勒索软件已成为网络犯罪最强大的业务模型之一,每年会给组织造成数十亿美元的损失。在勒索软件攻击中,网络犯罪分子会窃取或加密有价值的数据,然后要求付款才会安全返回数据。这些攻击已从消费者级别的滋扰演变为具有高级加密功能的复杂恶意软件,任何行业、地理位置或不同规模的企业均无一幸免。
保护您的组织免受勒索软件和其他类型的恶意软件的侵害需要快速响应,因为每过一秒,就会有更多的文件被加密、更多的设备受到感染,造成更大的损失,也增加了成本。IBM Security QRadar SIEM 可帮助您快速检测这些威胁,因此您可以立即采取明智的措施来防止或最大限度地减轻攻击的影响。
阅读《勒索软件权威指南》
阅读 2022 年数据泄露成本报告
在对抗勒索软件的过程中,早期检测与阻止至关重要。QRadar SIEM 提供智能安全分析,为您提供针对关键威胁切实可行的洞察。
21% 的网络攻击是勒索软件¹
勒索软件攻击的平均损失为 454 万美元2
使用新代码的 Linux 勒索软件增加了 146%3
像大多数恶意软件一样,勒索软件也会经历几个阶段。QRadar SIEM 能在这些阶段中发现已知和未知的勒索软件。早期检测可以帮助防止后续阶段中造成损失。QRadar 提供的内容扩展包括数百个用例,用于在这些阶段生成警报。内容扩展通过 App Exchange 交付,提供获取最新用例的功能。用例中参照使用了 IBM Security® X-Force® Threat Intelligence 集合,以帮助查找最新的已知入侵指标 (IOC),例如 IP 地址、恶意软件文件散列、URL 等。
大多数“已知”的恶意软件和勒索软件都可以在早期阶段检测到。为了检测未知的勒索软件,QRadar SIEM 提供了侧重于检测勒索软件行为的用例。跨终端、应用程序服务器(本地和云端)和网络设备(防火墙)的可见性使 QRadar SIEM Use Case Manager 能够检测跨 IT 和 OT 基础架构的勒索软件行为模式。通过使用 MITRE ATT&CK 矩阵,Use Case Manager 可以帮助您直观了解是否有跨越这些阶段的用例或规则。
在此阶段,勒索软件看起来与其他恶意软件类似。其使用网络钓鱼技术引诱毫无戒心的员工点击电子邮件、Honeypot、社交媒体或短信中的链接或可执行文件。
用于查找分发行为和已知勒索软件的 QRadar SIEM 用例示例:
- 电子邮件中嵌入的可执行文件
- 与恶意主机进行的电子邮件或 Web 通信
- 可疑的电子邮件主题
即秒表开始计时的时刻。勒索软件现已存在于您的操作环境中。如果勒索软件在分发阶段使用“dropper”来规避检测,则此时 dropper 会调用并下载“真正的可执行文件”并运行。
用于查找感染行为的 QRadar SIEM 用例示例:
- 检测恶意文件或进程
- 检测恶意 IOC
- 文件解码或下载后出现可疑活动
勒索软件正在扫描计算机以分析其可能获得的管理权限,使其在启动时运行、禁用恢复模式、删除影子副本等。
用于查找暂存行为的 QRadar SIEM 用例示例:
- 尝试删除影子副本、备份
- 在引导配置中禁用恢复
既然勒索软件从开始阶段就占据了这台机器,它将开始对网络(攻击路径)、带有预定义扩展名的文件夹和文件等进行搜索。
用于查找搜索行为的 QRadar SIEM 用例示例:
- 尝试删除影子副本、备份
- 数据传输大小限制
真正的损坏才刚开始。典型的操作包括:创建每个文件的副本、加密副本、将新文件放到原始位置。原始文件可能会被泄露并从系统中删除,这使攻击者能够通过威胁公开其违规行为甚至泄露被盗文档来勒索受害者。
用于查找加密行为的 QRadar SIEM 用例示例:
- 文件删除或创建过多
- 在同一台计算机 (UNIX) 上重命名或移动的文件数量可疑
- 数据传输大小限制
造成损坏后,用户会收到有关如何支付赎金以获取解密密钥的通知。此时除了创建解密指令文件外,没有其他需要检测。
用于查找赎金通知行为的 QRadar SIEM 用例示例:
- 已创建勒索软件解密指令
App Exchange 上的以下内容扩展中提供了查找勒索软件的用例(ibm.com 外部链接):
- IBM QRadar 网络钓鱼和电子邮件内容扩展(ibm.com 外部链接)
- IBM QRadar 安全威胁监视内容(ibm.com 外部链接)
- IBM QRadar 终端内容扩展(ibm.com 外部链接)
在最初的感染阶段之后,时间至关重要。越早检测到,就能越早启动事件响应 (IR) 计划。IR 计划越好,阻止勒索软件进入各个阶段的速度就越快。 NIST(ibm.com 外部链接)和 SANS(ibm.com 外部链接)的 IR 准则均经过时间测试。任何 IR 计划都有几个关键因素。
备份到位。 离线备份在应对勒索软件攻击中至关重要。确保您了解这些备份的位置以及如何恢复系统。在 IR 流程中包括有关每项关键 IT 资产联系人的步骤。
确定工作组、工具和角色。 随着勒索软件经历最初感染到加密的各个阶段,响应工作组的组成也发生了变化。这通常意味着组织内需要更多的人参与进来。通常可能包括使用第三方服务提供帮助,或者在出现违规行为的情况下,可能意味着联系法律、外部监管机构和客户。知道何时与联系人联络至关重要。保持更新联系人列表很重要,而将这些联系人角色整合到您的流程中对于有效响应至关重要。纸质和 PDF 已经足够,但关键是要有合适的工具和自动化,让整个团队都能访问勒索软件的响应进程、操作和历史文档。
定义明确的流程和自动化。 IR 流程可以包含许多任务,也可以包括多个决策点。将您的流程与 NIST 和 SANS 概述的阶段保持一致是一种很好的做法。例如,您可以按以下阶段组织您的 IR 流程:
- 发现与识别
- 丰富与确认
- 包含与补救
- 恢复与通信
QRadar SOAR 提供运行手册来定义您的 IR 流程,并自动执行分析人员可能需要执行的许多操作,以便快速完成各个阶段。QRadar SOAR 违规响应可以根据暴露的 PI 创建必要的监管机构报告任务。
IT 资产库存、所有者、PI。 系统被感染时, 安全分析人员需要知道系统所有者以及应用程序和数据。ServiceNow 或 SAP 等资产管理解决方案可以帮助管理系统的联系人。IBM Security® Discover and Classify 可以帮助查找数据源和各来源中的 PI。因此,如果发生数据泄露,分析人员会知道是否涉及任何法规。