Ransomware er et af de største cybersikkerhedsproblemer, verden står over for i dag, hvor bander rutinemæssigt bryder ind i virksomhedsnetværk for at kryptere filer og netværk.
Ofte indser ofre kun, at de er blevet kompromitteret, når filer, servere og andre systemer er blevet krypteret, og de bliver præsenteret for en løsesum, der kræver en betaling i kryptokurrency for dekrypteringsnøglen.
Men selvom cyberkriminelle allerede er inde i netværket, er det ikke nødvendigvis for sent at forhindre et ransomware -angreb; hvis en organisation har en god trusselsjagtstrategi, kan de opdage mærkelig eller mistænkelig aktivitet og imødegå truslen, før ransomware bliver et stort problem.
Det skyldes, at kriminelle kan tilbringe uger i netværket, før de udløser et ransomware-angreb-og selvom beskyttelsen, der er designet til at forhindre dem i at komme ind på netværket, har mislykkedes, kan denne forsinkelse give mulighed for at forhindre et fuldstændigt ransomware-angreb.
Det amerikanske handelsministeriums National Institute of Standards and Technology (NIST) cybersecurity framework (CSF) lister Identify, Protect, Detect, Respond and Recover som de fem funktioner til sikring af netværk. Men mange organisationer forsøger stadig at stole på det 'beskyttede' aspekt som hovedlinjen i forsvaret, uden en klar strategi, hvis de overhovedet har en, om hvordan man opdager og reagerer på trusler, der omgår beskyttelse.
“Når du tænker på CSF -rammerne, tror jeg, at vi bruger så meget i beskyttelsesspanden og ikke nok til at registrere svar og gendanne,” sagde Jason Lewkowicz, Global CISO for Cognizant, under en paneldebat om ransomware på VMwares VMworld 2021 -konference.
Se også: En vindende strategi for cybersikkerhed (ZDNet -særrapport).
Hvis kriminelle allerede har været i stand til at bryde netværket, kan det være svært at tro, at alt ikke er tabt, men den måde, angreb fungerer på, betyder, at det stadig er muligt at afbryde dem og forhindre en ransomware -hændelse.
For eksempel er det almindeligt, at cyberkriminelle får adgang til netværk og installerer malware for at hjælpe med at undersøge det miljø, de har kompromitteret – så følger de ofte en standard rutine for handlinger i løbet af de dage eller uger, de er i netværket. Det er muligt at identificere denne aktivitet, og hvis den er identificeret, er der mulighed for at stoppe angriberne.
“Detektion kan faktisk være en del af forebyggelsen af ransomware. Der er en klassisk ransomware -kæde af hændelser, og det er næsten tarmskærende, fordi det er forudsigeligt, og vi ser det hver dag,” sagde Katie Nickels, chef for efterretningstjenester på Red Canary.
“Mit team vil se en indledende malware -familie som QBot – så vil modstanderne kigge rundt i miljøet, foretage lidt rekognoscering, og derefter installerer de et værktøj kaldet Colbalt Strike, derefter flytter de sideværts. Det er den samme playbook – ransomware kommer”.
Hvis organisationer har et godt kendskab til deres eget netværk og et trusselsjagthold, der kan tage viden om, hvordan disse praktiske ransomware-angreb fungerer og bruge det til at opdage trusler, kan de identificeres, fjernes og afhjælpes før problemet vokser til at blive et ransomware-angreb i fuld skala.
“Hvis du kan opdage disse ting – det er meget påviselig forudsigelig adfærd – hvis du kunne opdage dem tidligt, kan du faktisk forhindre kryptering, eksfiltrering eller et virkelig dårligt resultat,” sagde Nickels.
“Det er interessant, fordi alle tænker på forebyggelse og beskyttelse, men tidlig opsporing er faktisk forebyggelse af ransomware,” tilføjede hun.
Mindre virksomheder eller dem uden et betydeligt IT- eller informationssikkerhedsbudget kan kæmpe for selv at engagere sig i trusselsjagt, men det kan være nyttigt til at hjælpe med at forhindre et ransomware -angreb og meget billigere end at blive offer.
“Det er så vigtigt at have trusselsjagtfunktioner på holdet – hvis du ikke har det i din organisationspartner inden for økosystemet – fordi trusselsjagt virkelig hjælper med at identificere dem og profilere disse aktiviteter,” sagde Amelia Estwick, direktør for trussel forskning hos VMware.
At kunne finde ud af, om cyberkriminelle har kompromitteret netværket, kan spille en stor rolle i faktisk at forhindre, at en hændelse finder sted, eller i det mindste sikre, at virkningen reduceres. At holde et ransomware -angreb begrænset til en del af netværket er stadig bedre end at lade det spredes rundt i hele virksomhedsmiljøet. Det kan også hjælpe cybersikkerhedsteam med at lære at forhindre yderligere angreb i fremtiden.
“Vi ved allerede, at de er derinde, så lad os finde ud af, hvordan man laver luger ned, og hvordan de bevæger sig i hele systemet, så vi kan lære bedre at levere og udvikle værktøjer til at opdage og forhindre, at dette sker igen, “sagde Estwick.
Mere om cybersikkerhed:
Dette firma blev ramt af ransomware. Her er, hvad de gjorde derefter, og hvorfor de ikke betalte op Ransomware -angribere målrettede dette firma. Derefter opdagede forsvarerne noget nysgerrigt Halvdelen af virksomhederne kan ikke få øje på disse tegn på insider -cybersikkerhedstrusler Ny DOJ -taskforce til at påtage sig ransomware, siger rapport Har vi nået top ransomware? Hvordan internettets største sikkerhedsproblem er vokset, og hvad der derefter sker
Relaterede emner:
Sikkerhed TV Datahåndtering CXO Datacentre 
Af Danny Palmer | 11. oktober 2021 | Emne: Sikkerhed