Odhadovaná Doba Čtení: 4 minuty

Boj Ransomware s Obrany v Hloubka Strategii

denní průměr Ransomware útoky, jak bylo pozorováno u Check Point Výzkumu, se zvýšil o 50% ve 3. čtvrtletí ve srovnání s první polovinou roku 2020. Od vlády, aby finanční služby, nemocnice — vysoce lukrativní Ransomware útoky po celém světě vybuchla a nevykazují žádné známky slábnutí. Vzhledem k tomu, že útoky Ransomware pokračují v titulcích, organizace se musí vyvíjet směrem k boji proti ransomwaru s hloubkovou strategií obrany.

kybernetická bezpečnost se agresivně vyvíjí a obránci jsou hluboce zapojeni do šachového zápasu proti útočníkům. Každý krok, který obránce podnikne k zabezpečení své sítě, útočník vytvoří novou metodu nebo vektor útoku. Obránci musí neustále studovat své pohyby, pečlivě sledovat ukazatele kompromisu, naučit se spolehlivě předpovídat potenciální strategie a útočné vektory. Tyto připomínky se staly součástí komplexní Obrany v Hloubka strategii, používá k identifikaci bezpečnostních mezer nebo potenciálních bodů selhání v rámci Počítačové Operační Prostředí (COE).

Společné Nástroje pro Kybernetickou Obranu

Hloubkové Obrany využívá řadu bezpečnostních nástrojů, které nabízejí různé typy ochrany v jednotlivých přístupových bodů COE. Níže jsou uvedeny některé z nejčastěji používaných k řešení primárních bezpečnostních vrstev.

Firewall

Protože Ransomware útoky začít s na Nebezpečné webové Herec (MCA) získává přístup k síti, firewall je často první linii obrany. Brána firewall blokuje přístup určitých portů k síti a používá detekce založené na chování a / nebo pravidlech k zastavení přístupu MCA k síti.

Network Intrusion Prevention System (IDS)

NIDS poskytovat další vrstvu zabezpečení pomocí behaviorální a pravidlo založené na detekci pro potenciální Ransomware hrozeb na úrovni sítě. Nid jsou navíc vybaveny tak, aby poskytovaly granularitu dat nezbytnou pro kybernetické analytiky k detekci útoku, aby mohli reagovat cíleným přístupem k zablokování přístupu MCA do sítě.

Endpoint Detekce a Reakce (EDR)

EDRs poskytne klíčovou viditelnost sítě bezpečnostních týmů pro detekci hrozeb, jako Ransomware, pokud MCAs podaří vyhnout další bezpečnostní vrstvy a proniknout do sítě. EDR poskytují detekci hostitele, vyšetřování a nápravu proti malwaru, aby obsahovaly hrozby dříve, než mohou být plně provedeny hanebné akce MCA.

Patch Management

Patch Management je další vrstva z preventivních bezpečnostních a slouží k zabránění kompromisy, než se vůbec stane. Útočníci Ransomware se zaměří na zranitelnosti systému, které lze použít k eskalaci oprávnění a získání vzdáleného spuštění kódu v systému bez oprávnění správce.

Protokolování a Sítě Segmentace

Protokolování a Segmentaci Sítě slouží jako další překážka pro MCAs jednou pronikli další bezpečnostní nástroje sítě. Pokud MCA dělá kompromis sítě, to se používá k segmentu určitých oblastech sítě, aby zmírnit pohyb útok, zpomaluje to dolů, dokud obránci jsou schopni obsahovat škodlivý. V případě útoků Ransomware by to bylo využito k zabránění bočního pohybu v síti.

Zatímco výše uvedené bezpečnostní nástroje nabízejí solidní, široce založené obrany proti hrozbám a zneužití, jsou také nedostačovaly proti kvalifikovaných MCAs — zejména pokud jde o Ransomware útoků. Co tedy chybí v sadě nástrojů Defence in Depth? A jak mohou obránci posílit bezpečnost, aby se dostali před útoky Ransomware?

krátká odpověď je Cyber Threat Intelligence. Nejčastěji chybějící prvek Obrany v Hloubka strategii je mít oba komplexní Cyber Threat Intelligence a specializovaný tým bezpečnostních profesionálů, kteří chápou, jak odvodit žalovatelné hrozbách z toho, co by jinak jen být potenciálně užitečné údaje o hrozbách. Zatímco mnoho organizací může zdroj jeden, nebo několik, Hrozba Zpravodajské kanály, často jim chybí vnitřní zdroje, aby skutečně pochopili, jak tato data ovlivňuje jejich unikátní COE. Pokud jde o kybernetickou bezpečnost, je velmi důležité, aby údaje o hrozbách byly zobrazeny na základě jedinečného složení COE organizace.

příklad ransomwaru: Emotet

obrázek níže ukazuje data, která identifikují běžně používaný malware zvaný Emotet. Tento malware je určen jako trojan, který umožňuje útočníkům získat vzdálený přístup k systému, využívat a nainstalovat další škodlivý užitečné zatížení, a to zejména Ransomware.

Získat další vhled do útočníci C2 a škodlivých domén může dát obránci další vrstvu ochrany, aby se zabránilo útoku, nebo poskytnout schopnost detekce tak, že obránci mají schopnost reagovat na útok.

na Základě výše uvedených údajů, Threat Intelligence professional může být schopen identifikovat domény v podřepu nebo typosquatting, pokud útočník je zaměření vaší společnosti nebo klienty, stejně jako MCA je C2 a nové techniky, které jsou použity v kampani. Identifikace je však pouze jedním krokem. Jakmile potenciální ohrožení, obránce by musel ověřit C2 infrastruktury a doufejme, že získat nový malware hash nebo vektorů útoku — detaily, které by byly použity k narušení zabít řetězu a bloku MCAs v počáteční přístupový bod. To ukazuje rozdíl mezi pouhými údaji o hrozbách, a mít žalovatelné údaje o hrozbách.

Ať už je vaše organizace čelí Ransomware útoky, nebo na kteroukoli další legie hrozby a využije, nejcennější přírůstek do vaší škodlivý obrana je žalovatelné Škodlivý Inteligence. Zatímco hrozba Kybernetických Útoků zůstávají prioritou pro organizace, relativně málo přijmout preventivní opatření nutná pro zajištění jejich životního prostředí a školit bezpečnostní personál. Alespoň, až poté, co byli napadeni – což je mnohem nákladnější — než kdyby nejprve přijali preventivní opatření.