利用威胁情报灵活应对勒索软件威胁

如今勒索软件猖獗。你可以在任何时候从众多网络安全新闻中了解到一起成功攻击或新的恶意软件变种的报导。

Proofpoint 发布的研究报告(State of the Phish-2023 文末可下载报告) 的调查数据显示，2022年，76%的组织经历过勒索软件攻击未遂事件，64%的组织直接遭到破坏。因此，勒索软件已成为安全和IT团队在制定威胁情报策略时的头号痛点。

但是，如何从战略走向落地，从认为“我们需要使用威胁情报来帮助我们阻止勒索软件攻击”到实现这一目标？

组织开始意识到威胁不可避免，安全运营中心(SOC)被组织接受并成为实践安全检测和威胁响应工作的组织。关键目标是先降低风险，越早越清晰地了解威胁参与者——他们的动机、目标和方法——就能更有效地减少风险。然而，当Mandiant全球威胁情报展望报告(Global Perspectives on Threat Intelligence-2023 文末可下载报告)显示只有35%的受访者表示他们对不同的威胁组及其工具、技术和程序 (TTP) 有全面的了解时，我们就发现了落地的艰难。

应对勒索软件的关键，是在有效负载运行之前进行检测活动。 因为在那之后，可能为时已晚，这就是威胁情报变得如此重要的原因。因此，组织需要了解外部发生的事情，以便更好地预测和保护内部。组织需要有效的分析数据以预测这类攻击，如果攻击正在进行，则根据该情报采取行动，在威胁参与者执行有效负载之前主动阻止他们。

预测勒索软件攻击：将各种来源的外部威胁数据放入中央存储库来帮助分析威胁形势，以确定勒索软件的攻击走势，这样可以查明环境上下文中的相关数据。通用威胁数据，包括每天使用的防御措施中获得的签名更新——防火墙、入侵检测和预防工具、防病毒、Web 和电子邮件网关、端点检测和响应解决方案——以及开源情报来源。

但要真正了解可能使用勒索软件攻击组织的威胁执行者，还需要查看来源以获取更明确的数据。幸运的是国家/政府计算机应急响应小组 (CERT) 和按行业组织的信息共享和分析中心 (ISAC) 提供的地理位置和行业关键数据。此外，商业上可用的威胁源以及MITRE ATT&CK等工具和框架提供了关于对手、他们的目标和他们的TTP的更多细节。 随着供应链攻击的兴起，在生态系统中包含基于第三方的威胁数据也很重要，对手可能会积极瞄准这些数据，并可能将其用作窃入组织的途径。

将所有数据汇总到一个中央存储库后，根据风险状况、安全基础设施和运营环境设置的参数自动确定优先级。以主动的角度利用威胁情报来预测攻击并通过确定特定补丁的优先级、引入补偿控制、更新某些配置和进行安全意识培训等步骤来降低风险。随着新数据和知识被添加到存储库中，可重新确定修补的优先级并更新设置和策略。

在恶意软件或代码执行之前行动：假设勒索软件活动已经在进行中，仍然有机会在数据被泄露和系统被锁定之前领先于它。但是需要迅速采取行动，将外部情报与来自安全基础设施的内部威胁和事件数据相关联，以了解攻击是否正在进行、威胁参与者当前在杀伤链中的哪个位置运行以及接下来会发生什么。

一旦看到来自用户帐户的异常活动或来自通常不与之开展业务的国家/地区的 IP 地址等指标，就需要更全面地了解正在发生的事情。可以通过查看外部威胁情报以确认或反驳恶意活动，以及可疑IP地址与特定的勒索软件活动相关联的情况。深入挖掘其他威胁情报来源，可以更多地了解攻击者、行为和使用的策略。当观察整个环境中正在发生的事情并将内部和外部数据关联起来以全面了解正在发生什么时，可以快速确定该活动是否是勒索软件活动的一部分，以及该活动将如何展开。借助与安全基础架构中的多个系统集成的平台，可在有效负载执行之前做出响应。

鉴于勒索软件在过去几年中造成的严重影响，以及这些类型的攻击并未放缓的迹象，寻求威胁情报的帮助是有意义的。有价值的外部和内部数据随时可用。当与加速分析和行动的能力相结合时，组织能够快速从意图转变为行动。

*原文链接（需要借助VPN）：https://www.securityweek.com/using-threat-intelligence-to-get-smarter-about-ransomware/

*本文由雷石安全实验室译制，内容仅供参考！欠缺、错误之处欢迎予以指导！