I. История вопроса
1. отечественные и зарубежныенападение с целью вымогательстваместность
Количество атак с целью получения выкупа продолжает оставаться высоким во всем мире. Визуализация суммы убытков от кибервыкупов представлена в отчете "Отдельные тенденции на международном рынке страхования киберответственности после возобновления ролловера 1 января 2022 года" винформационная безопасностьДоля общих страховых убытков растет, а структура убытков в отрасли радикально изменилась - с менее 301 TP3T в 2019 году до почти 801 TP3T в 2021 году.
Убытки от атак с выкупом в основном связаны с прерыванием бизнеса и выплатой выкупа,данные нарушенияТри аспекта. Согласно отчету IBM "The Cost of a Data Breach" за 2023 год, средняя мировая сумма выкупа составляет 1,7 млн долларов, средняя мировая стоимость прерывания бизнеса - 2,65 млн долларов, а средняя мировая стоимость утечки данных - 4,2 млн долларов.
Отечественных выкупных атак на предприятия не так уж и мало, но все предпочитают иметь дело с секретом и строго предотвращать утечку. В последние годы регуляторы банковской сферы и индустрии ценных бумаг выпустили требования и уведомления по предотвращению атак ransomware, а руководители компаний неоднократно подчеркивали необходимость хорошей защиты. Недавно мы получили более подробное руководство от регулятора.
2. Состояние индустрии атак на выкуп
Почему злоумышленники выбирают атаки с целью получения выкупа?
Во-первых, высокая награда и низкий риск: атаки с целью получения выкупа часто приносят высокую прибыль за короткий промежуток времени. Атаки с целью получения выкупа представляют собой относительно низкий риск по сравнению с другими формами киберпреступности. Использование криптовалют для выплаты выкупа позволяет эффективно избегать отслеживания финансовыми учреждениями и правоохранительными органами, что повышает вероятность того, что злоумышленники останутся безнаказанными.
Во-вторых, они широко нацелены и просты в реализации: атаки с целью выкупа имеют широкий спектр целей и могут быть направлены на отдельных пользователей, предприятия, медицинские организации, государственные учреждения и так далее. Для атак с целью выкупа обычно используются сложные инструменты ransomware, которые зачастую легко получить и использовать.
В-третьих, информация незаменима: для некоторых организаций и частных лиц их данные могут быть незаменимы, особенно если речь идет об уникальных правах на интеллектуальную собственность, информации о клиентах, данных исследований и т. д.
В-четвертых, отсутствие защиты: некоторые организации и частные лица не имеют эффективных стратегий резервного копирования изащита безопасностимеры, что делает их более уязвимыми для атак с целью получения выкупа.
3. Статус атак с целью выкупа в отрасли
Появление отечественных компанийинформационная безопасностьКогда инциденты происходят, большинство из них придерживаются стратегии блокирования новостей и устранения последствий. В результате случаи атак с целью выкупа редко попадают в публичную информацию, но о связанных с ними инцидентах часто можно услышать спорадически в кругах специалистов по безопасности. В результате, когда команда безопасности отчитывается перед руководителями компании, четких и подробных примеров практически нет, что не может благотворно повлиять на построение системы безопасности предприятия и развитие индустрии безопасности.
Например, ценную бумагу шантажировали в нерабочее время и избавлялись от нее 24 часа в сутки по выходным, чтобы завершить избавление до открытия рынка.
два,упражнение на местерассуждения
1. Сомнения и заблуждения перед лицом атак с целью получения выкупа
Некоторые из распространенных вопросов: может ли антивирус защитить от атак с целью выкупа? Могу ли я защититься от атаки с целью выкупа с помощью технического гуру? Могу ли я защититься от атак с выкупом, если у меня есть план действий на случай непредвиденных обстоятельств? Могу ли я защититься от атак с выкупом, если у меня есть "песочница"? Можно ли защититься от атак с целью выкупа с помощью комплексной системы защиты информационной безопасности?
Некоторые общие мнения, продолжать изучать образцы выкупных атак в терминале, чтобы убить вирус; использовать "четырехступенчатый подход", чтобы охватить шлюз, трафик, терминал, создание выкупных атак углубленной системы защиты; выкупные атаки является предпосылкой атаки, следует сосредоточиться на этом вопросе, сделать хорошую работу в плане действий в чрезвычайных ситуациях ... ...
