AI 时代的勒索软件准备 ： 9 种面向未来的防御策略

勒索软件就绪AI 时代 ：9 种未来防御策略 2随着人工智能驱动的勒索软件变得司空见惯 ， 你的组织会做好准备吗 ？这已经不是什么秘密 ： 勒索软件攻击的频率和复杂程度都在大幅增长。到 2028 年 ， 全球网络犯罪的成本预计将达到 13.8 万亿美元的新峰值 ， 比 2023 年增长 69% 。1这只是前期数字 - 损失的业务在勒索软件损失中占了数百万美元。随着技术的发展 ， 不良行为者是最早采用进步的人之一。因此 ， 在最近的 AI 热潮之后 ， 现在是时候为 AI 驱动的网络威胁的增加做准备了。继续阅读 ， 了解 AI 有望如何改变现代威胁 ， 并发现 AI 驱动的勒索软件准备的九种最佳实践。评估和增强防御能力 ： 获取勒索软件准备情况记分卡。Insight 的勒索软件准备情况记分卡将帮助您确定公司威胁档案的性质 ， 评估您的网络安全状况 ， 并为您提供降低风险和提高安全性的建议。了解更多 3勒索软件已经造成了严重破坏。平均赎金付款增加 ：2022 年 Q1 ：$212,0002023 年 Q1:$328,0002023 年 Q2 ：$740,0002顶级勒索软件按行业划分的目标 ：EducationConstruction &财产中央和联邦政府324 天每次攻击的平均停机时间473%世界各地的组织已支付赎金来恢复数据2023 年。5CHAPTER 1了解威胁情况AI 已成为我们生活方式不可或缺的一部分。尽管我们认为理所当然的许多技术都嵌入了 AI 和机器学习 （ ML ） ， 但大型语言模型 （ LLM ） 和生成 AI 平台 （ 例如 OpenAI 的 ChatGPT ） 的最新 AI 开发已将 AI 定位在新的角度 ， 使更广泛的用户群可以访问 AI 的力量。 4第 1 章 ： 理解威胁景观人工智能可以让坏演员占上风。绝大多数 CISO （ 70 ％ ） 担心生成 AI 会使网络攻击者比防御者更具优势。6这些担忧得到了证实 ： 已经对利用生成 AI 进行勒索软件侦察和开发的组织采取行动。英国国家网络安全中心 （ NCSC ） 报告说 ， 虽然所有类型的网络威胁行为者都已经在某种程度上使用人工智能 ， 但人工智能 — — 尤其是生成式人工智能 — — 几乎肯定会在未来几年增加网络攻击的数量和影响。7网络钓鱼和其他形式的社会工程可能会产生最显着的影响 ， 至少在勒索软件中 AI 的早期。由于网络钓鱼已经是勒索软件交付的第一大形式 ， 因此尤其有望采用 AI 来增强网络钓鱼攻击 ， 使其更可信 ， 更难以检测。生成的 AI ： 增加脆弱性 ？75%在过去的 12 个月里 ， 安全专业人员目睹了攻击的增加。85%将这种上升归因于使用生成 AI 的坏演员。46%安全专业人员表示 ， 生成 AI 将使组织更容易受到攻击。8最大的感知威胁 ：1隐私问题增加 （ 39% ）2检测不到的网络钓鱼攻击增加 （ 37% ）3攻击量和速度增加 （ 33% ）9 5第 1 章 ： 理解威胁景观AI ： 同一枚硬币的两面虽然人工智能驱动的威胁是真实的 ， 但底线是 ：相同的功能将使勒索软件对不良行为者更容易 ， 相同的功能将使威胁检测和响应对防御者更有效。人工智能因其能够帮助用户快速、大规模和高效地执行而受到赞誉。对于恶意行为者和网络安全专业人士来说都是如此。人工智能和生成人工智能已经被用于强大的安全姿态。承认 AI 是现代安全团队的一部分多年来 ， 技能短缺一直困扰着网络安全领域 ， 人手不足、负担过重的团队在面对警觉疲劳时难以保持高水平的控制。人工智能有望帮助批准这一问题 ： 86% 的 CISO 认为生成人工智能将缓解现有的安全团队技能差距和短缺。10人工智能还将帮助提升安全人员的技能 ： 安全领导者打算通过即时工程培训、生成人工智能威胁培训和建立协议来提高安全团队的技能 ， 以确定适合于AI 驱动的机器人。