I. Hintergrund

1. inländische und ausländischeErpressungsangriffGelände

Die Zahl der Ransomware-Angriffe ist weltweit weiterhin hoch. Eine Visualisierung der Höhe der Cyber-Lösegeldschäden in der Studie "Selected Trends in the International Cyber Liability Insurance Market from the Renewal of the Rollover on 1 January 2022" inNetzwerksicherheitDer Anteil an den gesamten Versicherungsschäden ist gestiegen, und die Schadenstruktur der Branche hat sich radikal verändert: von unter 301 TP3T im Jahr 2019 auf fast 801 TP3T im Jahr 2021.

Die Verluste durch Lösegeldangriffe entstehen hauptsächlich durch Betriebsunterbrechungen und Lösegeldzahlungen,DatenschutzverletzungDrei Aspekte. Laut dem IBM-Bericht "The Cost of a Data Breach" aus dem Jahr 2023 belaufen sich die durchschnittlichen Lösegeldzahlungen weltweit auf 1,7 Millionen US-Dollar, die durchschnittlichen Kosten einer Betriebsunterbrechung auf 2,65 Millionen US-Dollar und die durchschnittlichen Kosten einer Datenschutzverletzung auf 4,2 Millionen US-Dollar.

Die inländischen Ransomware-Angriffe auf das Unternehmen sind nicht wenige, sondern alle entscheiden sich dafür, mit dem Geheimnis umzugehen und ein Durchsickern streng zu verhindern. In den letzten Jahren haben die Aufsichtsbehörden des Banken- und Wertpapiersektors Anforderungen und Hinweise zur Verhinderung von Ransomware-Angriffen herausgegeben, während Unternehmensleiter wiederholt die Notwendigkeit eines guten Schutzes betont haben. Vor kurzem haben wir einen detaillierteren Leitfaden von der Aufsichtsbehörde erhalten.

2. der Status der Branche für Lösegelderpressungen

Warum wählen Angreifer Lösegeldangriffe?

Erstens, hohe Belohnung und geringes Risiko: Lösegeldangriffe können oft in kurzer Zeit hohe Gewinne abwerfen. Im Vergleich zu anderen Formen der Cyberkriminalität ist das Risiko von Lösegeldangriffen relativ gering. Die Verwendung von Kryptowährungen für Lösegeldzahlungen kann sich der Verfolgung durch Finanzinstitute und Strafverfolgungsbehörden entziehen, was die Wahrscheinlichkeit erhöht, dass die Angreifer straffrei ausgehen.

Zweitens sind sie sehr zielgerichtet und leicht umzusetzen: Lösegeldangriffe haben ein breites Spektrum an Zielen und können sich gegen einzelne Nutzer, Unternehmen, Gesundheitseinrichtungen, Regierungsbehörden usw. richten. Bei Lösegeldangriffen werden in der Regel ausgeklügelte Ransomware-Tools verwendet, die oft leicht zu beschaffen und zu verwenden sind.

Drittens sind Informationen unersetzlich: Für einige Organisationen und Einzelpersonen können ihre Daten unersetzlich sein, insbesondere wenn es sich um einzigartige geistige Eigentumsrechte, Kundeninformationen, Forschungsdaten usw. handelt.

Viertens, fehlende Schutzmaßnahmen: Einige Organisationen und Einzelpersonen verfügen nicht über wirksame Sicherungsstrategien undSicherheitsschutzMaßnahmen, wodurch sie anfälliger für Lösegeldangriffe werden.

3. der Stand der Lösegeldangriffe in der Branche

Entstehung inländischer UnternehmenInformationssicherheitWenn es zu Vorfällen kommt, verfolgen die meisten von ihnen die Strategie, die Nachrichten zu blockieren und die Auswirkungen zu beseitigen. Infolgedessen werden Fälle von Lösegeldangriffen nur selten in der Öffentlichkeit bekannt, aber in Sicherheitskreisen hört man oft sporadisch von entsprechenden Vorfällen. Wenn das Sicherheitsteam der Unternehmensleitung Bericht erstattet, gibt es daher nur wenige oder gar keine klaren und detaillierten Fälle, was den Aufbau der Unternehmenssicherheit und die Entwicklung der Sicherheitsbranche nicht gerade vorantreiben kann.

So wurde beispielsweise ein Wertpapier außerhalb der Öffnungszeiten erpresst und an den Wochenenden 24 Stunden am Tag entsorgt, um die Entsorgung vor der Öffnung des Marktes abzuschließen.

