AI 时代的勒索软件准备 ： 9 种面向未来的防御策略

勒索软件就绪 AI时代： 9种未来防御策略 随着人工智能驱动的勒索软件变得司空见惯，你的组织会做好准备吗？ 这已经不是什么秘密：勒索软件攻击的频率和复杂程度都在大幅增长。到2028年，全球网络犯罪的成本预计将达到13.8万亿美元的新峰值，比2023年增长69%。1这只是前期数字-损失的业务在勒索软件损失中占了数百万美元。 随着技术的发展，不良行为者是最早采用进步的人之一。因此，在最近的AI热潮之后，现在是时候为AI驱动的网络威胁的增加做准备了。 继续阅读，了解AI有望如何改变现代威胁，并发现AI驱动的勒索软件准备的九种最佳实践。 评估和增强防御能力：获取勒索软件准备情况记分卡。 Insight的勒索软件准备情况记分卡将帮助您确定公司威胁档案的性质，评估您的网络安全状况，并为您提供降低风险和提高安全性的建议。 了解更多 勒索软件已经造成了严重破坏。 平均赎金 付款增加： 2022年Q1： $212,000 2023年 Q1: 2023年Q2： $740,0002 顶级勒索软件 按行业划分的目标： Education Construction& 财产 中央和联邦 政府3 24天 每次攻击的平均停机时间 73% 世界各地的组织已支付 赎金来恢复数据2023年。5 4 CHAPTER1 了解威胁情况 AI已成为我们生活方式不可或缺的一部分。尽管我们认为理所当然的许多技术都嵌入了AI和机器学习 （ML），但大型语言模型（LLM）和生成AI平台（例如OpenAI的ChatGPT）的最新AI 开发已将AI定位在新的角度，使更广泛的用户群可以访问AI的力量。 第1章：理解威胁景观 人工智能可以让坏演员占上风。 绝大多数CISO（70％）担心生成AI会使网络攻击者比防御者更具优势。6这些担忧得到了证实：已经对利用生成AI进行勒索软件侦察和开发的组织采取行动。 英国国家网络安全中心（NCSC）报告说，虽然所有类型的网络威胁行为者都已经在某种程度上使用人工智能，但人工智能——尤其是生成式人工智能——几乎肯定会在未来几年增加网络攻击的数量和影响。7 网络钓鱼和其他形式的社会工程可能会产生最显着的影响，至少在勒索软件中AI的早期。由于网络钓鱼已经是勒索软件交付的第一大形式，因此尤其有望采用AI来增强网络钓鱼攻击，使其更可信，更难以检测。 生成的AI：增加脆弱性？ 75% 在过去的12个月里，安全专业人员目睹了攻击的增加。 85% 将这种上升归因于使用生成AI的坏演员。 46% 安全专业人员表示，生成AI将使组织更容易受到攻击。8 最大的感知威胁： 1隐私问题增加（39%） 2检测不到的网络钓鱼攻击增加（37%） 3攻击量和速度增加（33%）9 公司如何使用生成式AI进行网络安全12 35% 安全卫生和姿势管理分析和性能 27% 警报和事件的数据扩充 26% 内部通信 26% 分析数据源 25% 恶意软件分析 第1章：理解威胁景观 AI：同一枚硬币的两面 虽然人工智能驱动的威胁是真实的，但底线是： 相同的功能将使勒索软件对不良行为者更容易，相同的功能将使威胁检测和响应对防御者更有效。 人工智能因其能够帮助用户快速、大规模和高效地执行而受到赞誉。对于恶意行为者和网络安全专业人士来说都是如此。人工智能和生成人工智能已经被用于强大的安全姿态。 承认AI是现代安全团队的一部分 多年来，技能短缺一直困扰着网络安全领域，人手不足、负担过重的团队在面对警觉疲劳时难以保持高水平的控制。人工智能有望帮助批准这一问题：86%的CISO认为生成人工智能将缓解现有的安全团队技能差距和短缺。10 人工智能还将帮助提升安全人员的技能：安全领导者打算通过即时工程培训、生成人工智能威胁培训和建立协议来提高安全团队的技能，以确定适合于 AI驱动的机器人。