安全运营|利用威胁情报灵活应对勒索软件威胁

2023-11-20 12:48:26 浏览数 (1)

雷石分享·全新板块

这里是雷石安全实验室,全新内容分享板块“雷石·安全运营”正式上线!系列分享篇章将陆续发布。欢迎安全运营专家、从业者、同仁参与探讨有关安全运营的全球前沿信息、模型、架构和专家观点等,共同传播安全理念、重塑安全认知、丰容安全体系、联动安全产业发展。

首期正文内容

利用威胁情报灵活应对勒索软件威胁

如今勒索软件猖獗。你可以在任何时候从众多网络安全新闻中了解到一起成功攻击或新的恶意软件变种的报导。

Proofpoint 发布的研究报告(State of the Phish-2023 文末可下载报告) 的调查数据显示,2022年,76%的组织经历过勒索软件攻击未遂事件,64%的组织直接遭到破坏。因此,勒索软件已成为安全和IT团队在制定威胁情报策略时的头号痛点。

但是,如何从战略走向落地,从认为“我们需要使用威胁情报来帮助我们阻止勒索软件攻击”到实现这一目标?

组织开始意识到威胁不可避免,安全运营中心(SOC)被组织接受并成为实践安全检测和威胁响应工作的组织。关键目标是先降低风险,越早越清晰地了解威胁参与者——他们的动机、目标和方法——就能更有效地减少风险。然而,当Mandiant全球威胁情报展望报告(Global Perspectives on Threat Intelligence-2023 文末可下载报告)显示只有35%的受访者表示他们对不同的威胁组及其工具、技术和程序 (TTP) 有全面的了解时,我们就发现了落地的艰难。

应对勒索软件的关键,是在有效负载运行之前进行检测活动。因为在那之后,可能为时已晚,这就是威胁情报变得如此重要的原因。因此,组织需要了解外部发生的事情,以便更好地预测和保护内部。组织需要有效的分析数据以预测这类攻击,如果攻击正在进行,则根据该情报采取行动,在威胁参与者执行有效负载之前主动阻止他们。

预测勒索软件攻击:将各种来源的外部威胁数据放入中央存储库来帮助分析威胁形势,以确定勒索软件的攻击走势,这样可以查明环境上下文中的相关数据。通用威胁数据,包括每天使用的防御措施中获得的签名更新——防火墙、入侵检测和预防工具、防病毒、Web 和电子邮件网关、端点检测和响应解决方案——以及开源情报来源。

但要真正了解可能使用勒索软件攻击组织的威胁执行者,还需要查看来源以获取更明确的数据。幸运的是国家/政府计算机应急响应小组 (CERT) 和按行业组织的信息共享和分析中心 (ISAC) 提供的地理位置和行业关键数据。此外,商业上可用的威胁源以及MITRE ATT&CK等工具和框架提供了关于对手、他们的目标和他们的TTP的更多细节。随着供应链攻击的兴起,在生态系统中包含基于第三方的威胁数据也很重要,对手可能会积极瞄准这些数据,并可能将其用作窃入组织的途径。

将所有数据汇总到一个中央存储库后,根据风险状况、安全基础设施和运营环境设置的参数自动确定优先级。以主动的角度利用威胁情报来预测攻击并通过确定特定补丁的优先级、引入补偿控制、更新某些配置和进行安全意识培训等步骤来降低风险。随着新数据和知识被添加到存储库中,可重新确定修补的优先级并更新设置和策略。

在恶意软件或代码执行之前行动:假设勒索软件活动已经在进行中,仍然有机会在数据被泄露和系统被锁定之前领先于它。但是需要迅速采取行动,将外部情报与来自安全基础设施的内部威胁和事件数据相关联,以了解攻击是否正在进行、威胁参与者当前在杀伤链中的哪个位置运行以及接下来会发生什么。

一旦看到来自用户帐户的异常活动或来自通常不与之开展业务的国家/地区的 IP 地址等指标,就需要更全面地了解正在发生的事情。可以通过查看外部威胁情报以确认或反驳恶意活动,以及可疑IP地址与特定的勒索软件活动相关联的情况。深入挖掘其他威胁情报来源,可以更多地了解攻击者、行为和使用的策略。当观察整个环境中正在发生的事情并将内部和外部数据关联起来以全面了解正在发生什么时,可以快速确定该活动是否是勒索软件活动的一部分,以及该活动将如何展开。借助与安全基础架构中的多个系统集成的平台,可在有效负载执行之前做出响应。