Только когда происходит атака с выкупом, мы обнаруживаем, что никто не читает так называемую спецификацию, что план действий в чрезвычайных ситуациях не работает, что мы не можем вспомнить операционные процедуры, что никто не отвечает на звонки, что образцы обходят антивирус и что образцы могут обойтиEDRОказалось, что параметры команды не работают, оказалось, что блокировка сети не действует, оказалось, что мощность персонала такая-то, оказалось, что результат такой-то ......
2. Лучшие практики в условиях атак с целью получения выкупа
Некоторые соображения перед лицом атак с целью выкупа: компаниям необходимо сделать выбор, который подходит именно им, исходя из таких основных факторов, как регулирование, компания, бюджет, персонал и время. Что касается индустрии ценных бумаг, то в законодательстве есть четкие требования по предотвращению атак с целью получения выкупа, и ходят слухи о случаях инцидентов; в целом компании поддерживают устранение крупных рисков безопасности, бюджет не является большой проблемой, но персонал и время крайне дефицитны.
Несколько вариантов борьбы с ransomware: первый - просто лежать, второй - сформулировать атаку на выкупАварийного реагированияВ-третьих, разработать программу экстренного реагирования на атаки с целью выкупа и провести учения в "песочнице"; и, в-четвертых, разработать программу экстренного реагирования на атаки с целью выкупа и провести учения в реальных условиях.
Лучшая программа ROI заключается в том, что команда безопасности объединяет операции и обслуживание, исследования и разработки для участия в реальных учениях, но при этом уделяет внимание контролю рисков. Реальный бой всегда является наиболее эффективным и обоснованным методом, я считаю, что многие коллеги знают правило 721, 70% рост от реального боя.существоватьинформационная безопасностьЕсли что-то не пошло не так, это не значит, что результат был хорошим.Тот факт, что на вас не напали и вы не попали в беду, означает лишь, что вам повезло.То, что на него напали, но утилизировали должным образом, делает его по-настоящему хорошим.
Реальная практика с настоящим оружием - единственный способ создать настоящийвымогательствацельЛиния обороны.
III. Программа практических занятий
Взяв за основу "настоящий пистолет", мы следовали принципам реалистичности, управляемости и технологического прогресса, чтобы разработать и внедрить в жизнь максимально воспроизводимое упражнение по вымогательству.
1. Цели практического занятия
Атаки с выкупом - самый близкий к реальной ситуации, самый лучший результат и самый эффективный способ повысить боеспособность команды, но и самый сложный и дорогостоящий - это тоже неоспоримый факт. Поэтому, прежде чем приступить к планированию учений по выкупу, необходимо еще раз уточнить цели учений по выкупу. Мы сформулировали цели этого учения по вымогательству следующим образом:
-
-
-
Оцените эффективность мер по защите от выкупа и эффективность защиты на этом этапе;
-
Оценка истинного уровня реагирования команды безопасности на атаки с целью получения выкупа (это немного плавает на ежедневной основе);
-
Выявляйте риски безопасности, которые могут быть использованы для атак с целью получения выкупа, и своевременно устраняйте их;
-
Оцените возможности реагирования на чрезвычайные ситуации и устойчивость бизнеса перед лицом атак с целью получения выкупа;
-
Оценить работоспособность и эффективность программ экстренного реагирования на атаки с целью выкупа;
-
Повышение осведомленности сотрудников компании о безопасности атак с целью получения выкупа.
-
-
2. Принципы проведения практических занятий
Технологический прогресс.Для того чтобы максимально усилить эффект от реальных учений, в учениях по атакам на выкуп используются реальные банды вымогателей в качестве воображаемых врагов, что позволяет оценить реальные возможности защиты от атак на выкуп. Мы стараемся использовать реальные методы и образцы атак на выкуп, применяем метод вторжения, сочетающий ручные и автоматические инструменты, используем форму доставки социального работника, а образцы обладают сильной антикиллинговой способностью.
