
对于每一个可拜访互联网的服务,您的修补和身份验证策略都须要一流的,因为黑客绝对容易重复使用公开可用的破绽并尝试暴力身份验证攻打,这是此类服务的失常日常事件。
降级特权和横向挪动
将门槛定得足够高,以避免初始进入是一个值得称赞的指标,但也遵循了收益递加的法则。这意味着重点必须转移到改善攻击者在进入环境后挪动环境的难度。
攻打的这一阶段通常须要一些手动管制,因而辨认和中断命令和管制(C2)通道能够带来显著的回报,但要意识到只有最不简单的攻击者才会重复使用以前攻打的雷同域名和 IPs。因而,您的办法不是通过威逼情报源查找 C2 通信,而是须要查找看起来像近程拜访特洛伊木马(RAT)或暗藏隧道(可疑的信标模式)的行为模式。
特权降级和横向挪动的阻碍归结为与修补相干的网络卫生(是否容易取得本地特权降级的破绽?
以后大量勒索软件攻打都利用了凭据的串联泄露,从最后的输出点挪动到网络中更有用的局部。这些攻打的特地有价值的指标是有权拜访组策略对象(GPO)和流动目录域控制器的 香港服务器。
确定这种横向静止在环境中的易用性的办法之一是运行像 ” 猎犬 ” 这样的工具,以可视化可能导致这些指标的攻打门路。
浸透和公开披露
大多数古代勒索软件攻打试图通过过滤数据以及加密数据来最大限度地进步领取赎金的可能性,从而威逼到数据的公开披露(这可能导致罚款或难堪)。
您是否可能领取巨额赎金以避免数据公开披露,齐全取决于您经营的业务类型和您保留的数据。想想你最不违心看到泄露的数据(规范 80/20 规定可能实用),并搁置额定的管制拜访它 – 这通常会为您争取更多的工夫来检测和驱赶攻击者之前,他们失去这些数据。
还要思考泄露数千兆字节的数据(这是通常波及勒索软件攻打的规模)是否会从您现有的平安控件中收回警报,并质疑您留神到并阻止此类传输的速度有多快。
加密和复原操作的能力
在流动的这个关头,攻击者曾经进入您的环境,横向流传和浸透他们认为有价值的数据,并开始加密这些数据。假如你当初进行了口头,复原经营会有多难?
攻击者将尝试追究备份,以进一步偏差此微积分,从而确保无奈应用现有凭据拜访备份,或应用不可变的备份解决方案。理解从备份中复原的速度也很重要 – 毕竟,如果您每小时能够复原 10 GB(听起来不错),但您有 100 TB 的数据要复原,则须要 400 多天能力复原数据。
一些最终积分
您解决勒索软件攻打的显著指标是在浸透开始前抓住它们(并弹出攻击者)。然而,甚至在浸透开始之前,攻击者很可能曾经拜访 GPO 并将恶意软件推入所有域连贯零碎 – 因而您的确心愿在此之前捕捉攻打,因为在此点之后的补救措施必然是低廉且十分耗时的。
在攻打的时间表中挪动得越远,您就越须要依附将几个较弱的信号聚合成一个较强的信号来辨认可能的勒索软件攻打。您在攻击者门路上设置的阻碍越多,在网络卫生、检测和响应能力方面,攻击者就越有可能放弃,或者你在与时钟赛跑中给本人足够的工夫,以胜利地将他们逐出您的网络。