Zwei,Exkursion an Ort und StelleArgumentation

1) Zweifel und Missverständnisse angesichts von Lösegeldangriffen

Einige der häufig gestellten Fragen lauten: Kann ein Antivirusprogramm Lösegeldangriffe abwehren? Kann ich mich mit einem Technikguru gegen einen Lösegeldangriff schützen? Kann ich mich gegen Lösegeldangriffe schützen, wenn ich einen Notfallplan habe? Kann ich mich gegen Lösegeldangriffe schützen, wenn ich eine Sandbox-Übung durchgeführt habe? Kann ich mich mit einem umfassenden System zum Schutz der Informationssicherheit gegen Lösegeldangriffe schützen?

Einige gemeinsame Wahrnehmungen, um weiterhin zu studieren Lösegeld Angriff Proben in das Terminal, um das Virus zu töten; die "Vier-Schritte-Ansatz" zu verwenden, um das Gateway, Verkehr, Terminal, die Einrichtung von Lösegeld Angriffe eingehende Schutzsystem zu decken; Lösegeld Angriffe ist die Prämisse des Angriffs, sollte sich auf die Angelegenheit zu konzentrieren, machen einen guten Job in der Notfallplan ... ...

Erst wenn es zu einem Lösegeldangriff kommt, stellen wir fest, dass niemand die so genannte Spezifikation gelesen hat, dass der Notfallplan nicht funktioniert, dass wir uns nicht mehr an die Betriebsabläufe erinnern können, dass niemand ans Telefon geht, dass die Proben das Virenschutzsystem umgehen und dass die Proben das Sicherheitssystem umgehen können.EDREs stellt sich heraus, dass die Befehlsparameter nicht funktionieren, es stellt sich heraus, dass die Netzsperre nicht greift, es stellt sich heraus, dass die Personalkapazität so ist, es stellt sich heraus, dass das Ergebnis so ist ......

2. bewährte Praktiken angesichts von Lösegeldangriffen

Einige Überlegungen angesichts von Lösegeldangriffen: Die Unternehmen müssen die für sie geeigneten Entscheidungen treffen, die auf wichtigen Faktoren wie Vorschriften, Unternehmen, Budget, Personal und Zeit basieren. Was die Wertpapierbranche betrifft, so gibt es klare Vorschriften für die Verhinderung von Lösegeldangriffen, und es gibt Gerüchte über Zwischenfälle. Die Unternehmen unterstützen im Allgemeinen die Beseitigung großer Sicherheitsrisiken, das Budget stellt kein großes Problem dar, aber Personal und Zeit sind äußerst knapp.

Einige Optionen für den Umgang mit Ransomware: Die eine ist, sich einfach hinzulegen, die andere, einen Lösegeldangriff zu formulierenNotfallmaßnahmenDrittens: Entwicklung eines Notfallprogramms für Lösegeldangriffe und Durchführung einer Sandbox-Übung; und viertens: Entwicklung eines Notfallprogramms für Lösegeldangriffe und Durchführung einer Live-Übung.

Das beste ROI-Programm besteht darin, dass das Sicherheitsteam Betrieb und Wartung, Forschung und Entwicklung zusammenbringt, um sich an realen Übungen zu beteiligen, wobei jedoch auf die Risikokontrolle geachtet wird. Der tatsächliche Kampf ist immer die effektivste und geerdetste Methode, ich glaube, dass viele Kollegen die 721-Regel kennen, 70% Wachstum aus dem tatsächlichen Kampf.existierenNetzwerksicherheitNur weil etwas nicht schief gelaufen ist, heißt das noch lange nicht, dass das Ergebnis gut war.Die Tatsache, dass Sie nicht angegriffen wurden und nicht in Schwierigkeiten geraten sind, bedeutet nur, dass Sie Glück hatten.Die Tatsache, dass sie angegriffen, aber ordnungsgemäß entsorgt wird, macht sie erst richtig gut.

Die echte Praxis der echten Waffe ist das, was die echteErpressungenZielVerteidigungslinie.

III. praktisches Übungsprogramm

Ausgehend von der "echten Waffe" folgten wir den Grundsätzen des Realismus, der Kontrollierbarkeit und des technischen Fortschritts, um eine in hohem Maße reproduzierbare Erpressungsübung zu entwickeln und umzusetzen.

