虹科分享|关于SANS报告的顶级勒索软件洞察

news2025/1/15 16:44:07

近年来,勒索软件攻击经历了大流行加速的演变,而防御系统则难以跟上。勒索软件的第一阶段已经让位于新的、不同的、更好的和更坏的东西。为了帮助理解这一演变,Morphisec赞助了一份来自SANS的报告,探索勒索软件防御的现状。它研究了潜伏在攻击版图中的最新对手趋势,以及对它们最有力的防御。

该报告证实,勒索软件仍然是一种毁灭性的威胁,使每个组织都处于危险之中。但这份报告也带来了希望:有了正确的团队、技术和技巧,勒索软件是可以避免的。

在这篇博客中,我们强调了SANS报告中的一些要点。然后,我们为那些认真防范勒索软件的公司提出切实可行的下一步措施。

勒索软件攻击的新趋势

事实证明,新冠肺炎大流行的条件是勒索软件攻击的完美温床。公司突然转向新的地点、技术和安全策略,同时将更多工作转移到网络和云。作为回应,勒索软件攻击变得更加频繁、成功和毁灭性。威胁参与者采用了新的和更新的技术、战术和程序(TTP)来帮助恶意软件逃避检测并绕过防御,包括以下内容。

情报收集

攻击者“浏览”目标以获取侦察信息,从而使他们的攻击成为可能,或者鼓励他们索要赎金。知道在组织内部何处以及如何横向移动,可以使最终的攻击更有可能成功并交付(或超过)预期的收益。但如果攻击者遇到路障或情况与威胁行动者的情报计划不匹配,这也可以对防御者有利。

竞赛心态

当新的漏洞被发现时,它会引发一场竞赛,一方面将它们武器化,另一方面进行防御。攻击者通常获胜是因为开发和实施补丁所需的时间--通常是几周或几个月--而一次攻击只需要几分钟。威胁参与者的速度优势加强了防御的必要性,以阻止攻击链中更早出现的新威胁。广泛使用的基于行为和签名的防御措施,如下一代防病毒(NGAV)和终端检测和响应(EDR),正在努力应对未知和逃避的威胁。

躲避攻击

为了逃避NGAV和EDR等检测解决方案,攻击者采用了无文件、内存中、运行时攻击,并在到达最终目标的途中利用本地二进制文件进行攻击。防止勒索软件依赖于及早发现并应对攻击。因此,回避让攻击变得极其难以阻止。SANS的报告指出,传统的防御措施,如基于磁盘的文件分析,不能胜任这项任务。

流网 VS 捕鱼

许多恶意软件攻击撒下了一张大网。他们的目标不是特定的实体,而是使用自动化来尝试并瞄准尽可能广泛的目标。自动化的一个成功例子是最近勒索软件集团与银行家特洛伊木马下载器合作的小趋势。然而,如今成功的勒索软件攻击越来越多地是手动的和高度针对性的。这使他们能够快速适应组织并定制他们的攻击--带来毁灭性的后果。

勒索软件防御的最新技术

勒索软件攻击的演变迫使防御前线取得进展。因此,尽管这些攻击的破坏性比以往任何时候都要大,但它们并不总是带来不可避免的网络紧急情况。SANS报告强调了几种可用的应对勒索软件攻击的对策。

防止远程访问滥用

黑客利用远程访问进入网络,在许多情况下,还利用横向移动和找到高价值目标的特权。防止远程访问滥用需要多层安全措施。外部的VPN和MFA、用于发现和阻止传入威胁的EDR和NDR工具,以及用于保护外部空间的纵深防御或零信任策略。自从COVID强制远程工作出现以来,远程访问滥用激增。防止这种滥用的关键是实施深度防御方法。您应该始终假设任何给定的防御层最终都可以被穿透,因此您需要最后一层防御层来保护您的终端应用程序内存和资源。勒索软件攻击可以而且确实穿透了许多级别的安全。这就是为什么网络防御正在扩展到边界之外,以应对特定的应用程序。

防止无文件恶意软件

大多数当前的安全解决方案不是为检测或阻止无文件恶意软件而设计的。这就是勒索软件使用这种攻击方法以及本机二进制利用的原因。在加密发生之前,很难检测到渗透到网络并向前推进而不发出警报的攻击--但并非不可能。与其寻找传统的危险信号,不如考虑监视本机系统文件中的异常行为,并寻找由对手C2通信创建的独特模式。更广泛地说,纳入专门防止无文件攻击的安全解决方案。你不想仅仅依靠安全团队的勤奋来发现和阻止躲避的威胁。

迈向成功的勒索软件策略

SANS报告强调了有效防御高级勒索软件威胁的新技术和新兴技术。无论是作为独立的解决方案,还是作为集成的深度防御安全态势的一部分,所有公司都应该在其武器库中拥有这些安全堆栈。

