Ransomware är en av de största cybersäkerhetsfrågorna som världen står inför idag med gäng som regelbundet bryter sig in i företagsnätverk för att kryptera filer och nätverk.
Ofta inser offren bara att de har äventyrats när filer, servrar och andra system har krypterats och de får en lösenbrev som kräver en betalning i kryptovaluta för dekrypteringsnyckeln.
Men även om cyberkriminella redan finns i nätverket är det inte nödvändigtvis för sent att förhindra en ransomware -attack; om en organisation har en bra hotjaktstrategi kan de upptäcka konstig eller misstänkt aktivitet och motverka hotet innan ransomware blir ett stort problem.
Det beror på att brottslingar kan tillbringa veckor i nätverket innan de utlöser en ransomware-attack-och även om skydd som är avsedda för att hindra dem från att komma in i nätverket har misslyckats, kan denna fördröjning ge en möjlighet att förhindra en fullständig ransomware-attack.
US Department of Commerce National Institute of Standards and Technology (NIST) cybersecurity framework (CSF) listar Identifiera, skydda, upptäcka, svara och återställa som de fem funktionerna för att säkra nätverk. Men många organisationer försöker fortfarande förlita sig på ”skydda” -aspekten som huvudförsvaret, utan en klar strategi, om de alls har en, hur man upptäcker och reagerar på hot som kringgår skydd.
“När du tänker på CSF -ramverket tror jag att vi spenderar så mycket i skyddshinken och inte tillräckligt med att upptäcka svara och återhämta”, säger Jason Lewkowicz, Global CISO för Cognizant, som talade under en paneldiskussion om ransomware vid VMwares VMworld 2021 -konferens.
Se även: En vinnande strategi för cybersäkerhet (ZDNet specialrapport).
Om kriminella redan har kunnat bryta mot nätverket kan det vara svårt att tro att allt inte är förlorat, men hur attacker fungerar innebär att det fortfarande är möjligt att stänga av dem och förhindra en ransomware -incident.
Till exempel är det vanligt att cyberkriminella får tillgång till nätverk och installerar skadlig programvara för att undersöka miljön de har äventyrat – då följer de ofta en standardrutin för åtgärder under de dagar eller veckor de är i nätverket. Det är möjligt att identifiera denna aktivitet och om den identifieras finns det möjlighet att stoppa angriparna.
“Upptäckt kan faktiskt vara en del av att förhindra ransomware. Det finns en klassisk ransomware -kedja av händelser och det är nästan magkänsligt eftersom det är förutsägbart och vi ser det varje dag”, säger Katie Nickels chef för intelligens på Red Canary.
“Mitt team kommer att se en första malware -familj som QBot – sedan kommer motståndarna att titta runt i miljön, göra lite spaning och sedan installerar de ett verktyg som heter Colbalt Strike, sedan rör de sig i sidled. Det är samma playbook – ransomware kommer”.
Om organisationer har goda kunskaper om sitt eget nätverk och ett hotjaktlag som kan ta kunskap om hur dessa praktiska ransomware-attacker fungerar och använda det för att upptäcka hot, kan de identifieras, tas bort och åtgärdas innan problemet växer till att bli en fullskalig ransomware-attack.
“Om du kan upptäcka dessa saker – det här är mycket detekterbara förutsägbara beteenden – om du kunde upptäcka dem tidigt kan du faktiskt förhindra kryptering, exfiltrering eller ett riktigt dåligt resultat”, säger Nickels.
“Det är intressant, eftersom alla tänker på förebyggande och skydd, men tidig upptäckt är faktiskt förebyggande av ransomware”, tillade hon.
Mindre företag eller företag utan en betydande IT- eller informationssäkerhetsbudget kan kämpa för att själva ägna sig åt hotjakt, men det kan vara användbart för att förhindra en ransomware -attack och mycket billigare än att bli offer.
“Det är så viktigt att ha hotjaktmöjligheter i teamet – om du inte har det i din organisationspartner inom ekosystemet – eftersom hotjakt verkligen hjälper till att identifiera dem och profilera den verksamheten”, säger Amelia Estwick, chef för hot forskning på VMware.
Att kunna ta reda på om cyberbrottslingar har äventyrat nätverket kan spela en stor roll för att faktiskt förhindra att en incident inträffar, eller åtminstone se till att effekten minskar. Att hålla en ransomware -attack begränsad till en del av nätverket är fortfarande bättre än att låta den spridas över hela företagsmiljön. Det kan också hjälpa cybersäkerhetsteam att lära sig att förhindra ytterligare attacker i framtiden.
“Vi vet redan att de är där inne, så låt oss ta reda på hur man gör luckor ner och hur de rör sig i hela systemet, så att vi kan lära oss att bättre tillhandahålla och utveckla verktyg för att upptäcka och förhindra att detta händer igen, säger Estwick.
Mer om cybersäkerhet:
Detta företag drabbades av ransomware. Här är vad de gjorde härnäst, och varför de inte betalade upp Ransomware -angripare riktade sig mot detta företag. Då upptäckte försvarare något konstigt Hälften av företagen kan inte upptäcka dessa tecken på hot mot cybersäkerhet inom insidan Ny DOJ -arbetsgrupp för att ta på sig ransomware, säger rapport Har vi nått toppen ransomware? Hur internetets största säkerhetsproblem har vuxit och vad som händer sedan
Relaterade ämnen:
Säkerhet TV Datahantering CXO Datacenter 