1. die Ziele der praktischen Übung

Lösegeldangriffe kommen der realen Situation am nächsten, liefern die besten Ergebnisse und sind der effektivste Weg, die Fähigkeit des Teams zur Bekämpfung zu verbessern, aber die Schwierigkeit und die hohen Kosten sind ebenfalls eine unbestreitbare Tatsache. Bevor wir mit der Planung einer Lösegeldübung beginnen, müssen wir daher die Ziele der Lösegeldübung erneut klären. Wir haben die Ziele dieser Erpressungsübung wie folgt zusammengefasst:

1. 1. 1. Bewerten Sie die Wirksamkeit der Maßnahmen zum Schutz vor Lösegeldforderungen und die Wirksamkeit der Verteidigung in diesem Stadium;

      2. Bewertung des tatsächlichen Niveaus der Reaktion des Sicherheitsteams auf Lösegeldangriffe (im Alltag ein wenig unbeständig);

      3. Erkennen Sie Sicherheitsrisiken, die durch Lösegeldangriffe ausgenutzt werden können, und beheben Sie sie rechtzeitig;

      4. Bewertung der Reaktionsfähigkeit im Notfall und der Widerstandsfähigkeit des Unternehmens gegenüber Lösegeldangriffen;

      5. Bewertung der Funktionsfähigkeit und Wirksamkeit von Notfallprogrammen für Lösegeldangriffe;

      6. Sensibilisierung der Unternehmensmitarbeiter für die Sicherheit bei Lösegeldangriffen.

2. die Grundsätze der praktischen Übungen

Technologischer Fortschritt.Um die Wirkung von Übungen in der realen Welt zu maximieren, werden bei den Übungen zu Lösegeldangriffen echte Lösegeldbanden als imaginäre Feinde eingesetzt, um die tatsächlichen Schutzfähigkeiten angesichts von Lösegeldangriffen zu bewerten. Wir versuchen unser Bestes, um reale Techniken und Beispiele für Lösegeldangriffe zu verwenden, die Einbruchsmethode mit einer Kombination aus manuellen und automatisierten Werkzeugen anzuwenden, die Form der Übermittlung durch Sozialarbeiter zu nutzen und die Beispiele mit einer starken Anti-Killer-Funktion auszustatten.

3. praktischer Übungsprozess

Entwickeln Sie einen Plan für eine Live-Übung zu einem Lösegeldangriff, wobei Sie den gesamten Übungsprozess in vier Phasen unterteilen: Planung, Vorbereitung, Durchführung und Abschluss:

Planungsphase

In dieser Phase beginnen wir damit, die Ziele der Übung zu definieren und einen Konsens mit allen beteiligten Parteien zu finden;

Der zweite Schritt besteht darin, den aktuellen Sicherheitsstatus auf der Grundlage der vorhandenen Anlagensegmente, der Netztopologie sowie des Standorts und der Abdeckung des Einsatzes von Sicherheitsprodukten zu bewerten, wodurch wir ein allgemeines Verständnis der Schwachstellen und des Sicherheitsniveaus in der gesamten Netzarchitektur erlangen sollten, was bei der anschließenden Entwicklung von Notfallplänen hilfreich ist;

Auf dieser Grundlage müssen wir den Zeitpunkt der Übung festlegen, den Umfang der durchzuführenden Übung (z. B. Bürobereich, Testbereich usw.) mit dem Ziel der Übung bestimmen, das Skript der Übung entwickeln und zunächst die TTP des Angreifers festlegen;

Hinzu kommt die Bestätigung von Personal und Ressourcen. Es ist notwendig, eine Kommandoabteilung für die Übung einzurichten, mit einem Angriffs- und Bewertungsteam, einem Verteidigungsteam und einem Team für die Ressourcenplanung, und das Personal zu bestätigen, einschließlich der Frage, ob "Insider", "Akteure" usw. eingesetzt werden sollen. Die Bestätigung der Ressourcen für die Übung sollte so detailliert sein wie die Angabe, welche Netzsegmente und Anlagen für die Übung zur Verfügung stehen.

Schließlich werden der Übungsplan und die Zeitpunkte in Form eines ausführbaren Formulars abgelegt.

Vorbereitungsphase

In dieser Phase sind wir in zwei Gruppen unterteilt: die angreifende Seite, deren Hauptziel darin besteht, den Erfolg des Angriffs vorzubereiten und gleichzeitig eine perfekte Risikokontrolle zu haben, und die verteidigende Gruppe, die Notfallpläne entwickeln muss.

