预防、遏制、恢复:供应链勒索软件准备指南
勒索软件一直是网络安全行业许多人的首要考虑,因为我们看到越来越多的攻击影响医院网络、地方政府和更广泛的供应链。对公司的勒索软件攻击通常会导致在一段时间内无法访问数据和系统,并通过收入损失和用于恢复工作的资金来造成财务影响。当勒索软件攻击是针对作为供应链一部分的公司时,它可能会产生更广泛的影响,因为仅一个服务提供商就可以对成百上千的公司产生直接影响。
了解您的组织对勒索软件威胁的准备情况势在必行,了解供应链中的供应商如何影响您的准备准备工作是您整体战略的关键部分。
试图确保您的所有防御都得到覆盖,并且您已尽一切努力防止或减轻勒索软件攻击的影响,这可能会让人不知所措。一个强大的战略是深远的和多层次的——包括架构、端点、用户等等。
那么你应该从哪里开始呢?结构化、合乎逻辑的方法可以帮助了解组织的勒索软件准备情况。为了帮助做到这一点,让我们看一下三个主要类别:预防、遏制和恢复。
预防
我们的主要目标是让勒索软件远离我们的环境,从一开始就阻止它进入。从这种防御姿态,我们需要从外围控制一直到最终用户查看您的基础设施。虽然我们可以详细介绍这个主题,但我们会将注意力集中在最常引入勒索软件的差距上。
- 远程桌面协议 (RDP)。 虽然 RDP 不是新技术或新的攻击媒介,但由于漏洞、配置错误或易受蛮力攻击的影响,它一直是常规目标。随着最近远程劳动力的增加以及 RDP 使用率的相应增加,攻击者正在对新目标进行实地考察。这里的预防活动包括限制开放端口的数量、强大的身份验证控制(包括多因素身份验证)和可靠的漏洞管理程序。
- 网络钓鱼。 网络钓鱼电子邮件可能特别危险,因为它们可以绕过您的许多安全控制措施,从而允许将恶意内容直接传送到最常见的最薄弱的安全链接——最终用户。网络钓鱼电子邮件通常会尝试获取用户凭据或包含恶意附件或链接,最终为攻击者提供进入您环境的直接路径。此处的预防活动包括使用电子邮件安全解决方案、针对最终用户的安全和意识培训以及端点检测和响应解决方案。
归根结底,推荐的预防技术并不新鲜。它们与信息安全社区讨论了一段时间的关键原则相同——限制可从 Internet 访问的内容、漏洞扫描、修补和强大的身份验证控制。
遏制
因此,尽管您尽了最大努力,勒索软件还是会进入您的环境。你怎么能阻止传播?考虑建筑物中的火灾:通过使用防火墙、阻燃材料等,遏制策略在实际火灾发生之前发生。对于勒索软件等攻击也是如此。以下是两个关键的遏制策略:
- 特权帐户使用。 攻击者喜欢以特权帐户为目标,因为它们提供对系统和数据的高级访问权限以及执行恶意代码的必要权限。密码重复使用、以明文形式存储的服务帐号密码、容易猜到的密码等都是导致帐号盗用的常见问题。
特权帐户管理的整体方法是这里的关键。这包括了解您拥有哪些特权帐户以及他们有权访问什么;它们的使用方式(例如域管理员与服务帐户);以及如何访问和管理这些帐户(例如,使用特权帐户管理解决方案)。
- 网络细分。 扁平网络是攻击者的梦想场景。一旦获得凭证,他们就可以在组织的整个网络中自由移动,并可以不受限制地访问系统和数据。至少,您应该使用分段来尽可能地限制横向移动,以便攻击者在穿越您的网络并访问其他系统和数据时会更加困难。
恢复
除了事件响应计划之外,帮助您恢复工作的最关键的计划是业务弹性计划。企业将如何继续运作?强大的弹性计划将有助于恢复核心业务系统的功能。
组织的常见攻击媒介包括供应链中的第三方供应商。那么,我们如何识别和降低供应商存在的风险?首先,回答这些关键问题:
- 你们的供应商是谁?
- 每个供应商为您的组织提供哪些服务?
