becsült olvasási idő: 4 perc

küzdelem Ransomware a védelmi mélység stratégia

a napi átlagos Ransomware támadások, amint azt a Check Point Research, nőtt 50% Q3 képest az első felében 2020. A kormánytól, a pénzügyi szolgáltatásokig, a kórházakig-a világszerte rendkívül jövedelmező Ransomware támadások felrobbantak, és nem mutatnak relenting jeleit. Mivel a Ransomware támadások továbbra is címsorokat készítenek,a szervezeteknek a Ransomware elleni küzdelem felé kell fejlődniük, mélyreható stratégiával.

a kiberbiztonság agresszíven fejlődik, a védők mélyen részt vesznek a támadók elleni sakkmeccsen. Minden lépés egy védő vesz, hogy biztosítsa a hálózat a támadó létrehoz egy új módszer vagy vektor támadás. A védőknek folyamatosan tanulmányozniuk kell lépéseiket, szorosan figyelemmel kell kísérniük a kompromisszum mutatóit, meg kell tanulniuk megbízhatóan megjósolni a potenciális stratégiákat és támadni a vektorokat. Ezek a megfigyelések egy komplex védelmi mélységi stratégia részévé válnak, amelyet a biztonsági hiányosságok vagy a számítógépes működési környezet (COE) potenciális meghibásodási pontjainak azonosítására használnak.

közös eszközök a Kibervédelemhez

a mélység védelme számos olyan biztonsági eszközt használ, amelyek különböző típusú védelmet kínálnak a COE különböző hozzáférési pontjain. Az alábbiakban néhány, a leggyakrabban használt, hogy foglalkozzon az elsődleges biztonsági rétegek.

tűzfalak

mivel a Ransomware támadások azzal kezdődnek, hogy a rosszindulatú számítógépes színész (MCA) hozzáférést szerez egy hálózathoz, a tűzfal gyakran az első védelmi vonal. A tűzfal blokkolja bizonyos portok hozzáférését a hálózathoz, és viselkedési és / vagy szabály alapú észleléseket használ annak megakadályozására, hogy az MCA hozzáférjen a hálózathoz.

hálózati Behatolásmegelőző rendszer (NIDS)

A NIDS egy másik biztonsági réteget biztosít a potenciális zsarolóprogramok hálózati szintű viselkedési és szabályalapú felismerésével. Továbbá, NIDS rendelkezik, hogy az adatok tagoltságát szükséges számítógépes elemzők felismerni a támadás, így tudnak válaszolni a célzott megközelítés, hogy blokkolja az MCA hálózati hozzáférését.

Endpoint Detection and Response (EDR)

az EDR-ek döntő láthatóságot biztosítanak a hálózati biztonsági csapatok számára a fenyegetések észleléséhez, mint például a Ransomware, ha az MCAs sikerül elkerülni a többi biztonsági réteget, és behatolnak a hálózatba. EDRs nyújt host alapú észlelés, vizsgálat, illetve a kármentesítési ellen malware, hogy a fenyegetéseket tartalmazó, mielőtt a gyalázatos tevékenységét egy MCA teljes mértékben végrehajtásra.

Patch Management

Patch Management egy másik réteg megelőző biztonsági szolgál, hogy megakadályozza a kompromisszumokat, mielőtt azok még történni. A Ransomware támadók megcélozzák a rendszer sebezhetőségeit, amelyek felhasználhatók a jogosultságok fokozására, valamint távoli kód végrehajtásra a rendszeren rendszergazdai jogosultságok nélkül.

naplózás és hálózati szegmentálás

A naplózás és a hálózati szegmentálás további akadályként szolgál az MCAs számára, miután behatoltak a többi hálózati biztonsági eszközbe. Ha az MCA veszélyezteti a hálózatot, akkor ezt a hálózat bizonyos területeinek szegmensére használják, hogy enyhítsék a támadás mozgását, lelassítva, amíg a védők nem tudják megfékezni a fenyegetést. Ransomware támadások esetén ezt kihasználnák, hogy megakadályozzák a hálózaton belüli oldalirányú mozgást.

míg a fenti biztonsági eszközök szilárd, széles körű védelmet nyújtanak a fenyegetések és kihasználások ellen, ők is felülmúlják a képzett MCAs — t-különösen a Ransomware támadások esetében. Tehát mi hiányzik a védelem mélyreható eszközkészletéből? Hogyan erősíthetik meg a védők a biztonságot, hogy megelőzzék a Ransomware támadásokat?

a rövid válasz Cyber Threat Intelligence. A leggyakrabban hiányzó eleme a Védelem Mélysége stratégia, hogy mindkét átfogó Cyber-Fenyegetés, így lehet, hogy egy lelkes csapat a biztonsági szakemberek, akik megértik, hogyan kell levezetni támadható Fenyegetés Intelligencia, amit egyébként csak potenciálisan hasznos adatok, fenyegetéseket. Míg sok szervezet egy, vagy több, fenyegetés intelligencia hírcsatornákat, gyakran hiányzik a belső források, hogy valóban megértsék, hogy ezek az adatok hogyan befolyásolják az egyedi COE. Amikor a kiberbiztonságról van szó, elengedhetetlen, hogy a fenyegetés-intelligencia adatait a szervezet COE-jának egyedi összetétele alapján tekintsék meg.

egy Ransomware példa: Emotet

az alábbi kép olyan adatokat mutat, amelyek azonosítják az Emotet nevű általánosan használt rosszindulatú programot. Ez a rosszindulatú program célja, mint egy trójai, amely lehetővé teszi a támadók számára, hogy távoli hozzáférést biztosít a rendszer, kihasználni azt, és telepíteni más rosszindulatú terhelések, különösen Ransomware.

Egyre extra betekintést támadók C2, illetve rosszindulatú domain adhat védők egy másik védelmi réteget megelőzni a támadást, vagy biztosítani a kimutatási képesség, így a védők képes reagálni a támadásra.

adatok Alapján a fent bemutatott, Fenyegetés szakember lehet azonosítani domain guggoló vagy typosquatting ha egy támadó célba a vállalatok, illetve költségtérítést, valamint egy MCA C2, valamint új technikákat használják a kampány. Az azonosítás azonban csak egy lépés. Ha a potenciális fenyegetés azonosított, egy védő kell, hogy érvényesítse a C2 infrastruktúra remélhetőleg gyűjtöget új malware hash-eket, vagy támadási — részlet, amely akkor alkalmazható, hogy megzavarják a láncolat pedig blokk MCAs a kezdeti hozzáférési pont. Ez azt mutatja, hogy a különbség csak a fenyegetés intelligencia adatok, valamint a cselekvésre alkalmas fenyegetés intelligencia adatok.

függetlenül attól, hogy a szervezet Ransomware támadásokkal vagy a fenyegetések és kizsákmányolások bármely más légiójával szembesül-e, a fenyegetésvédelem egyetlen legértékesebb kiegészítése az actionable Threat Intelligence. Míg a kibertámadások fenyegetése továbbra is a szervezetek legfőbb aggodalma, viszonylag kevesen teszik meg a környezetük védelméhez és a biztonsági személyzet képzéséhez szükséges megelőző intézkedéseket. Legalábbis csak azután, hogy megtámadták őket — ami sokkal költségesebb, mint ha megelőző intézkedéseket hoztak volna.