Der Angreifer muss zunächst eine Simulationsumgebung einrichten, die aus einer Kombination von virtuellen und realen Terminals besteht, die beide geeignet sind, die für die Übung erforderliche virtuelle Umgebung zu schaffen, aber auch einen Teil der realen Umgebung beibehalten, den Invasionsprozess der Erpressung und den Prozess der Notfallreaktion der Zweigstellen simulieren können, aber auch in der Lage sind, die Wirkung der Übung zu steuern, um sicherzustellen, dass der Ablauf der verschiedenen Phasen des Prozesses reibungslos erfolgt. Zweitens werden relevante Angriffswerkzeuge und -techniken entsprechend der TTP der Planungsphase vorbereitet, und die Wirksamkeit und Kontrollierbarkeit der simulierten Viren ist zu überprüfen. Gleichzeitig muss unter Berücksichtigung der Kontrollierbarkeit und Visualisierung des Übungstempos die Unterstützungsplattform eingesetzt und getestet werden, um die Platzierung und Säuberung der Viren mit einem Schlüssel sowie die Echtzeitanzeige der Wirkung im Verlauf der Übung zu realisieren; durch die gesamte Vorbereitungsphase zieht sich die Risikokontrolle, einschließlich der Kontrolle der simulierten Viren, der Sicherheit des Übungspersonals, der Verwaltung der Whitelist für die Übung und anderer Mechanismen. Management- und Übungs-Whitelisting-Mechanismen.

Nachdem die Verteidigung den Notfallplan ausgearbeitet hat, wird er unter der Leitung des Emergency Assessment Teams überarbeitet und für die Ausgabe fertiggestellt.

Durchführungsphase

Nachdem die Vorbereitungen abgeschlossen sind, wird das Angriffsteam wie versprochen die Simulationsumgebung mittels Near-Source, E-Mail-Phishing usw. angreifen, um den simulierten Ransomware-Virus einzuschleusen und ihn zu einem bestimmten Zeitpunkt zu verbreiten.

Während dieser Zeit wird das Verteidigungsteam die eingesetzten Sicherheitsgeräte zur Erkennung von Angriffen einsetzen. Nach dem Ausbruch des simulierten Virus tritt die Lösegeldübung formell in den Prozess der Notfallreaktion ein, und die Wirksamkeit des Sicherheitsniveaus und des Notfallplans wird in dieser Phase gründlich getestet.

Während der gesamten Durchführungsphase bewertet das Notfall-Bewertungsteam die Fähigkeiten der Verteidigung zur Notfallbewältigung und leitet die Verteidigung durch den Prozess der Notfallbewältigung; darüber hinaus sammelt und analysiert es Daten und Informationen aus der gesamten Übung.

Nachbereitungsphase

Auf der Grundlage der Ergebnisse und Daten der Übung erstellen wir den Ransom-Drill-Angriffsbericht, den Ransom-Drill-Notfallreaktionsbericht und den Ransom-Drill-Zusammenfassungsbericht. Anhand der Berichte und Überprüfungssitzungen fassen wir die Wirksamkeit und den Wert der Ransom-Drill zusammen und bewerten sie, und wir nutzen die Ergebnisse und Daten als Leitfaden, um Verbesserungs- und Erweiterungsmaßnahmen für die Unternehmenssicherheit vorzuschlagen und die Sicherheitsverteidigungsarchitektur und -strategie des Unternehmens zu aktualisieren und zu verbessern.

IV. Effektivität der praktischen Übungen

Im Großen und Ganzen scheint es, dass sich unsere Denkweise in dieser praktischen Übung von "Ich glaube, ich kann" zu "Ich glaube, ich kann" geändert hat, und die Probleme, die im Rahmen der praktischen Übung aufgedeckt wurden, sind sehr umfassend.

1,Planung für den Fall der FälleIch glaube, ich kann

Der "theoretisch mögliche" Weg ist seit langem mit Tücken behaftet.

In der Vorbereitungsphase haben wir die Spezifikation für das Sicherheitsmanagement bei Lösegeldangriffen, das Notfallverfahren für Lösegeldangriffe, das Handbuch für den Notfallbetrieb bei Lösegeldangriffen, das vertikale Verteidigungsschema für Lösegeldangriffe formuliert und überarbeitet, ein Toolkit für die Notfallmaßnahmen bei Lösegeldangriffen erstellt und sogar die Sandbox-Probe im Voraus durchgeführt und den Probebericht für die Sandbox-Probe bei Lösegeldangriffen erstellt. Darüber hinaus muss erwähnt werden, dass es bei der Probe für einen Lösegeldangriff auch wichtig ist, die Kontrollierbarkeit der Proben zu bestätigen.

Normen, Programme, Prozesse, Handbücher, Toolkits sind jedoch nie gleichbedeutend mit Wirksamkeit, und manchmal haben sie auch gar nichts damit zu tun. Wie Erwachsene oft sagen, ist das in der Theorie in Ordnung, macht Sinn, aber nicht unbedingt in der Praxis.

2. sollteNotfallmanagementIch glaube, ich kann es.

