国内厂商 SOAR 在勒索软件事件处置过程中的应用

Eva · 2022年09月01日 · 781 次阅读

背景

近期,有关勒索软件攻击的话题又开始频繁出现。

8 月 10 日,恶意黑客声称窃取到思科 2.75GB 数据,约 3100 个文件,其中不少文件为保密协议、数据转储和工程图纸。官方已证实被勒索攻击,泄露数据 2.75GB。

8 月 11 日,有网络传言称美 X 集团遭遇加密勒索,后官方回应是传闻系谣言,声称是遭受新型网络病毒攻击,少数员工电脑受到感染。

8 月 29 日,疑似用 * 友等管理软件厂商正遭受勒索病毒集中攻击。据悉,一旦被攻击,用户计算机文件被.locked 后缀的勒索病毒加密,攻击者索要 0.2 个 BTC(约合 2.7 万 + 人民币)的赎金。

据 2022 数据泄露调查报告(DBIR)显示,勒索软件在 2022 年同比增长 13%,增幅超过过去五年的总和。因此在面对勒索病毒攻击事件不断上升情况下,企业如何利用安全防护手段去规避和应对勒索软件,是我们需要持续探讨的热点问题。

面对勒索病毒攻击,雾帜智能如何应对

事前:数据备份+安全加固验证

事中:阻断隔离+快速通知+调查取证

事后:溯源分析+报告整理+漏洞整改

第一步:事前(数据无价,备份先行,而且要勤)

l 需求痛点:

(1) 周期性并自动化地实现全量、增量备份企业数据,在发生意外时可以保障数据恢复能力;

(2) 需要专职或兼管人员定期对系统进行核查,确保备份数据符合法规需求,系统多数据量大导致耗费大量工时;

(3) 员工日常很容易忘记备份,对于备份文件进行校验时耗费较多时间,长期的固定的操作流程让员工疲于应付;

(4) 员工操作疏忽忘记备份,备份后未能及时验证备份可用性,反复备份文件人工容易造成备份文件的混乱。

l 解决方案:

对现有工作流程进行标准化,并将标准化的动作编排成可视化的安全剧本。当需要对备份文件进行 MD5 检验时候人工或者自动触发剧本,对全部的流程进行可视化审查,对于发现异常部分及时引入人工干预。(涉及到客户一些密码托管定期改密等,HoneyGuide 可以对接到托管平台进行免密登录实现无需人工干预,有一些平台也可以实现动态密码校验能力)

l 方案成效:

(1) 每周 1-2 次 1 个人工 0.5 天对多个系统进行备份核查,使用后定时 1-3 分钟完成全部数据备份核查;

(2) 原每天多人手动进行 1-2 小时备份,使用后无需人工干预自动备份 MD5 校验,发现异常(传输失败、文件校验失败)进行重试或通知;

第二步:事中(风险隔离要快、准、稳)

l 需求痛点:

(1) 当安全人员确认某些主机或者中断已经中勒索软件,此时需要第一时间对中招主机进行快速隔离;

(2) 资产定位费时费力,全靠人工响应;

(3) 非工作日几乎很难第一时间完成响应操作;

(4) 人员技能、在岗状态、精力等都是重要影响要素;

(5) 经验很难完美复制,换人后响应水平跟不上;

l 解决方案:

(1)通过雾帜智能 SOAR 联动各类安全设备,在发生安全威胁的时候,人工或自动等方式都可以立即开展应急隔离;

(2)与资产管理系统进行互动,可以对资产标签和业务属性进行判断,并定制不同的封禁隔离逻辑。

l 方案成效:

(1) 受感染主机分钟级隔离,告别徒手应急响应;

(2) 响应过程全面自动化、标准化,降低人工因素影响;

(3) 将风险损失控制在最小范围内;

(4) 根据需要还可以定义更加完善的响应过程或事后跟进剧本逻辑。

第三步:事后(问题待整改,事件转工单,运营!)

l 需求痛点:

(1) 企业还需要对安全事件进行跟进分析,开展必要的漏洞整改,补丁修复和弱口令增强等等工作,要将安全事件的处置转化为安全事件运营;

(2) 人力资源有限,工作量巨大;

(3) 流程复杂且漫长,人员容易疏忽;

(5) 难以做到可复制且自动化的运营常态。

l 解决方案:

(1) 将安全事件转换成运营流程,通过可视化流程工单和剧本协同处置;

(2) 对接主流的资产管理、漏洞扫描产品,在事件处置流程中增加资产适配,漏洞扫描等工作,并自动化落实;

(3) 通过短信、邮件、IM 等工具开展人员通知(参加培训,执行加固,汇报工作等);

(4) 标准化、自动化地完成安全漏洞的生命周期管理,落实安全运营。

l 方案成效:

1)全面降低对人员操作的依赖;

2)标准化、规范化地开展 ISMS 建设和运营;

3)漏洞和风险实现闭环管理;

4)人员和系统实现数字化调度和管理;

5)全面降本增效,将安全人员从重复机械的工作中解放出来。

雾帜智能旗下产品 HoneyGuide 智能风险决策系统是首款以 AI+SOAR 为核心的安全协同作战平台,通过虚拟作战室、AI 机器人和可视化剧本编排,帮助安全团队加速威胁响应与处置,提升运营自动化,实现风险自适应治理。目前,产品已广泛应用于金融、运营商、能源、烟草、汽车制造等行业。

有勒索软件攻击防御需求的政企用户可致电:021-54322132/020-32201646,雾帜智能竭诚为你提供一站式解决方案。

转载证明

原文来自雾帜智能原创文章:https://mp.weixin.qq.com/s/utakfPnO_PZ8fz1-ptXCbQ

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册