鉴于勒索软件在过去几年中造成的严重影响,以及这些类型的攻击并未放缓的迹象,寻求威胁情报的帮助是有意义的。有价值的外部和内部数据随时可用。当与加速分析和行动的能力相结合时,组织能够快速从意图转变为行动。

*原文链接:https://www.securityweek.com/using-threat-intelligence-to-get-smarter-about-ransomware/

*本文由雷石安全实验室译制,内容仅供参考!欠缺、错误之处欢迎予以指导!

雷石·安全运营

通过使用威胁情报,可以更好地识别可疑活动并验证它是否是恶意的。这可以帮助我们在造成被攻击或损害之前采取行动。此外,利用集成了多个安全系统的平台可以实现快速有效地响应任何已识别的威胁。事实上,在网络安全的任何方面,保持警惕和积极主动饿的态度非常重要,因为威胁是在不断发展并愈加复杂的。

雷石·安全运营

Marc Solomon 是ThreatQuotient 的首席营销官。他在推动新兴成长安全公司成长和组建团队方面有着很多成功经验,并曾经促成了多次融资项目。在加入ThreatQuotient 之前,他曾在思科以27亿美元收购 Sourcefire 后担任安全营销副总裁。在Sourcefire 期间,Marc担任首席营销官和产品高级副总裁。他还在Fiberlink MaaS360(被IBM收购)、McAfee(被英特尔收购)、Everdream(被戴尔收购)、德勤咨询和惠普担任领导职务。Marc 还担任包括 Valtix 在内的多家科技公司的顾问。

雷石·安全运营

漠坦尼科技为用户提供主动威胁捕获解决方案,以应对传统单项边界防御技术无法解决企业对高级未知威胁的溯查需求。

方案核心赋能产品玄境主动威胁捕获系统是一款基于欺骗防御理念的高仿真蜜罐产品,通过部署诱饵,制造陷阱,混淆攻击者攻击目标,精确感知攻击者行为,并了解攻击意图,溯源攻击者信息,形成攻击情报。可识别利用0day漏洞的APT攻击行为,保护企业网络免遭0day漏洞等攻击造成的风险。通过构建威胁情报库,为企业了解攻击者的攻击方式、手段和目的提供情报溯源能力,实现情报内生,为企业资产安全提供进一步保障。

点击了解

雷石·安全运营

1."State of the Phish(2023)"由网络安全公司Proofpoint发布,主要涵盖当前网络钓鱼攻击的趋势和统计信息,此外还包括社会工程学攻击和其它网络欺诈活动的统计数据。该报告对连接到Proofpoint等网络安全公司的客户网络进行了分析,通过检查网络安全事件数据、恶意电子邮件附件、连接到恶意 URL 的点击次数、以及响应恶意邮件或附件的用户等指标,提供犯罪分子最常用的网络钓鱼形式的详细资讯和攻击预测。由于网络钓鱼活动是当前企业和个人面临的最大威胁之一, 这些统计数据和报告对于企业和组织对其网络安全策略进行调整是非常有价值的。

下载报告

Global Perspectives on Threat Intelligence 2023-2-8.pdf

2."Global Perspectives on Threat Intelligence"是一份涵盖全球范围内威胁情报的报告,由 "Threat Intelligence Advisory Board" (TIAB) 编写。这份报告总结了威胁情报的最新发展趋势和技术,以及其在防御网络攻击和网络安全方面的应用。该报告还提供了一些最佳实践和建议,帮助组织和企业设计并实现其自身的威胁情报战略。该报告针对的受众包括:IT专业人员、网络安全管理人员、管理层、安全顾问以及涉及威胁情报领域的其他专业人员。通过审查包括恶意代码和漏洞在内的多个威胁情报来源,这份报告提供了对全球网络威胁趋势和漏洞的深入了解,有助于企业和组织制定更有效的网络安全战略。

下载报告

state of the phish-2023.pdf

文章翻译:Hoya

编辑排版:Hoya

0 人点赞