In dieser Phase treten einige Probleme auf, aber zu diesem Zeitpunkt haben wir immer noch das Gefühl, dass es kein großes Problem ist":

Alarmumgehung. Es gibt viele Voraussetzungen für ein wirksames Sicherheitssystem, wie z. B. ein echtes Sicherheitssystem, abgedeckte Anlagen, aktualisierte Richtlinien, einsatzbereite Alarme, Online-Personal usw., aber bei dieser Übung gab es eindeutig eine Alarmumgehung.

Unsachgemäße Entsorgung. Notfalleinsätze kommen im Arbeitsalltag sehr selten vor, und es ist schwierig, praktische Erfahrungen zu sammeln. Aufgrund des Mangels an Erfahrung kann es zu einer sehr großen Diskrepanz zwischen Theorie und Praxis kommen. Zum Beispiel, wie man nach einem Netzwerkausfall aus der Ferne eine Fehlersuche durchführt.

Die Sperrung ist zu langsam. Der Prozess der Notfallsperrung erfordert die Koordinierung mehrerer Teams, und die minimale Nutzung des Kanals, sobald er eingerichtet ist, führt zu Problemen, wie z. B. Telefonanrufe und Urlaub der Mitarbeiter, wenn sie tatsächlich kontaktiert werden.

3,den Ursprung von etw. erforschenIch dachte, ich könnte es.

Es ist nicht beängstigend, angegriffen zu werden, sondern nicht in der Lage zu sein, die Quelle des Angriffs zu finden und nicht zu wissen, was mich angreift, ist am beängstigendsten. Die Probleme, die in der Phase des Aufspürens auftraten, sind ein Weckruf:

Kann nicht erkannt werden. Das Problem ergibt sich nach wie vor aus der praktischen Erfahrung: Wenn Ransomware-Angriffe den Schutz des Sicherheitssystems umgehen, muss das Sicherheitspersonal über hinreichend fundierte Kenntnisse über Ransomware und umfangreiche Erfahrungen bei der Reaktion auf Notfälle verfügen, um eine schnelle Fehlerbehebung durchführen zu können. Auch wenn die GPT-Anfrage einen Teil des Problems lösen kann, ist die Wirkung begrenzt.

Unvollständige Sammlung von Beweisen. Eine unsachgemäße Entsorgung kann zum Verlust kritischer Proben, Prozesse und Beweise führen, und das Verhalten der Proben sollte zeitnah nach der Probenentnahme analysiert werden. Gleichzeitig ist die Forensik ein großer Test für die Linux- und Windows-Kenntnisse des Sicherheitspersonals. Unsachgemäße forensische Operationen wie: direkt lassen Sie den Benutzer herunterfahren, neu starten, kann nicht mit ihrem eigenen Versagen zu leihen Dritten Fähigkeiten in einer fristgerechten Weise.

Eine Wiederherstellung ist nicht möglich. Ein Backup ist die effektivste Methode, um Lösegeldangriffen zu begegnen, denn sonst können Sie die Datei nur selbst entschlüsseln, Sicherheitsanbieter um Hilfe bitten oder Lösegeld an die Angreifer zahlen. Manchmal werden Sicherungskopien jedoch nicht rechtzeitig erstellt, und die Sicherungskopien können verschlüsselt werden.

V. Zusammenfassung und Ausblick

Der Nutzen der praktischen Übung war umfassend und erfüllte letztlich weitgehend die Erwartungen.

1, keine Praxis der Theorie ist nicht anders als Altpapier

Es ist unmöglich, sich einen Gesamtüberblick zu verschaffen, ohne eine vollständige Übung zu durchlaufen. Ein unbewiesener Notfallplan ist ein Fetzen Papier. Menschen, die nicht wirklich vom Schlag getroffen wurden, können die Mentalität nicht wirklich auf Null stellen, aber auch nicht die inhärente Erkenntnis brechen. Do Sicherheit, um eine leere Tasse Mentalität zu halten, Praxis erste Theorie zu folgen. Keine Untersuchung hat kein Recht zu sprechen, und Untersuchung ist Praxis.

2. ohne regelmäßiges Üben ist es schwierig zu bestehen

Einmal machen kann nur das Problem des Nichtverstehens lösen, dreimal kann nur das Problem des Nichtwollens lösen, zehnmal kann das Problem des Könnens lösen, und hundertmal das Problem des Könnens lösen. Halten Sie sich an die reale Schlacht Übung, halten Sie sich an die Überprüfung Zusammenfassung. Reale Konfrontation mit realen Szenarien, um wirklich die Schlacht zu gewinnen.

Quellenangabe:

https://mp.weixin.qq.com/s/yHJhWBpMj4vd-3XNHzcrtA