实际上,确定您的供应商是谁并非易事。是否有可能您的供应商可以访问您的网络或数据,而您对此一无所知?绝对地。现实情况是,可以直接访问基于云的解决方案,只需一张信用卡和几次鼠标点击,您现在就拥有一个可以访问您数据的供应商。如果您不知道他们是谁,就不可能评估他们对您组织的风险。至于他们做什么,您供应链中的供应商可以提供各种服务。根据他们有权访问的数据或内部系统,有些本质上会给您的公司带来更高的风险。
回答这些问题是对这些供应商进行充分评估活动的一个很好的起点。目标是让供应商充分放心,因为供应商拥有适当的控制措施,可以根据他们为您提供的服务来保护您的系统或数据。有许多评估策略可以利用,包括审查 SOC 或 ISO 等认证、SIG 等评估问卷、渗透测试结果等。无论您如何处理,验证您的供应商是否有这些控制措施都可以降低风险您的组织在发生攻击时受到影响。
随着系统变得更加互联和复杂,攻击者可能仍会通过您的防御找到某种方法。但是为勒索软件攻击做好准备可以显着减少对您组织的影响和中断。借助深入的防御策略以及适当的遏制和弹性计划,您组织的网络实力只会上升。
Gary Brickhouse 是 GuidePoint Security 的首席信息安全官。
勒索软件一直是网络安全行业许多人的首要考虑,因为我们看到越来越多的攻击影响医院网络、地方政府和更广泛的供应链。对公司的勒索软件攻击通常会导致在一段时间内无法访问数据和系统,并通过收入损失和用于恢复工作的资金来造成财务影响。当勒索软件攻击是针对作为供应链一部分的公司时,它可能会产生更广泛的影响,因为仅一个服务提供商就可以对成百上千的公司产生直接影响。
了解您的组织对勒索软件威胁的准备情况势在必行,了解供应链中的供应商如何影响您的准备准备工作是您整体战略的关键部分。
试图确保您的所有防御都得到覆盖,并且您已尽一切努力防止或减轻勒索软件攻击的影响,这可能会让人不知所措。一个强大的战略是深远的和多层次的——包括架构、端点、用户等等。
那么你应该从哪里开始呢?结构化、合乎逻辑的方法可以帮助了解组织的勒索软件准备情况。为了帮助做到这一点,让我们看一下三个主要类别:预防、遏制和恢复。
预防
我们的主要目标是让勒索软件远离我们的环境,从一开始就阻止它进入。从这种防御姿态,我们需要从外围控制一直到最终用户查看您的基础设施。虽然我们可以详细介绍这个主题,但我们会将注意力集中在最常引入勒索软件的差距上。
- 远程桌面协议 (RDP)。 虽然 RDP 不是新技术或新的攻击媒介,但由于漏洞、配置错误或易受蛮力攻击的影响,它一直是常规目标。随着最近远程劳动力的增加以及 RDP 使用率的相应增加,攻击者正在对新目标进行实地考察。这里的预防活动包括限制开放端口的数量、强大的身份验证控制(包括多因素身份验证)和可靠的漏洞管理程序。
- 网络钓鱼。 网络钓鱼电子邮件可能特别危险,因为它们可以绕过您的许多安全控制措施,从而允许将恶意内容直接传送到最常见的最薄弱的安全链接——最终用户。网络钓鱼电子邮件通常会尝试获取用户凭据或包含恶意附件或链接,最终为攻击者提供进入您环境的直接路径。此处的预防活动包括使用电子邮件安全解决方案、针对最终用户的安全和意识培训以及端点检测和响应解决方案。
归根结底,推荐的预防技术并不新鲜。它们与信息安全社区讨论了一段时间的关键原则相同——限制可从 Internet 访问的内容、漏洞扫描、修补和强大的身份验证控制。
遏制
因此,尽管您尽了最大努力,勒索软件还是会进入您的环境。你怎么能阻止传播?考虑建筑物中的火灾:通过使用防火墙、阻燃材料等,遏制策略在实际火灾发生之前发生。对于勒索软件等攻击也是如此。以下是两个关键的遏制策略:
- 特权帐户使用。 攻击者喜欢以特权帐户为目标,因为它们提供对系统和数据的高级访问权限以及执行恶意代码的必要权限。密码重复使用、以明文形式存储的服务帐号密码、容易猜到的密码等都是导致帐号盗用的常见问题。
特权帐户管理的整体方法是这里的关键。这包括了解您拥有哪些特权帐户以及他们有权访问什么;它们的使用方式(例如域管理员与服务帐户);以及如何访问和管理这些帐户(例如,使用特权帐户管理解决方案)。
- 网络细分。 扁平网络是攻击者的梦想场景。一旦获得凭证,他们就可以在组织的整个网络中自由移动,并可以不受限制地访问系统和数据。至少,您应该使用分段来尽可能地限制横向移动,以便攻击者在穿越您的网络并访问其他系统和数据时会更加困难。
恢复
除了事件响应计划之外,帮助您恢复工作的最关键的计划是业务弹性计划。企业将如何继续运作?强大的弹性计划将有助于恢复核心业务系统的功能。
组织的常见攻击媒介包括供应链中的第三方供应商。那么我们如何才能识别和减少我们的供应商存在的风险呢?首先,回答这些关键问题:
- 你们的供应商是谁?
- 每个供应商为您的组织提供哪些服务?
实际上,确定您的供应商是谁并非易事。是否有可能您的供应商可以访问您的网络或数据,而您对此一无所知?绝对地。现实情况是,可以直接访问基于云的解决方案,只需一张信用卡和几次鼠标点击,您现在就拥有一个可以访问您数据的供应商。如果您不知道他们是谁,就不可能评估他们对您组织的风险。至于他们做什么,您供应链中的供应商可以提供各种服务。根据他们有权访问的数据或内部系统,有些本质上会给您的公司带来更高的风险。
回答这些问题是对这些供应商进行充分评估活动的一个很好的起点。目标是让供应商充分放心,因为供应商拥有适当的控制措施,可以根据他们为您提供的服务来保护您的系统或数据。有许多评估策略可以利用,包括审查 SOC 或 ISO 等认证、SIG 等评估问卷、渗透测试结果等。无论您如何处理,验证您的供应商是否有这些控制措施都可以降低风险您的组织在发生攻击时受到影响。
随着系统变得更加互联和复杂,攻击者可能仍会通过您的防御找到某种方法。但是为勒索软件攻击做好准备可以显着减少对您组织的影响和中断。借助深入的防御策略以及适当的遏制和弹性计划,您组织的网络实力只会上升。
Gary Brickhouse 是 GuidePoint Security 的首席信息安全官。
工业技术