Estimated Reading Time: 4 minutes

Fight Ransomware with a Defense in Depth Strategy

Check Point Researchin havaitsema Ransomware-hyökkäysten päivittäinen keskiarvo on noussut Q3: ssa 50% vuoden 2020 alkupuoliskoon verrattuna. Hallituksesta rahoituspalveluihin ja sairaaloihin-erittäin tuottoisat Kiristyshaittaohjelmahyökkäykset ympäri maailmaa ovat räjähtäneet, eivätkä ne näytä laantumisen merkkejä. Ransomware-hyökkäysten jatkuessa otsikoissa organisaatioiden on kehityttävä taistelemaan Ransomware-kiristysohjelmaa vastaan Defense In Depth-strategialla.

kyberturvallisuus kehittyy aggressiivisesti, ja puolustajat käyvät syvää shakkiottelua hyökkääjiä vastaan. Jokainen askel puolustaja ottaa turvata verkkonsa hyökkääjä luo uuden menetelmän tai vektori hyökkäys. Puolustajien on jatkuvasti tutkittava liikkeitään, tarkkailtava tarkasti kompromissin indikaattoreita, opittava luotettavasti ennustamaan mahdollisia strategioita ja hyökkäysvektoreita. Näistä havainnoista tulee osa monimutkaista Defense In Depth-strategiaa, jota käytetään kybertoimintaympäristön (Coe) tietoturva-aukkojen tai mahdollisten vikapisteiden tunnistamiseen.

yhteiset Kyberpuolustustyökalut

Syvyyspuolustus hyödyntää erilaisia tietoturvatyökaluja, jotka tarjoavat erityyppistä suojaa kaikissa COE: n eri tukiasemissa. Alla on joitakin yleisimmin käytetty käsitellä ensisijainen turvallisuus kerrokset.

palomuurit

koska Ransomware-hyökkäykset alkavat haitallisen Kybervaikuttajan (MCA) pääsystä verkkoon, palomuuri on usein ensimmäinen puolustuslinja. Palomuuri estää tiettyjen porttien pääsyn verkkoon, ja käyttää käyttäytymiseen ja/tai sääntöihin perustuvia detections estää MCA pääsemästä verkkoon.

Network Intrusion Prevention System (NIDS)

NIDS tarjoaa toisen suojakerroksen käyttämällä käyttäytymiseen ja sääntöihin perustuvaa tunnistusta mahdollisten Ransomware-uhkien varalta verkkotasolla. Lisäksi NID: t on varustettu tarjoamaan kyberanalyytikoille tarvittavan datan rakeisuuden hyökkäyksen havaitsemiseksi, jotta he voivat vastata kohdennetulla lähestymistavalla estääkseen MCA: ta pääsemästä verkkoon.

Endpoint Detection and Response (EDR)

EDR: t tarjoavat ratkaisevan näkyvyyden verkon tietoturvaryhmille uhkien, kuten Ransomware, havaitsemiseksi, jos MCAs onnistuu kiertämään muut suojauskerrokset ja tunkeutumaan verkkoon. EDR: t tarjoavat isäntäpohjaista havaitsemista, tutkintaa ja korjaamista haittaohjelmia vastaan uhkien hillitsemiseksi ennen kuin MCA: n pahat toimet voidaan toteuttaa täysin.

Patch Management

Patch Management on toinen ennaltaehkäisevän turvallisuuden kerros, joka estää kompromisseja ennen kuin niitä edes tapahtuu. Ransomware-hyökkääjät kohdistavat järjestelmähaavoittuvuuksia, joita voidaan käyttää laajentamaan oikeuksia ja saamaan etäkoodin suoritusta järjestelmässä ilman järjestelmänvalvojan oikeuksia.

kirjaaminen ja verkon segmentointi

kirjaaminen ja verkon segmentointi toimii ylimääräisenä esteenä MCAs: lle, kun ne ovat tunkeutuneet verkon muihin tietoturvatyökaluihin. Jos MCA ei vaaranna verkkoa, tätä käytetään segmentoimaan tiettyjä verkon alueita lieventämään hyökkäyksen liikettä, hidastaen sitä kunnes puolustajat pystyvät hillitsemään uhkaa. Ransomware-hyökkäyksissä tätä hyödynnettäisiin estämään sivusuuntaista liikkumista verkossa.

