Ransomware: Дори когато нападателите са във вашата мрежа, не е късно да отвърнете на удара

Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Ransomware е един от най -големите проблеми с киберсигурността, пред които е изправен светът днес, като банди рутинно проникват в корпоративни мрежи, за да криптират файлове и мрежи.

Често жертвите осъзнават, че са били компрометирани само когато файлове, сървъри и други системи са били криптирани и им е представена бележка за откуп, изискваща плащане в криптовалута за ключа за декриптиране.

Но дори ако киберпрестъпниците вече са вътре в мрежата, не е задължително да е твърде късно, за да се предотврати атака срещу ransomware; ако една организация има добра стратегия за лов на заплахи, те могат да открият странна или подозрителна дейност и да се противопоставят на заплахата, преди рансъмуерът да се превърне в основен проблем.

Това е така, защото престъпниците могат да прекарат седмици в мрежата, преди да задействат атака срещу ransomware-и дори защитата, предназначена да им попречи да влязат в мрежата, се провали, това забавяне може да предостави възможност за предотвратяване на пълноценна атака с ransomware.

Националната институция за стандарти и технологии (NIST) на Министерството на търговията на САЩ (NIST) за киберсигурност (CSF) изброява Идентифициране, защита, откриване, реагиране и възстановяване като петте функции за защита на мрежите. Но много организации все още се опитват да разчитат на аспекта „защита“ като основна линия на защита, без ясна стратегия, ако изобщо я имат, как да откриват и реагират на заплахи, които заобикалят защитата.

„Когато мислите за рамката на CSF, мисля, че харчим толкова много в защитната кофа и не достигаме достатъчно за откриване на реакция и възстановяване“, каза Джейсън Люкович, глобален CISO за Cognizant, говорейки по време на панелна дискусия за ransomware на конференцията VMworld 2021 на VMware .

ВИЖ: Печеливша стратегия за киберсигурност (Специален доклад на ZDNet)

Ако престъпниците вече са успели да пробият мрежата, може да е трудно да се повярва, че всичко не е загубено, но начинът, по който действат атаките, означава, че все още е възможно да ги прекъснете и да предотвратите инцидент с ransomware.

Например, обичайно киберпрестъпниците получават достъп до мрежи и инсталират зловреден софтуер, за да помогнат за изследване на компрометираната среда – тогава те често ще следват стандартна рутина от действия през дните или седмиците, в които са в мрежата. Възможно е да се идентифицира тази дейност и ако е идентифицирана, има възможност да се спрат нападателите.

“Откриването всъщност може да бъде част от предотвратяването на ransomware. Съществува класическа верига от събития за ransomware и това е почти изтръпващо, защото е предсказуемо и го виждаме всеки ден”, каза Кейти Никълс, директор на разузнаването в Red Canary.

“Моят екип ще види първоначално семейство на зловреден софтуер като QBot – тогава противниците ще огледат околната среда, ще направят известно разузнаване и след това ще инсталират инструмент, наречен Colbalt Strike, след това ще се движат странично. Това е същата книга за игра – идва откупувач”.

Ако организациите имат добри познания за собствената си мрежа и екип за търсене на заплахи, който може да разбере как работят тези практически атаки срещу ransomware и да го използват за откриване на заплахи, те могат да бъдат идентифицирани, премахнати и отстранени, преди проблемът да се превърне в пълномащабна атака срещу ransomware.

“Ако можете да откриете тези неща – това са много откриваеми предвидими поведения – ако можете да ги откриете по -рано, всъщност можете да предотвратите шифроването, ексфилтрацията или наистина лош резултат”, каза Никълс.

„Интересно е, защото всеки мисли за превенция и защита, но ранното откриване всъщност е превенция на ransomware“, добави тя.

По -малките предприятия или тези без значителен бюджет за ИТ или информационна сигурност биха могли да се борят да се ангажират сами с търсенето на заплахи, но това може да бъде полезно за подпомагане на предотвратяването на атака с ransomware и много по -евтино от това да станете жертва.

„Толкова е важно да имате способности за лов на заплахи в екипа – ако нямате това в партньора на вашата организация в рамките на екосистемата – защото ловът на заплахи наистина помага да се идентифицират тези и да се профилира тези дейности“, каза Амелия Естуик, директор на заплахата проучване във VMware.

Възможността да се установи дали киберпрестъпниците са компрометирали мрежата може да изиграе важна роля в действителното предотвратяване на инцидент или поне да гарантира, че въздействието е намалено. Все още е по -добре да се ограничи атаката срещу ransomware само до една част от мрежата, отколкото да се остави да се разпространи в цялата корпоративна среда. Той може също да помогне на екипите за киберсигурност да се научат да предотвратяват допълнителни атаки в бъдеще.

“Ние вече знаем, че те са там, така че нека да разберем как да направим капаците на люковете и как се движат в цялата система, за да можем да се научим да предоставяме и разработваме по -добре инструменти за откриване и предотвратяване на това да се случи отново”, – каза Естуик.

ПОВЕЧЕ ЗА СИГУРНОСТ

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com


Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •