事实上,当企业拥有及时、相关和可操作的情报时,他们可以加强自己的网络防御措施,甚至可以从一开始就防止勒索软件攻击的发生。
知识就是力量
更多的好消息:人们知道勒索软件团伙是如何工作的,在很大程度上知道他们想要什么。
勒索软件是机会主义的,运营商的进入壁垒相对较低,因为通过勒索软件即服务(RaaS)模型,支持这些网络攻击的工具、基础设施在各种在线非法社区中激增。勒索软件分支机构可以租用恶意软件,并从受害者的勒索费中收取佣金。
初始访问代理(即出售勒索软件运营商和附属公司的威胁行为人)正在不断扫描互联网,寻找易受攻击的系统。来自漏洞和其他网络事件的凭证泄漏可能导致暴力或凭证填充攻击。员工需要不断了解日益复杂的社交工程计划。威胁参与者可以使用这些机制中的任何一种来破坏系统、提升权限、横向移动,并理想地对目标采取行动,在受害者的网络上植入恶意软件并加密他们的所有文件。
网络攻击之前的情报链
行业专家以前介绍过关于在勒索软件攻击事件中检测、隔离、缓解和协商的作用。如今,具备这种程度的准备是至关重要的。
阻止勒索软件攻击最有效的方法之一是在一开始就拒绝他们访问。没有访问,就没有攻击。网络攻击者只需要一条访问路径即可侵入,防御者必须知道并封闭进入网络的所有入口。各种类型的情报可以揭示网络攻击之前的情报链的风险,并帮助企业在成为攻击者的目标之前监控和防御他们的攻击面。
脆弱的情报
最好的漏洞情报应该是可靠和可操作的。例如,利用包括漏洞可用性、攻击类型、影响、泄露模式和其他特征的漏洞情报,漏洞管理团队可以预测漏洞被用于勒索软件攻击的可能性。
有了这些信息,通常资源不足的漏洞管理团队可以优先为系统打补丁,并先发制人地防御可能导致勒索软件攻击的漏洞。
威胁情报
对勒索软件团伙运营的非法网络社区有深入和积极的了解,也有助于提供更多应对方法,并防止勒索软件攻击。企业必须能够在被盗登录凭证到达犯罪分子手中之前监控并收到警报。这种情报可以减轻账户接管,并打破导致暴力破解或凭据填充攻击的链条。
技术情报
当网络威胁者成功渗透到企业的网络时,随后的攻击并不总是立即发生。有时,他们会安装工具,帮助他们进一步入侵和寻求访问最有价值的数据。技术情报可以帮助安全团队检测到妥协指标(IOC),以及Cobalt Strike信标的存在,这些信标可能在不知不觉中出现在企业的系统中,随后帮助勒索者实施攻击。
通过准备进行预防
为了帮助企业的员工和高管了解与勒索软件相关的各种风险,企业应寻求实施由具有专业知识第三方设计的桌面练习,以准备和应对勒索软件事件。这些模拟场景应涵盖如何发现(并报告)网络钓鱼攻击等社交工程方案,这些方案诱使员工点击链接或与有害附件进行交互,从而使勒索软件恶意软件部署在企业设备上。
通过在攻击场景之前花时间制定和演练响应计划,企业的团队将能够在勒索软件相关的紧急情况下做出明智的决策。可以令人放心的是:手边最好有正确的情报,其中包括数据、专家见解和工具,这些情报可以帮助企业从一开始就防止攻击,并使其业务不受干扰地运行。