vaikka edellä mainitut tietoturvatyökalut tarjoavat vankan, laaja — alaisen puolustuksen uhkia ja hyväksikäyttöjä vastaan, ne ovat myös ylivertaisia taitavia MCAs: iä vastaan-erityisesti Ransomware-hyökkäyksissä. Mitä Puolustusvoimien Syvyystyökalusarjasta siis puuttuu? Entä miten puolustajat voivat vahvistaa tietoturvaa päästäkseen Ransomware-hyökkäysten edelle?

lyhyt vastaus on Kyberuhkatiedustelu. Defense In Depth-strategian yleisimmin puuttuva elementti on sekä kattava Kyberuhkatiedustelu että oma tietoturva-ammattilaisten ryhmä, joka ymmärtää, miten saada toimintakelpoista Uhkatiedustelua siitä, mitä muuten olisi vain potentiaalisesti hyödyllistä tietoa uhkista. Vaikka monet organisaatiot voivat hankkia yhden tai useamman Uhkatiedon syötteen, niillä ei usein ole sisäisiä resursseja ymmärtää, miten tämä tieto vaikuttaa niiden ainutlaatuiseen COE: hen. Kyberturvallisuuden kannalta on tärkeää, että Uhkatiedustelun tietoja tarkastellaan organisaation COE: n ainutlaatuisen rakenteen perusteella.

a Ransomware Example: Emotet

alla olevassa kuvassa on tietoja, jotka tunnistavat yleisesti käytetyn haittaohjelman nimeltä Emotet. Tämä haittaohjelma on suunniteltu troijalaiseksi, jonka avulla hyökkääjät voivat saada etäyhteyden järjestelmään, hyödyntää sitä ja asentaa muita haitallisia hyötykuormia, erityisesti Ransomware-haittaohjelmia.

lisäymmärryksen saaminen hyökkääjistä C2 ja haitallisista verkkotunnuksista voi antaa puolustajille toisen puolustuskerroksen hyökkäyksen estämiseksi tai havaitsemiskyvyn tarjoamiseksi niin, että puolustajilla on kyky vastata hyökkäykseen.

yllä esitettyjen tietojen perusteella Uhkatiedustelun ammattilainen voi pystyä tunnistamaan verkkotunnuksen kyykytyksen tai kirjoitusvirheen, jos hyökkääjä kohdistaa kohteensa yrityksiisi tai asiakkaisiisi, sekä MCA: n C2: n ja kampanjassa käytettävät uudet tekniikat. Tunnistaminen on kuitenkin vain yksi vaihe. Kun potentiaalinen uhka on tunnistettu, puolustajan olisi vahvistettava C2-infrastruktuuri ja toivottavasti poimia uusia haittaohjelmien hashes tai hyökkäys vektoreita-yksityiskohtia, joita käytettäisiin häiritä tappaa ketjun ja estää MCAs alkuperäisen tukiaseman. Tämä osoittaa eron pelkästään Uhkatiedustelutietojen ja toimintakelpoisten Uhkatiedustelutietojen välillä.

riippumatta siitä, onko organisaatiossasi Ransomware-hyökkäyksiä tai muita uhkien ja hyväksikäyttöjen legioonia, arvokkain yksittäinen lisä uhkapuolustukseesi on actionable Threat Intelligence. Vaikka kyberhyökkäysten uhka on edelleen organisaatioiden suurin huolenaihe, suhteellisen harvat ryhtyvät ennalta ehkäiseviin toimiin, joita tarvitaan ympäristön turvaamiseksi ja turvallisuushenkilöstön kouluttamiseksi. Ainakaan ennen kuin heidän kimppuunsa on hyökätty — mikä on paljon kalliimpaa kuin jos he olisivat ryhtyneet ennalta ehkäiseviin toimiin.