11 CHAPTER2 勒索软件就绪的最佳实践清单 当涉及到安全漏洞时，问题是它何时会发生，而不是是否会发生。 对抗AI驱动的勒索软件的最可靠方法是为任何可能发生的事情做好准备。 以下是勒索软件准备的九种最佳做法，这些做法将有助于加强您组织的安全状况，并提高您不仅检测和响应勒索软件的能力，而且还可以在发生事件时快速恢复且影响最小的能力。 九种面向未来的防御策略 1 修补程序管理 确保软件、驱动程序和固件与新补丁程序版本保持最新，以降低漏洞风险并优化性能。三种最常见的补丁程序类型包括安全补丁程序 、错误修复和功能更新，所有这些都在您的网络安全态势中发挥着重要作用。 •网络扫描:每周执行一次扫描以检查漏洞，并根据关键程度/CVSS评分确定优先级。 •安全性:补丁程序管理可修复软件和应用程序中易受网络攻击的漏洞，从而帮助您的组织降低其安全风险。 •系统正常运行时间:补丁程序管理可确保您的软件和应用程序处于最新状态并平稳运行，从而支持持续的系统正常运行时间。 •合规性:鉴于网络攻击的频率越来越高，监管机构通常要求组织保持一定程度的合规性。补丁程序管理是遵守这些合规性标准的重要组成部分。 •功能改进：修补程序管理可以扩展到软件错误修复之外，还可以包括对特性和功能的更新。修补程序对于确保您可以访问最新和最优秀的产品至关重要。 第2章：随机MWAREREADINESS的最佳实践检查表 2 员工教育 有关网络安全卫生和网络钓鱼尝试的培训可以帮助最大限度地减少安全风险中固有的人为因素。 •定期培训员工关于网络安全攻击媒介。 •Educate安全使用可移动介质（例如USB）。 •提供指导识别网络钓鱼电子邮件、文本消息或社交媒体消息。 •福斯特组织内强大的安全文化。 3 访问控制 过时或零散的网络基础架构通常缺乏足够保护所需的内置可见性和安全控制。为您的组织确定并实施最适合的访问控制框架 ，例如最小特权原则(POLP)、多因素身份验证(MFA)、零信任网络访问(ZTNA)和高级身份验证策略。 •实施资源访问的适当的基于角色的访问控制(RBAC)和特权身份管理(PIM)。 •ApplyPOLP到供应商管理。 •行为每周审核访问控制，以识别任何异常活动。 第2章：随机MWAREREADINESS的最佳实践检查表 4 网络安全 网络提供了许多漏洞。除了仔细的访问控制之外，网络体系结构还应考虑网络分段策略，使用IDS /IPS和防火墙集成来减轻潜在恶意软件的传播。 •部署用于内部和网络边缘的下一代集中式防火墙，限制出站流量并实施Geo-IP过滤。 •建立根据环境或工作负载（例如，开发、QA、测试、生产）进行适当的网络细分 。 •使用正确的网络安全组规则以限制内部和外部网络流动。 •实施网络IPS和IDS来检测和引诱环境中的恶意活动。 •块已知bot和勒索软件主机使用的已知恶意IP地址。 •采用DDoS防护防御机器人主导的攻击. 电子邮件过滤 5 复杂的电子邮件过滤技术可以帮助防止网络钓鱼尝试到达队友的收件箱，并阻止恶意软件渗透您的组织。入站电子邮件的防御技术应确保仅接受来自受信任来源的电子邮件，验证域，并过滤掉垃圾邮件和恶意内容。 此功能： •扫描电子邮件附件用于已知和未知的恶意软件签名，并阻止可能有害的消息。 •检测并删除未经请求的电子邮件，降低网络钓鱼攻击的风险。 •阻止电子邮件从已知的恶意IP地址。 •自动加密符合特定条件的电子邮件，例如包含敏感信息或发送给外部收件人。 •使用DKIM、SPF和DMARC策略通过验证电子邮件来自所述域来验证电子邮件发件人。 •允许用户进行数字签名和加密电子邮件，确保通信的真实性和保密性。 第2章：随机MWAREREADINESS的最佳实践检查表 6 了解你的漏洞 加强您的漏洞首先需要了解您的弱点所在。与网络安全咨询和服务的专家提供商合作可以帮助您的组织采取关键步骤，识别和解决现有基础架构和团队中的漏洞。 