加密流量分析(ETA)

攻击者正在加密他们的网络流量,以隐藏他们的移动,使其不被检测工具发现。ETA可以搜索该流量留下的未加密的元数据签名,以找到攻击的证据。另一种选择是依靠安全解决方案来防御攻击,而不必事先检测到攻击。

移动目标防御(MTD)

这项创新技术通过变形和移动参与者期望找到的预期内存资源威胁来防止攻击。MTD可以防御攻击,而不必首先检测到它们--对于高级、未知的攻击来说,这是一个很大的优势。由于受保护的资产只有授权用户才能访问,并且始终处于活动状态,其他所有用户都无法访问,因此,无论是先前已知的攻击还是全新的攻击,所有攻击都会失败。MTD创造了一个玩家无法穿透的动态攻击面威胁,所以他们转移到更容易的目标上。

AI事件聚合、关联和入侵防御

自动化可以越来越多地在网络安全的各个方面运行,从关联和检测事件到运行补救行动手册。自动化总是比人类做同样的事情走得更快、更有条理。这对网络安全来说是个好消息,因为它允许精简、资源不足的安全团队产生远远超出其员工规模的影响。换句话说,每个人都可以抵抗勒索软件。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/124697.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

从Pearson相关系数到模板匹配的NCC方法

文章目录<center> NCC(Normalized Cross Correlation)1.**Pearson相关系数**2.**协方差 covariance**3. **方差 variance**4.模板匹配中的NCC方法5.实现过程6.测试结果7.部分核心源码NCC.cppNCC(Normalized Cross Correlation)从Pearson相关系数到模板匹配的NCC方法 1.P…

HTML5 本地存储

文章目录HTML5 本地存储Cookie的缺点localStorage简介简单使用sessionStorage简介简单使用indexedDB简介HTML5 本地存储 Cookie的缺点 在HTML4.01中&#xff0c;想要在浏览器端存储用户的某些数据时&#xff0c;我们一般只能使用Cookie来实现。 但是Cookie存在一些问题&…

如何进行企业设备管理?

如何进行企业设备管理&#xff1f; 点进这篇文章&#xff0c;让企业设备管理不再 难 难 难 &#xff01; 对于许多公司来说&#xff0c;特别是制造业&#xff0c;生产设备已成为企业生产线中最重要最核心的部分&#xff0c;因此设备管理是企业管理基础的重要组成部分。而在当…

mysql-基础-约束多表关系多表查询事务

文章目录mysql基础1&#xff0c;约束1.1 概念1.2 分类1.3 非空约束1.4 唯一约束1.5 主键约束1.6 默认约束1.7 约束练习1.8 外键约束1.8.1 概述1.8.2 语法1.8.3 练习2&#xff0c;数据库设计2.1 数据库设计简介2.2 表关系(一对多)2.3 表关系(多对多)2.4 表关系(一对一)2.5 数据库…

刘鹏的2022年度总结

[ 这是 2022 博客之星 的竞选帖子&#xff0c; 请你在这里增加其他内容。接下来分享这一年的收获&#xff0c;感悟&#xff0c;以及 对CSDN 产品的反馈和 2023 年的希望。 ] 目录 1. 学习收获 1.1 心路历程 1.2 基本收支 2. 未来展望 2.1 UR3机械臂ROS 2.2 论文 2.3 开…

电线电缆行业mes解决方案,打造全新信息化车间

电线电缆行业虽然只是一个配套行业&#xff0c;却占据着中国电工行业1/4的产值。它产品种类众多&#xff0c;应用范围十分广泛&#xff0c;涉及到电力、建筑、通信&#xff0c;制造等行业&#xff0c;与国民经济的各个部门都密切相关。电线电续还被称为国民经济的“动脉”与“神…

STM32理论 —— 看门狗

文章目录1. 简述2. 独立看门狗 IWDG2.1 IWDG 相关寄存器2.1.1 键值寄存器IWDG_KR2.1.2 预分频寄存器IWDG_PR与重装载寄存器IWDG_RLR2.2 核心代码1. 简述 STM32 内部自带了 2 个看门狗&#xff1a;独立看门狗&#xff08;IWDG&#xff09;和窗口看门狗&#xff08;WWDG&#xff…

5. 最长回文子串

题目描述 给你一个字符串 s&#xff0c;找到 s 中最长的回文子串。 如果字符串的反序与原始字符串相同&#xff0c;则该字符串称为回文字符串。 示例 1&#xff1a; 输入&#xff1a;s “babad” 输出&#xff1a;“bab” 解释&#xff1a;“aba” 同样是符合题意的答案。 示…

