Trusselen om ransomware vokser: Hva må skje for å forhindre at angrep blir verre? Se nå
Ransomware er et av de største cybersikkerhetsproblemene verden står overfor i dag, med gjenger som rutinemessig bryter seg inn i bedriftsnettverk for å kryptere filer og nettverk.
Ofte innser ofre bare at de har blitt kompromittert når filer, servere og andre systemer har blitt kryptert og de blir presentert med en løsepenger som krever betaling i kryptovaluta for dekrypteringsnøkkelen.
Men selv om cyberkriminelle allerede er inne i nettverket, er det ikke nødvendigvis for sent å forhindre et ransomware -angrep; hvis en organisasjon har en god trusseljaktstrategi, kan de oppdage merkelig eller mistenkelig aktivitet og motvirke trusselen før ransomware blir et stort problem.
Det er fordi kriminelle kan tilbringe uker i nettverket før de utløser et ransomware-angrep-og selv om beskyttelsen som er designet for å forhindre at de kommer inn i nettverket har mislyktes, kan denne forsinkelsen gi en mulighet for å forhindre et fullstendig ransomware-angrep.
Det amerikanske handelsdepartementets nasjonale institutt for standarder og teknologi (NIST) cybersecurity framework (CSF) lister opp Identify, Protect, Detect, Respond and Recover som de fem funksjonene for å sikre nettverk. Men mange organisasjoner prøver fortsatt å stole på det 'beskyttede' aspektet som hovedlinjen i forsvaret, uten en klar strategi, hvis de i det hele tatt har en, for hvordan de skal oppdage og svare på trusler som omgår beskyttelse.
“Når du tenker på CSF -rammeverket, tror jeg at vi bruker så mye i beskyttelsesbøtten og ikke nok til å oppdage svar og gjenopprette,” sa Jason Lewkowicz, Global CISO for Cognizant, under en paneldebatt på ransomware på VMwares VMworld 2021 -konferanse.
SE: En vinnende strategi for cybersikkerhet (ZDNet spesialrapport)
Hvis kriminelle allerede har klart å krenke nettverket, kan det være vanskelig å tro at alt ikke er tapt, men måten angrep fungerer på, betyr at det fortsatt er mulig å kutte dem og forhindre en ransomware -hendelse.
For eksempel er det vanlig at cyberkriminelle får tilgang til nettverk og installerer skadelig programvare for å undersøke miljøet de har kompromittert – da vil de ofte følge en standard handlingsrutine i løpet av dagene eller ukene de er i nettverket. Det er mulig å identifisere denne aktiviteten, og hvis den er identifisert, er det mulighet til å stoppe angriperne.
“Deteksjon kan faktisk være en del av å forhindre ransomware. Det er en klassisk ransomware -kjede av hendelser, og det er nesten tarmkreftende fordi det er forutsigbart og vi ser det hver dag,” sa Katie Nickels, direktør for etterretning ved Red Canary.
“Teamet mitt vil se en innledende malware -familie som QBot – så vil motstanderne se seg rundt i miljøet, gjøre litt rekognosering og deretter installere de et verktøy som heter Colbalt Strike, så beveger de seg lateralt. Det er den samme spillboka – ransomware kommer”.
Hvis organisasjoner har god kunnskap om sitt eget nettverk og et trusseljaktlag som kan ta kunnskap om hvordan disse praktiske ransomware-angrepene fungerer og bruke det til å oppdage trusler, kan de identifiseres, fjernes og utbedres før problemet vokser til å bli et ransomware-angrep i full skala.
“Hvis du kan oppdage disse tingene – dette er svært påviselig forutsigbar atferd – hvis du kunne oppdage dem tidlig kan du faktisk forhindre kryptering, eksfiltrering eller et virkelig dårlig utfall,” sa Nickels.
“Det er interessant, fordi alle tenker på forebygging og beskyttelse, men tidlig oppdagelse er faktisk forebygging av ransomware,” la hun til.
Mindre bedrifter eller de uten et betydelig IT- eller informasjonssikkerhetsbudsjett kan slite med å drive med trusseljakt selv, men det kan være nyttig for å forhindre et ransomware -angrep og mye billigere enn å bli offer.
“Det er så viktig å ha trusseljaktfunksjoner på laget – hvis du ikke har det i organisasjonspartneren din i økosystemet – fordi trusseljakt virkelig hjelper til med å identifisere dem og profilere aktivitetene,” sa Amelia Estwick, direktør for trussel forskning på VMware.
Å kunne finne ut om cyberkriminelle har kompromittert nettverket kan spille en stor rolle i å faktisk forhindre at en hendelse finner sted, eller i det minste sikre at virkningen reduseres. Å holde et ransomware -angrep begrenset til en del av nettverket er fortsatt bedre enn å la det spre seg rundt hele bedriftsmiljøet. Det kan også hjelpe cybersikkerhetsteam med å lære å forhindre flere angrep i fremtiden.
“Vi vet allerede at de er der inne, så la oss finne ut hvordan vi legger ned lukene og hvordan de beveger seg gjennom systemet, slik at vi kan lære å bedre tilby og utvikle verktøy for å oppdage og forhindre at dette skjer igjen, sier Estwick.
MER OM CYBERSIKKERHET
Dette selskapet ble rammet av ransomware. Her er hva de gjorde videre, og hvorfor de ikke betalte opp Ransomware -angriper målrettet mot dette selskapet. Da oppdaget forsvarerne noe nysgjerrig Halvparten av virksomhetene kan ikke oppdage disse tegnene på trusler om intern cybersikkerhet Ny DOJ -innsatsstyrke for å ta på seg ransomware, sier rapport Har vi nådd topp ransomware? Hvordan internettets største sikkerhetsproblem har vokst og hva som skjer videre
Relaterte emner:
Sikkerhet TV Datahåndtering CXO datasentre 