3. Процесс практических занятий
Разработайте план проведения учебной атаки с целью получения выкупа, разделив весь процесс на четыре этапа: планирование, подготовка, проведение и завершение:
этап планирования
На этом этапе мы начинаем с определения целей упражнения и достижения консенсуса со всеми участвующими сторонами;
Второй шаг - оценка состояния безопасности на основе существующих сегментов активов, топологии сети, а также расположения и охвата развернутых продуктов безопасности, благодаря чему мы должны получить общее представление о слабых местах и уровнях безопасности во всей сетевой архитектуре, что поможет в последующей разработке планов действий на случай непредвиденных обстоятельств;
Исходя из этого, необходимо определить время проведения учений, определить масштаб проводимых учений, таких как офисная зона, тестовая зона и т.д. с целью проведения учений, разработать сценарий учений, а также изначально определить TTP атакующего;
Затем следует подтверждение персонала и ресурсов. Необходимо создать командный отдел для учений, включающий группу атаки и оценки, группу защиты и группу планирования ресурсов, а также подтвердить персонал, в том числе определить, следует ли привлекать "инсайдеров", "актеров" и так далее. Подтверждение ресурсов для учений должно быть столь же подробным, как и то, какие сегменты сети и активы доступны для использования.
В конечном итоге план упражнений и временные точки попадают в исполняемую форму.
подготовительный этап
На этом этапе мы делимся на две группы: атакующую, чья основная задача - подготовиться к успешной атаке и при этом идеально контролировать риски, и защищающуюся, которой необходимо разработать планы действий на случай непредвиденных обстоятельств.
В первую очередь атакующему необходимо создать имитационную среду, в итоге мы получаем комбинацию виртуальных и реальных терминалов, которые подходят для создания виртуальной среды, необходимой для учений, но также сохраняют часть реальной среды, могут имитировать процесс вторжения вымогателей и процесс экстренного реагирования подразделений филиала, но также способны педалировать эффект от учений, чтобы обеспечить бесперебойное выполнение различных фаз процесса. Во-вторых, соответствующие инструменты и методы атаки готовятся в соответствии с ТТП этапа планирования, а эффективность и управляемость симулированных вирусов должны быть проверены. В то же время, принимая во внимание управляемость и визуализацию темпа репетиции, необходимо развернуть и протестировать платформу поддержки, чтобы реализовать размещение и очистку вирусов одним ключом, а также отображение эффекта в реальном времени в процессе репетиции; через весь этап подготовки проходит контроль рисков, включая контроль симулированных вирусов, безопасность персонала репетиции, управление белым списком репетиции и другие механизмы. механизмы управления и ведения белых списков.
После того как защита разработает план действий в чрезвычайной ситуации, он будет пересмотрен под руководством группы по оценке чрезвычайных ситуаций и доработан для выпуска.
Этап реализации
После завершения подготовки атакующая команда, как и было обещано, атакует репетиционную симуляционную среду с помощью near-source, фишинга электронной почты и т. д., чтобы доставить имитированный вирус ransomware и начать его распространение в заранее оговоренное время.
В этот период команда защиты будет использовать развернутые устройства безопасности для обнаружения атак. После вспышки имитируемого вируса учения по выкупу официально переходят в процесс реагирования на чрезвычайные ситуации, и эффективность уровня безопасности и плана реагирования на чрезвычайные ситуации на этом этапе будет тщательно проверена.
На протяжении всего этапа выполнения группа по оценке чрезвычайных ситуаций оценивает возможности обороны по реагированию на чрезвычайные ситуации и руководит процессом реагирования на чрезвычайные ситуации, а также собирает и анализирует данные и информацию, полученные в ходе всего учения.
Завершающий этап
На основе результатов и данных учений мы подготовим отчет об атаке в рамках учения "Выкуп", отчет об экстренном реагировании в рамках учения "Выкуп" и сводный отчет об учениях "Выкуп". С помощью отчетов и обзорных сессий мы подведем итоги и оценим эффективность и ценность учения "Выкуп", а также используем результаты и данные в качестве руководства для разработки мер по улучшению и повышению безопасности предприятия, а также для обновления и совершенствования архитектуры и стратегии защиты безопасности предприятия.
IV. Эффективность практических занятий
В целом, кажется, что наше мышление изменилось с "я думаю, что смогу" на "я думаю, что смогу" в ходе этого практического занятия, а проблемы, выявленные в ходе практического занятия, очень обширны.
1,Планирование на случай непредвиденных обстоятельствДумаю, я могу
Путь "теоретически возможного" уже давно усеян подводными камнями.
