SOAR在勒索软件事件处置过程中的应用
日期:2022年09月01日 阅:110
背景
近期,有关勒索软件攻击的话题又开始频繁出现。
8月10日,恶意黑客声称窃取到思科2.75GB数据,约3100个文件,其中不少文件为保密协议、数据转储和工程图纸。官方已证实被勒索攻击,泄露数据2.75GB。
8月11日,有网络传言称美X集团遭遇加密勒索,后官方回应是传闻系谣言,声称是遭受新型网络病毒攻击,少数员工电脑受到感染。
8月29日,疑似用*友等管理软件厂商正遭受勒索病毒集中攻击。据悉,一旦被攻击,用户计算机文件被.locked后缀的勒索病毒加密,攻击者索要0.2个BTC(约合2.7万+人民币)的赎金。
据2022 数据泄露调查报告(DBIR)显示,勒索软件在 2022 年同比增长 13%,增幅超过过去五年的总和。因此在面对勒索病毒攻击事件不断上升情况下,企业如何利用安全防护手段去规避和应对勒索软件,是我们需要持续探讨的热点问题。
面对勒索病毒攻击,雾帜智能如何应对
事前:数据备份+安全加固验证
事中:阻断隔离+快速通知+调查取证
事后:溯源分析+报告整理+漏洞整改
第一步:事前(数据无价,备份先行,而且要勤)
l 需求痛点:
(1) 周期性并自动化地实现全量、增量备份企业数据,在发生意外时可以保障数据恢复能力;
(2) 需要专职或兼管人员定期对系统进行核查,确保备份数据符合法规需求,系统多数据量大导致耗费大量工时;
(3) 员工日常很容易忘记备份,对于备份文件进行校验时耗费较多时间,长期的固定的操作流程让员工疲于应付;
(4) 员工操作疏忽忘记备份,备份后未能及时验证备份可用性,反复备份文件人工容易造成备份文件的混乱。
l 解决方案:
对现有工作流程进行标准化,并将标准化的动作编排成可视化的安全剧本。当需要对备份文件进行MD5检验时候人工或者自动触发剧本,对全部的流程进行可视化审查,对于发现异常部分及时引入人工干预。(涉及到客户一些密码托管定期改密等,HoneyGuide可以对接到托管平台进行免密登录实现无需人工干预,有一些平台也可以实现动态密码校验能力)
l 方案成效:
(1) 每周1-2次1个人工 0.5天对多个系统进行备份核查,使用后定时1-3分钟完成全部数据备份核查;
(2)原每天多人手动进行1-2小时备份,使用后无需人工干预自动备份MD5校验,发现异常(传输失败、文件校验失败)进行重试或通知;
(3) 每次升级前1-2人对涉及设备多台1-2小时,使用后剧本化1-3分钟完成全部备份。
第二步:事中(风险隔离要快、准、稳)
l 需求痛点:
(1) 当安全人员确认某些主机或者中断已经中勒索软件,此时需要第一时间对中招主机进行快速隔离;
(2) 资产定位费时费力,全靠人工响应;
(3) 非工作日几乎很难第一时间完成响应操作;
(4) 人员技能、在岗状态、精力等都是重要影响要素;
(5) 经验很难完美复制,换人后响应水平跟不上;
l 解决方案:
(1)通过雾帜智能SOAR联动各类安全设备,在发生安全威胁的时候,人工或自动等方式都可以立即开展应急隔离;
(2)与资产管理系统进行互动,可以对资产标签和业务属性进行判断,并定制不同的封禁隔离逻辑。
l 方案成效:
(1)受感染主机分钟级隔离,告别徒手应急响应;
(2)响应过程全面自动化、标准化,降低人工因素影响;
(3)将风险损失控制在最小范围内;
(4)根据需要还可以定义更加完善的响应过程或事后跟进剧本逻辑。
第三步:事后(问题待整改,事件转工单,运营!)
l 需求痛点:
(1) 企业还需要对安全事件进行跟进分析,开展必要的漏洞整改,补丁修复和弱口令增强等等工作,要将安全事件的处置转化为安全事件运营;
(2) 人力资源有限,工作量巨大;
(3) 流程复杂且漫长,人员容易疏忽;
(4) 重度依赖人员的技能、精力、状态和责任心;
(5) 难以做到可复制且自动化的运营常态。
l 解决方案:
(1)将安全事件转换成运营流程,通过可视化流程工单和剧本协同处置;
(2)对接主流的资产管理、漏洞扫描产品,在事件处置流程中增加资产适配,漏洞扫描等工作,并自动化落实;
(3)通过短信、邮件、IM等工具开展人员通知(参加培训,执行加固,汇报工作等);
(4)标准化、自动化地完成安全漏洞的生命周期管理,落实安全运营。
l 方案成效:
1)全面降低对人员操作的依赖;
2)标准化、规范化地开展ISMS建设和运营;
3)漏洞和风险实现闭环管理;
4)人员和系统实现数字化调度和管理;
5)全面降本增效,将安全人员从重复机械的工作中解放出来。
雾帜智能旗下产品HoneyGuide智能风险决策系统是首款以AI+SOAR为核心的安全协同作战平台,通过虚拟作战室、AI机器人和可视化剧本编排,帮助安全团队加速威胁响应与处置,提升运营自动化,实现风险自适应治理。目前,产品已广泛应用于金融、运营商、能源、烟草、汽车制造等行业。
有勒索软件攻击防御需求的政企用户可致电:021-54322132/020-32201646,雾帜智能竭诚为你提供一站式解决方案。
文章来源:雾帜智能