Redis集群系列四 —— 哨兵集群搭建

准备实例和配置 搭建一个三节点的 Sentinel 集群&#xff0c;来监管之前的 Redis 主从集群&#xff0c;如图&#xff1a; 参考上述配置&#xff0c;分别复制 redis 下的 sentinel.conf 文件&#xff0c;如图&#xff1a; 文件中除端口外&#xff0c;其它配置都是一样的。 启动…

路由与交换期末复习整理

一、前言 本文是对前期在校内学习路由与交换课程时对相关知识点的整理&#xff0c;供期末复习参考。 二、选择题知识点 1. 启动配置保存的位置 NVRAM 2. 路由器的功能 网络连接功能、&#xff08;数据处理&#xff09;和设备管理功能。 3. 打开路由器接口的命令 int加接口…

骨骼与绑定

文章目录Blender里的三种绑定.主从绑定.进行物体绑定.进行顶点绑定.解除绑定.保持变换.无反向.进行晶格绑定.约束.变换约束.复制位置.复制旋转.复制缩放.限定距离.限定位置&#xff0c;限定旋转&#xff0c;限定缩放.维持体积.变换.追踪约束.钳制到.阻尼追踪.锁定追踪.拉伸到.标…

【Go基础】初识Go语言

文章目录1. 开发环境搭建2. 第一个Go程序3. Go命令介绍1. 开发环境搭建 在 https://studygolang.com/dl 上下载需要的Go稳定版本&#xff0c;这里我选择的是17.5的版本对于Windows和macOS用户&#xff0c;直接双击即可安装&#xff0c;留意一下安装路径&#xff1b;对于Linux用…

loop为true, slidesPerView为多个的时候,swiper精准获取激活的索引

效果图如下&#xff1a; 重点代码如下&#xff1a; <script>var swiper new Swiper(.swiper-container, {slidesPerView: 3, //显示几个slidespaceBetween: 30, //slide之间的间距centeredSlides: true,loop: true, //开启循环滚动initialSlide: 0, //默认就是0p…

多目标跟踪

目录 多目标跟踪定义&#xff1a; 多目标跟踪分类 多目标跟踪难点分析 多目标跟踪数据集 多目标跟踪评价指标 多目标跟踪定义&#xff1a; 多目标跟踪旨在将视频序列中感兴趣的目标检测出来&#xff0c;并赋予每个目标单独的编号&#xff0c;在整个序列中形成目标的轨迹。 …

BindingException异常的产生原因及解决过程详解

一. 问题背景 今天我在讲完MyBatis后&#xff0c;学生在进行代码练习时遇到了下面这样的一个异常&#xff0c;先上图&#xff1a; 二. 问题分析 1.原因分析 首先我们看到&#xff0c;这里抛出的异常是org.apache.ibatis.binding.BindingException&#xff0c;接着再看异常的…

如何提高外贸客户回复率

业务员接到的每一笔订单都是客户对他的信任&#xff0c;所以合作的前提是信任。如何让客户信任我们或者快速信任我们&#xff0c;尤为关键。 如何提高客户的回复率&#xff0c;米贸搜整理如下: 1.及时回复: 无论是客户发来的询盘还是网上咨询&#xff0c;都要尽快回复客户&am…

Uber应用分享 | 使用 Parquet Page Index 加速 Presto 查询

当前&#xff0c;数据量呈快速增长态势&#xff0c;给诸如 Presto 等查询引擎带来了挑战。Presto 作为一种流行的交互式查询引擎&#xff0c;具有可扩展、高性能并可与 Hadoop 进行平滑集成的特性。随着数据量的增长&#xff0c;Presto 需要读取更大的数据块并将其加载到内存中…

CREAL:为什么光场+HOE是AR眼镜未来

利用光场显示技术&#xff0c;CREAL曾展示出可自然变焦的3D显示效果。为了验证该技术在AR和VR场景的应用&#xff0c;该公司分别打造了两款头显原型。头显对于VR来讲比较常见&#xff0c;但对于AR来讲&#xff0c;眼镜形态才是未来的发展方向。因此&#xff0c;为了缩减AR硬件的…

Unity_IL2CPP常见问题分析

Unity 打包il2cpp模式时的常见问题分析 Unity 编辑器模式下是采用.net 虚拟机解释执行.net 代码&#xff0c;发布的时候有两种模式&#xff0c;一种是mono虚拟机模式&#xff0c;一种是il2cpp模式。由于iOS AppStore规定不允许使用虚拟机&#xff0c;所以发布到iOS,Unity采用了…

推出Linux操作系统Inspur KOS,浪潮信息意欲何为?

2020年底&#xff0c;CentOS突然宣布CentOS7、8等系列版本停止维护的时间表&#xff0c;业界为之震动。 一直以来&#xff0c;Linux都是服务器操作系统市场的顶流支柱。CentOS发行版生命周期的突然变动&#xff0c; 不仅促使很多行业用户思考&#xff1a;“CentOS停止维护之后…