勒索软件防御实战:思科Talos事件响应经验分享

思科Talos事件响应团队通过分析两年半的预勒索事件数据,总结出快速响应、EDR警报处理、安全配置等关键防御措施,帮助企业构建有效的勒索软件防护体系。

勒索软件防御实战:思科Talos事件响应经验分享

在过去两年半(2023年1月至2025年6月),思科Talos事件响应团队处理了多起被归类为预勒索软件事件的事件。Talos回顾分析了在这些预勒索事件中阻止勒索软件部署的关键安全措施,发现最重要的两个因素是:快速与事件响应团队合作,以及迅速处理安全解决方案的警报(主要在警报发出后两小时内)。

预勒索事件的特征

Talos IR将特定的对手行为与预勒索活动联系起来。当威胁行为者试图获取企业级域管理员访问权限时,他们通常会进行一系列账户转换和升级,部署命令与控制(C2)或其他远程访问解决方案,收集凭据和/或部署自动化来执行操作系统修改。尽管攻击链中的具体工具或元素因对手而异,但Talos IR多年来在实践中观察到这些相同的经典步骤。

阻止勒索软件部署的关键安全措施

快速与Talos IR合作

在首次观察到对手活动后一到两天内与Talos IR合作(尽管我们建议尽可能快速合作)被认为在大约三分之一的事件中阻止了更严重的勒索软件攻击,提供了以下好处:

  • 对威胁态势的广泛了解
  • 隔离和修复的可操作建议
  • 增强的监控能力

EDR/MDR警报促使安全团队快速遏制

对安全解决方案和日志的警惕监控使网络管理员能够在首次检测到威胁时快速采取行动,隔离恶意活动并切断威胁行为者升级攻击的能力。在我们的案例研究中,安全团队在组织EDR或托管检测与响应(MDR)解决方案发出警报后两小时内采取行动,在近三分之一的事件中成功隔离了威胁。

美国政府和其他合作伙伴关于勒索软件准备的通知

在近15%的事件中,目标组织能够通过美国政府部门合作伙伴及其托管服务提供商(MSP)代表关于其环境中可能存在勒索软件准备的通知而领先于对其环境的威胁。

配置为阻止和隔离恶意活动的安全解决方案

在超过10%的Talos IR事件中,客户的安全解决方案主动阻止和/或隔离了恶意可执行文件,有效地阻止了对手的攻击链。

强大的安全限制阻止了对关键资源的访问

根据我们的分析,组织强大的安全限制在9%的事件中阻止了勒索软件行为者的攻击链。

最常观察到的预勒索指标

根据MITRE ATT&CK框架对本案例研究中观察到的TTP进行分类后,Talos发现以下是最常观察到的:

  • 远程服务:Talos IR经常看到对手利用RDP、PsExec和PowerShell等远程服务
  • 远程访问软件:经常看到的远程访问软件包括AnyDesk、Atera、Microsoft Quick Assist和Splashtop
  • 操作系统凭据转储:最常观察到的凭据转储技术/位置包括域控制器注册表、SAM注册表配置单元、AD Explorer、LSASS和NTDS.DIT

观察到的安全差距和常见Talos IR建议

Talos IR在每起事件中为客户制定安全建议,包括:

  • 将所有操作系统和软件补丁更新至最新
  • 将备份离线存储
  • 配置安全解决方案仅允许已验证的良性应用程序启动
  • 在所有关键服务上要求MFA
  • 部署Sysmon以增强端点可见性和日志记录
  • 实施有意义的防火墙规则
  • 实施强大的网络分段
  • 建立或加强关于社会工程策略的最终用户网络安全培训
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次