勒索软件攻击模拟和演练重难点及应对指南

2017WannaCry勒索软件大爆发以来,到近期的某知名大行被勒索事件,各企业已充分认识到防御勒索软件的重要性。

国家及各监管单位也出台了各类文件要求各组织做好勒索软件攻击演练与防御有效性验证。在实际演练工作中,组织往往会面临一些难点,以至于响应的演练与验证效果达不到预期。

 

▌难点:真实性和ROI是最大的挑战

  1. 常规的勒索软件演练需要大量人工介入,难以自动化快速完成; 

  2. 缺乏各种勒索软件团伙真实攻击过程的收集,难以模仿真实勒索攻击链条; 

  3. 缺乏获取真实样本以及策略、技术和程序(TTPs)的途径,而勒索软件团伙们还在不断推出新的TTP,下图是攻击某大行的LockBit3.0所采用的ATT&CK技术; 

  4. 要研究执行勒索软件,需要投入大量人力和时间,这对绝大多数企业来说都非常困难,并且投入产出也不成正比; 

  5. 难以保证真实系统的安全性,如果要执行真实的勒索软件攻击样本,则必须要考虑安全性问题; 

  6. 常规的勒索演练无法验证企业被攻击后各种备份及应急响应真实的恢复效果。 

▌当前常规勒索演练的主要特点

 

基于以上勒索演练的难点,可以总结出如今大多数勒索演练的共性:

 

  1. 以测试防病毒软件查杀能力和数据备份的恢复能力为主; 

  2. 以演练相关人员的事后处置能力为辅; 

  3. 演练勒索软件执行时只能在物理隔离的机器(笔记本、服务器)中运行,脱离真实环境,影响安全软件的检测能力; 

  4. 大多数不关注勒索软件执行前的攻击过程,以及数据泄露行为与方式。
 

▌塞讯验证帮助您实现勒索软件演练升级

塞讯验证一直以利用真实自动化APT攻击场景来持续验证安全防御有效性的理念来进行安全验证,不仅对全球各类已命名的APT组织进行追踪与研究,同时也包含了对各勒索软件团伙的的追踪与研究。

▶ 剧本演绎:基于攻击生命全周期设计验证场景

 

每个勒索软件团伙的验证场景都以整个攻击链为逻辑进行设计,从初始访问(打点)到数据泄露以及加密执行与勒索。

 

可以让每个使用塞讯安全度量验证平台的企业/组织了解勒索软件攻击的真实面貌:应对勒索软件不只是需要防病毒软件和备份系统,而是需要整个安全防御体系(安全措施、流程、人员等)来协同作战。

 

▶ 真实执行:丰富的真实攻击样本和受保护的沙盘

塞讯安全实验室拥有业界突出的安全研究与APT组织追踪能力,其中勒索软件组织已追踪100+,相关攻击手段1000+,能够充分满足企业验证其针对勒索软件防御有效性的需求。

 

塞讯验证独有的受保护的沙盘可以保证用户在执行真实攻击样本时,现有环境不受任何影响,确保真实系统的安全性。

 

▶ 恢复和响应:验证多维度的安全水平

尽管勒索软件因其影响范围之广、损失之大而备受关注,但从宏观层面来讲,国家和各监管单位对各组织的安全能力要求,并不仅仅停留在能够验证勒索软件防御有效性方面,而是希望组织从各维度提升应对能力,比如备份的有效性和可恢复性、人员应对勒索的响应情况等。

 

塞讯验证支持在特殊情况下将所有的勒索软件在真实环境中运行,从而帮助组织验证备份恢复有效性的能力以及人员的真实响应能力。

 

解决当前勒索演练的难点与痛点,企业/组织就能够真正做到“知彼”也“知己”。

 

▌塞讯安全度量验证平台如何运作?

平台提供对现有安全产品的持续验证,包括防火墙、NGFW、WAF、Web和邮件安全网关(SWG和SEG)、IPS和DLP、防病毒、EDR等安全产品。

此外,平台还利用SIEM解决方案来根据模拟攻击验证日志记录和告警功能自动化展示匹配结果,减少人工投入。

对于检测到的安全防御短板,平台提供基于特定安全产品/厂商的独有报警签名和检测规则名称,帮助团队快速缓解风险。 

▶ 塞讯安全度量验证平台为您提供:

  • 完整杀伤链的攻击模拟 

  • 场景化一键验证或自定义验证 

  • 轻松的部署和管理 

  • 基于特定安全产品/厂商的缓解建议 

  • 单独定制的攻击场景 

  • 基于MITREATT&CK、攻杀链等框架的场景分类 

  • 丰富的可视化图表 

  • 支持SaaS和本地部署 

  • 持续更新的验证规则库:

     

包含13000+攻击手法,1600+攻击场景,300+威胁组织

 

其中勒索软件相关手法1000+,覆盖勒索软件团伙100+

 

塞讯安全实验室提供最新、最流行的威胁情报,确保您第一时间可以验证。

 

关注公众号“塞讯安全验证”,回复“勒索”获取完整版《勒索软件攻击模拟和演练指南》。