在數(shù)字化轉(zhuǎn)型浪潮之下,企業(yè)發(fā)展步入高速軌道,而網(wǎng)絡(luò)黑客也演變得更為組織化、集團(tuán)化。勒索軟件是對(duì)黑客來(lái)說(shuō)非常成功且有利可圖的一種攻擊類型。勒索軟件攻擊可能會(huì)以經(jīng)典的好萊塢犯罪驚悚片風(fēng)格展開(kāi),往往會(huì)上演一個(gè)惡棍劫持一個(gè)毫無(wú)戒心的受害者作為人質(zhì)的片段,當(dāng)然還會(huì)提出必須按時(shí)支付一大筆贖金的要求!受害者任由攻擊者擺布,并期待事件響應(yīng)人員能夠前來(lái)救援。
勒索軟件即服務(wù)和雙重勒索案件
勒索軟件開(kāi)發(fā)人員將提供勒索軟件即服務(wù) (RaaS) 工具包,該工具包采用與 SaaS 提供商相同的業(yè)務(wù)模式。這導(dǎo)致具有不同技能水平和復(fù)雜程度的網(wǎng)絡(luò)犯罪分子和惡意威脅行動(dòng)者大規(guī)模采用 RaaS。常見(jiàn)的勒索軟件攻擊包括勒索軟件操縱者對(duì)數(shù)據(jù)進(jìn)行加密,并迫使受害者支付贖金來(lái)解鎖數(shù)據(jù)。
在雙重勒索案件中,勒索軟件操縱者加密并竊取數(shù)據(jù),進(jìn)一步脅迫受害者支付贖金。如果受害者不支付贖金,勒索軟件操縱者就會(huì)在泄密網(wǎng)站或暗網(wǎng)上泄露數(shù)據(jù)。其中大多數(shù)泄密網(wǎng)站都托管在暗網(wǎng)上,而這些托管位置由勒索軟件操縱者創(chuàng)建和管理。而如今,這類案件發(fā)生的狀況正愈演愈烈。
自動(dòng)化勒索軟件入侵后響應(yīng)
安全團(tuán)隊(duì)面臨著瞬息萬(wàn)變的復(fù)雜攻擊環(huán)境、不斷擴(kuò)大的威脅面以及分散的員工隊(duì)伍等多重挑戰(zhàn),為此,Palo Alto Networks(派拓網(wǎng)絡(luò))Cortex XSOAR 創(chuàng)建了與其姊妹產(chǎn)品 Cortex XDR? 的集成。利用這兩個(gè)平臺(tái)之間的集成,安全團(tuán)隊(duì)可以在整個(gè)信息系統(tǒng)和工具堆棧中自動(dòng)化和優(yōu)化復(fù)雜的工作流。使用 Cortex XSOAR 和 XDR 內(nèi)容包將提供原生集成網(wǎng)絡(luò)、端點(diǎn)和云數(shù)據(jù)以阻止復(fù)雜威脅的檢測(cè)和響應(yīng)。這種集成利用 XSOAR 中使用的 XDR 數(shù)據(jù),提供單窗格體驗(yàn)和劇本,該劇本可在整個(gè)環(huán)境中協(xié)調(diào)更廣泛的端到端工作流,從而能夠在 Cortex XSOAR 戰(zhàn)情室內(nèi)直接執(zhí)行 XDR 操作。
Cortex XDR 允許用戶集成端點(diǎn)、網(wǎng)絡(luò)和云數(shù)據(jù)以阻止復(fù)雜的攻擊。Cortex XSOAR 與 XDR 的高級(jí)檢測(cè)和分析平臺(tái)相結(jié)合,充分利用了安全團(tuán)隊(duì)可用的全部資源??偟臍w納為以下幾項(xiàng)優(yōu)勢(shì):
? 事件管理
當(dāng)需要人工干預(yù)時(shí),需要通過(guò)對(duì)復(fù)雜工作流的實(shí)時(shí)調(diào)查來(lái)補(bǔ)充入侵后響應(yīng)的自動(dòng)化。
? 指標(biāo)豐富
中央指標(biāo)存儲(chǔ)庫(kù)支持跨來(lái)自多個(gè)來(lái)源的勒索軟件和相關(guān)事件進(jìn)行搜索和自動(dòng)指標(biāo)關(guān)聯(lián),