На этапе подготовки мы сформулировали и пересмотрели спецификацию управления безопасностью атаки с выкупом, процедуру реагирования на чрезвычайные ситуации с выкупом, руководство по работе с чрезвычайными ситуациями с выкупом, схему вертикальной защиты от атаки с выкупом, подготовили набор инструментов для реагирования на чрезвычайные ситуации с выкупом и даже провели предварительную репетицию в песочнице, а также подготовили отчет о репетиции в песочнице с выкупом. Кроме того, необходимо отметить, что в ходе репетиции выкупной атаки важно подтвердить управляемость образцов.
Однако нормы, программы, процессы, руководства, наборы инструментов никогда не равны эффективности, а иногда и вовсе не имеют к ней никакого отношения. Как часто говорят взрослые, в теории все хорошо, в этом есть смысл, но не всегда на практике.
2. Следуетуправление чрезвычайными ситуациямиДумаю, смогу.
На этом этапе начинают появляться некоторые проблемы, но на данный момент мы все еще чувствуем, что "это не большая проблема":
Обход сигнализации. Существует множество предпосылок для того, чтобы система безопасности была эффективной, например наличие реальной системы безопасности, охват активов, обновление политик, работа сигнализации, присутствие персонала в сети и т. д., но в данном упражнении имел место явный обход сигнализации.
Неправильная утилизация. В повседневной работе чрезвычайные ситуации возникают крайне редко, и практический опыт получить сложно. Из-за отсутствия опыта может возникнуть очень серьезное расхождение между теорией и практикой. Например, как удаленно устранить неполадки после сбоя в сети.
Блокирование происходит слишком медленно. Процесс экстренного блокирования требует координации действий нескольких команд, а минимальное использование канала после его создания приводит к таким проблемам, как телефонные звонки и уход сотрудников в отпуск, когда с ними действительно связываются.
3,выяснить происхождение чего-л.Я думал, что смогу
Быть атакованным не страшно; страшнее всего - не иметь возможности найти источник атаки и не знать, что именно на меня нападает. Проблемы, возникшие на этапе отслеживания, - это тревожный сигнал:
Невозможно обнаружить. Из практического опыта следует, что когда атаки с выкупом обходят защиту системы безопасности, необходимо, чтобы сотрудники службы безопасности обладали достаточно глубокими знаниями о ransomware и богатым опытом реагирования на чрезвычайные ситуации, чтобы быстро устранить неполадки. Хотя запрос GPT может частично решить проблему, эффект от него ограничен.
Неполный сбор доказательств. Неправильная утилизация может привести к потере критически важных образцов, процессов и доказательств, поэтому после получения образцов необходимо своевременно провести анализ их поведения. В то же время криминалистика является отличной проверкой навыков сотрудников службы безопасности Linux и Windows. Неправильные криминалистические операции, такие как: непосредственно позволяют пользователю выключиться, перезагрузиться, не могут справиться с собственной неспособностью своевременно заимствовать сторонние возможности.
Восстановление невозможно. Резервные копии - самый эффективный способ борьбы с атаками с целью получения выкупа, иначе вы можете только расшифровать их самостоятельно, или обратиться за помощью к поставщикам систем безопасности, или заплатить выкуп злоумышленникам. Однако иногда резервные копии не создаются вовремя, и резервные копии могут быть зашифрованы.
V. Резюме и перспективы
Результаты практического занятия были всеобъемлющими и в конечном итоге полностью оправдали ожидания.
1, Никакая практика теории не отличается от макулатуры
Невозможно получить глобальное представление, не пройдя через все учения. Непроверенный план действий на случай непредвиденных обстоятельств - это клочок бумаги. У людей, которые не были по-настоящему поражены ударом, менталитет не может быть по-настоящему нулевым, но и не может сломать присущее им познание. Занимайтесь безопасностью, чтобы сохранить менталитет пустой чашки, практикуйте сначала теорию, чтобы следовать за ней. Никакое расследование не имеет права говорить, а расследование - это практика.
2. Трудно сдать экзамен без регулярной практики
Один раз можно решить только проблему непонимания, три раза можно решить только проблему нежелания, десять раз можно решить проблему мастерства, а сто раз решить проблему мастерства. Придерживайтесь реальных боевых упражнений, придерживайтесь обзорного конспекта. Реальное противостояние с реальными сценариями для того, чтобы действительно выиграть битву.
Ссылка на источник:
https://mp.weixin.qq.com/s/yHJhWBpMj4vd-3XNHzcrtA
Эта статья взята из материалов, не представляет позицию директора по безопасности, при воспроизведении просьба указывать источник: https://cncso.com/ru/ransomware-attack-practical-exercise.html.