7 保护您的数据 数据保护对于保护敏感信息和维护客户、合作伙伴和利益相关者的信任至关重要。许多组织错误地认为云中存在固有的数据安全。然而，情况并非如此。全面数据保护的唯一责任在于该数据的所有者。虽然某些云提供商可能会提供一定级别的数据保护，但您有责任为您的组织寻求并采取必要的数据保护措施 ，包括第三方解决方案。 •加密所有数据进出公司网络。 •使用静态数据的加密。 •实施适当的数据丢失防护(DLP)策略用于跨用户和客户端共享数据：使用正在存储、发送和存档的所有文档上的数据标签来识别数据泄漏和暴露。 •加密所有工作站和服务器使用内部加密密钥。 •利用自动威胁检测工具。 •定期分析安全日志。 备份您的备份 8 在当今的威胁环境中，备份不再安全。许多恶意行为者已经开发了具有高度针对性的程序，旨在识别和抓住 组织的备份文件作为主要目标。这使得可靠的异地备份策略-包括以前被认为过时的磁带等空位解决方案-更有必要 比以往任何时候。 遵循3-2-1规则：尝试将数据的三个独立副本保留在两种不同的存储类型上，其中一个副本脱机 。您还可以增强这一点 通过将另一个副本添加到不可变（无法更改），不可磨灭（无法删除）的云存储服务器来处理。 9 有一个计划 为什么这么多组织发现自己面临着没有预定行动计划的安全事件？灾难恢复计划应该是不可协商的 。从网络安全考虑到法律影响，评估勒索软件事件的所有潜在影响，并确定定制的、可操作的事件响应 计划。确保计划有据可查，并扩展到您的整个组织。在当前环境中测试您的计划是否存在任何缺陷 ，根据需要及时进行调整，并根据需要继续进行修改。这可确保内部团队随时准备在事件发生时快速有效地做出响应，并且您的计划是最新的，并处于最佳位置以获得最佳结果。 CHAPTER3 高级防御策略 突发事件响应规划 不要犯等待事件来找出你的响应策略的错误。尽快开始创建和实践你的事件响应策略。 事件响应剧本：使您的团队能够应对现代威胁 阅读本指南，了解左侧列出的流程的更多详细信息，并提供您的 组织它需要制定强有力的事件响应策略的起点。 阅读电子书 规划战略的主要考虑因素包括： •文档和凭据的存储 •桌面练习 •容量规划 •性能测试 •备份与复制 •通信管理 •管理访问权限 •过程自动化 •业务连续性/灾难恢复(BC/DR)测试 •人员配置和发展 •网络事件响应的文档 第三章：先进的防御策略 安全信息和事件管理(SIEM)以及安全编排、自动化和响应(SOAR) SIEM/SOAR高级SIEM/SOAR解决方案可帮助安全运营中心（SOC）团队检测和响应网络攻击，并编写和部署自动响应playbook™是一个这样的解决方案，为用户提供云原生优势，具有无限的可扩展性和无缝集成。 MicrosoftSentinel体系结构 Microsoft®Sentinel在整个企业中提供智能安全分析和威胁情报，为警报检测、威胁可见性、主动搜寻和威胁响应提供单一解决方案。 Sentinel本地集成了Azure中经过验证的基础服务®，例如LogAnalytics和LogicApps。此外，它还结合Microsoft的威胁情报流，使用AI丰富了调查和检测。下图描述了MicrosoftSentinel的主要组件。 威胁管理 仪表板事件 配置 数据连接器 Playbook Microso和第三方 利用Azure逻辑应用 狩猎分析 笔记本 社区设置 GitHub 日志分析 Jupyter 笔记本 杠杆KQL 第三章：先进的防御策略 威胁狩猎 威胁搜寻是反复搜索各种数据以识别系统中的威胁的过程。威胁搜寻涉及创建有关攻击者行为的假设，并研究用于确定留下的工件的假设和技术。 正如您在下图中看到的，第3层负责执行主动狩猎和高级取证。该团队的目标是执行分析以识别可能指示高级对手的异常情况。虽然大多数事件在第1层和第2层得到了补救，但只有前所未有的发现或偏离规范的情况会升级到第3层团队。