? 響應(yīng)操作
威脅響應(yīng)操作和勒索軟件處理
響應(yīng)工具包演練
為了幫助事件響應(yīng)者應(yīng)對(duì)威脅,Cortex XSOAR 提供的勒索軟件內(nèi)容包可幫助安全團(tuán)隊(duì)更有效地處理這些惡意行動(dòng)者:
① 即時(shí)幫助事件響應(yīng)、威脅情報(bào)和 SecOps 團(tuán)隊(duì)標(biāo)準(zhǔn)化入侵后響應(yīng)流程并提升速度。
② 自動(dòng)執(zhí)行大多數(shù)勒索軟件響應(yīng)步驟,允許事件響應(yīng)和 SecOps 團(tuán)隊(duì)添加他們的指導(dǎo)和輸入內(nèi)容。
③ 通過(guò)用戶網(wǎng)絡(luò)環(huán)境中收集所需信息、執(zhí)行調(diào)查步驟、遏制事件并使用其自定義的入侵后勒索軟件布局可視化數(shù)據(jù),幫助事件響應(yīng)者更好地了解他們?cè)谕{行動(dòng)者面前的位置和暴露程度。
勒索軟件內(nèi)容包如何運(yùn)作?
Cortex XDR 等多個(gè)警報(bào)源之一檢測(cè)到勒索軟件攻擊時(shí),內(nèi)容包會(huì)自動(dòng)觸發(fā)入侵后勒索軟件調(diào)查和響應(yīng)劇本以識(shí)別、調(diào)查和遏制勒索軟件攻擊。該勒索軟件包需要勒索信和加密文件示例,以識(shí)別勒索軟件變體并通過(guò)在線數(shù)據(jù)庫(kù)查找最合適的恢復(fù)工具。所有相關(guān)的利益相關(guān)者都會(huì)自動(dòng)收到攻擊通知。該劇本包括一項(xiàng)用于確定事件時(shí)間線的手動(dòng)任務(wù),這是恢復(fù)流程的重要組成部分。由于數(shù)據(jù)加密是攻擊的最后一步,因此會(huì)調(diào)查先前的攻擊者行為。
該劇本包括進(jìn)一步調(diào)查文件被加密的用戶活動(dòng)并識(shí)別遭受攻擊的其他端點(diǎn)的選項(xiàng)。如果批準(zhǔn)自動(dòng)修復(fù),則將自動(dòng)阻止勒索信中的惡意指標(biāo),也可以手動(dòng)完成遏制。
Cortex XSOAR
借助勒索軟件內(nèi)容包和 Cortex XSOAR 核心功能與集成,事件響應(yīng)、SecOps 和威脅情報(bào)團(tuán)隊(duì)可以節(jié)省數(shù)小時(shí)的人工操作,試圖將來(lái)自多個(gè)工具的不同信息源拼湊在一起。Cortex XSOAR 可以通過(guò)跨 SIEM、防火墻、端點(diǎn)安全和威脅情報(bào)來(lái)源進(jìn)行編排來(lái)自動(dòng)化用戶調(diào)查、端點(diǎn)隔離、通知、強(qiáng)化和威脅搜尋的整個(gè)過(guò)程,以便響應(yīng)團(tuán)隊(duì)可以快速阻截勒索軟件、最大程度地降低丟失數(shù)據(jù)風(fēng)險(xiǎn),限制索要贖金的財(cái)務(wù)影響及其對(duì)企業(yè)的影響。
-
軟件
+關(guān)注
關(guān)注
69文章
4781瀏覽量
87164 -
數(shù)據(jù)加密
+關(guān)注
關(guān)注
0文章
50瀏覽量
12703 -
派拓網(wǎng)絡(luò)
+關(guān)注
關(guān)注
0文章
5瀏覽量
5039
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論