timp estimat de citire: 4 minute
Lupta Ransomware cu o strategie de apărare în profunzime
media zilnică a atacurilor Ransomware, observată de Check Point Research, a crescut cu 50% în T3 comparativ cu prima jumătate a anului 2020. De la guvern, la servicii financiare, la spitale — atacurile Ransomware extrem de profitabile din întreaga lume au explodat și nu prezintă semne de relenting. Pe măsură ce atacurile Ransomware continuă să facă titluri, organizațiile trebuie să evolueze spre combaterea Ransomware-ului cu o strategie de apărare în profunzime. securitatea cibernetică evoluează agresiv, iar apărătorii sunt profund implicați într-un meci de șah împotriva atacatorilor. Fiecare pas un apărător ia pentru a asigura rețeaua lor un atacator creează o nouă metodă sau vector de atac. Apărătorii trebuie să-și studieze continuu mișcările, observând îndeaproape indicatorii de compromis, învățând să prezică în mod fiabil strategiile potențiale și vectorii de atac. Aceste observații devin parte a unei strategii complexe de apărare în profunzime, utilizată pentru a identifica lacunele de securitate sau potențialele puncte de eșec în mediul de Operare cibernetică (COE).
instrumente comune pentru apărarea cibernetică
apărarea în profunzime utilizează o serie de instrumente de securitate care oferă diferite tipuri de protecție în diferitele puncte de acces ale COE. Mai jos sunt câteva dintre cele mai frecvent utilizate pentru a aborda straturile principale de securitate.
firewall-uri
deoarece atacurile Ransomware încep cu actorul cibernetic rău intenționat (MCA) obținând acces la o rețea, un firewall este adesea prima linie de apărare. Paravanul de protecție blochează anumite porturi de la accesarea rețelei și utilizează detectări comportamentale și/sau bazate pe reguli pentru a opri un MCA să obțină acces la rețea.
Network Intrusion Prevention System (Nids)
NID-urile oferă un alt nivel de securitate utilizând detectarea comportamentală și bazată pe reguli pentru potențialele amenințări Ransomware la nivel de rețea. În plus, NID-urile sunt echipate pentru a oferi granularitatea datelor necesare analiștilor cibernetici pentru a detecta un atac, astfel încât să poată răspunde cu o abordare țintită pentru a bloca accesul MCA la rețea.
Endpoint Detection and Response (EDR)
EDR-urile oferă vizibilitate crucială echipelor de securitate a rețelei pentru a detecta amenințări, cum ar fi Ransomware, dacă MCAs reușesc să se sustragă celorlalte straturi de securitate și să pătrundă în rețea. EDR-urile oferă detectarea, Investigarea și remedierea bazată pe gazdă împotriva malware-ului pentru a conține amenințări înainte ca acțiunile nefaste ale unui MCA să poată fi executate pe deplin.
gestionarea Patch-urilor
gestionarea Patch-urilor este un alt strat de securitate preventivă și servește la prevenirea compromisurilor înainte ca acestea să se întâmple. Atacatorii Ransomware vor viza vulnerabilitățile sistemului care pot fi utilizate pentru a escalada privilegiile și pentru a obține executarea codului de la distanță pe sistem fără privilegii de administrator.
logarea și segmentarea rețelei
logarea și segmentarea rețelei servesc ca un obstacol suplimentar pentru MCAs odată ce au pătruns în celelalte instrumente de securitate a rețelei. Dacă o MCA compromite rețeaua, aceasta este utilizată pentru a segmenta anumite zone ale rețelei pentru a atenua mișcarea unui atac, încetinind-o până când apărătorii sunt capabili să conțină amenințarea. În cazul atacurilor Ransomware, acest lucru ar fi folosit pentru a preveni mișcarea laterală în rețea.în timp ce instrumentele de securitate de mai sus oferă o apărare solidă împotriva amenințărilor și exploatărilor, acestea sunt, de asemenea, depășite împotriva MCAs — urilor calificate-în special atunci când vine vorba de atacuri Ransomware. Deci, ce lipsește din setul de instrumente de apărare în profunzime? Și cum pot apărătorii să consolideze securitatea pentru a depăși atacurile Ransomware?
răspunsul scurt este inteligența amenințărilor cibernetice. Cel mai frecvent element lipsă al unei strategii de apărare în profunzime are atât informații cuprinzătoare despre amenințările cibernetice, cât și o echipă dedicată de profesioniști în domeniul securității care înțeleg cum să obțină informații despre amenințări acționabile din ceea ce altfel ar fi doar date potențial utile despre amenințări. În timp ce multe organizații pot furniza unul sau mai multe fluxuri de informații despre amenințări, adesea le lipsesc resursele interne pentru a înțelege cu adevărat modul în care aceste date au impact asupra COE-ului lor unic. Când vine vorba de securitatea cibernetică, este esențial ca datele de informații despre amenințări să fie vizualizate pe baza structurii unice a COE a unei organizații.
un exemplu Ransomware: Emotet
imaginea de mai jos prezintă date care identifică o bucată de malware utilizată în mod obișnuit numită Emotet. Acest malware este conceput ca un troian care permite atacatorilor să obțină acces de la distanță la un sistem, să îl exploateze și să instaleze alte sarcini utile rău intenționate, în special Ransomware.
obținerea unei perspective suplimentare asupra atacatorilor C2 și a domeniilor rău intenționate poate oferi apărătorilor un alt strat de apărare pentru a preveni un atac sau pentru a oferi capacitatea de detectare, astfel încât apărătorii să aibă capacitatea de a răspunde la un atac.
pe baza datelor prezentate mai sus, un profesionist în informații despre amenințări poate identifica ghemuirea sau typosquatting-ul domeniului dacă un atacator vizează companiile sau clienții dvs., precum și C2-ul unui MCA și noile tehnici utilizate într-o campanie. Cu toate acestea, identificarea este doar un pas. Odată identificată amenințarea potențială, un apărător ar trebui să valideze infrastructura C2 și, sperăm, să culeagă noi hash — uri malware sau vectori de atac-detalii care ar fi utilizate pentru a perturba lanțul de ucidere și a bloca MCAs la punctul de acces inițial. Acest lucru demonstrează diferența dintre a avea doar date de informații despre amenințări și a avea date de informații despre amenințări. indiferent dacă organizația dvs. se confruntă cu atacuri Ransomware sau cu oricare dintre celelalte legiuni de amenințări și exploatări, cea mai valoroasă completare a apărării dvs. împotriva amenințărilor este inteligența amenințărilor acționabile. În timp ce amenințarea atacurilor cibernetice rămâne o preocupare majoră pentru organizații, relativ puține iau măsurile preventive necesare pentru a-și asigura mediul și a instrui personalul de securitate. Cel puțin, nu până după ce au fost atacați — ceea ce este mult mai costisitor decât dacă ar fi luat măsuri preventive pentru început.