11公司如何使用生成式 AI 进行网络安全1235%安全卫生和姿势管理分析和性能27%警报和事件的数据扩充26%内部通信26%分析数据源25%恶意软件分析 6CHAPTER 2勒索软件就绪的最佳实践清单当涉及到安全漏洞时 ， 问题是它何时会发生 ， 而不是是否会发生。对抗 AI 驱动的勒索软件的最可靠方法是为任何可能发生的事情做好准备。以下是勒索软件准备的九种最佳做法 ， 这些做法将有助于加强您组织的安全状况 ， 并提高您不仅检测和响应勒索软件的能力 ， 而且还可以在发生事件时快速恢复且影响最小的能力。九种面向未来的防御策略修补程序管理确保软件、驱动程序和固件与新补丁程序版本保持最新 ， 以降低漏洞风险并优化性能。三种最常见的补丁程序类型包括安全补丁程序、错误修复和功能更新 ， 所有这些都在您的网络安全态势中发挥着重要作用。•网络扫描:每周执行一次扫描以检查漏洞 ， 并根据关键程度 / CVSS 评分确定优先级。•安全性:补丁程序管理可修复软件和应用程序中易受网络攻击的漏洞 ， 从而帮助您的组织降低其安全风险。•系统正常运行时间:补丁程序管理可确保您的软件和应用程序处于最新状态并平稳运行 ， 从而支持持续的系统正常运行时间。•合规性:鉴于网络攻击的频率越来越高 ， 监管机构通常要求组织保持一定程度的合规性。补丁程序管理是遵守这些合规性标准的重要组成部分。•功能改进 ：修补程序管理可以扩展到软件错误修复之外 ， 还可以包括对特性和功能的更新。修补程序对于确保您可以访问最新和最优秀的产品至关重要。1 7第 2 章 ： 随机 MWARE READINESS 的最佳实践检查表员工教育有关网络安全卫生和网络钓鱼尝试的培训可以帮助最大限度地减少安全风险中固有的人为因素。•定期培训员工关于网络安全攻击媒介。•Educate安全使用可移动介质 （ 例如 USB ） 。•提供指导识别网络钓鱼电子邮件、文本消息或社交媒体消息。•福斯特组织内强大的安全文化。访问控制过时或零散的网络基础架构通常缺乏足够保护所需的内置可见性和安全控制。为您的组织确定并实施最适合的访问控制框架 ， 例如最小特权原则 (POLP) 、多因素身份验证 (MFA) 、零信任网络访问 (ZTNA) 和高级身份验证策略。•实施资源访问的适当的基于角色的访问控制 (RBAC) 和特权身份管理 (PIM) 。•ApplyPOLP 到供应商管理。•行为每周审核访问控制 ， 以识别任何异常活动。23 8网络安全网络提供了许多漏洞。除了仔细的访问控制之外 ， 网络体系结构还应考虑网络分段策略 ， 使用 IDS / IPS 和防火墙集成来减轻潜在恶意软件的传播。•部署用于内部和网络边缘的下一代集中式防火墙 ， 限制出站流量并实施 Geo - IP 过滤。•建立根据环境或工作负载 （ 例如 ， 开发、 QA 、测试、生产 ） 进行适当的网络细分。•使用正确的网络安全组规则以限制内部和外部网络流动。•实施网络 IPS 和 IDS 来检测和引诱环境中的恶意活动。•块已知 bot 和勒索软件主机使用的已知恶意 IP 地址。•采用 DDoS 防护防御机器人主导的攻击.电子邮件过滤复杂的电子邮件过滤技术可以帮助防止网络钓鱼尝试到达队友的收件箱 ， 并阻止恶意软件渗透您的组织。入站电子邮件的防御技术应确保仅接受来自受信任来源的电子邮件 ， 验证域 ， 并过滤掉垃圾邮件和恶意内容。此功能 ：•扫描电子邮件附件用于已知和未知的恶意软件签名 ， 并阻止可能有害的消息。•检测并删除未经请求的电子邮件 ， 降低网络钓鱼攻击的风险。•阻止电子邮件从已知的恶意 IP 地址。•自动加密符合特定条件的电子邮件 ， 例如包含敏感信息或发送给外部收件人。•使用 DKIM 、 SPF 和 DMARC 策略通过验证电子邮件来自所述域来验证电子邮件发件人。•允许用户进行数字签名和加密电子邮件 ， 确保通信的真实性和保密性。第 2 章 ： 随机 MWARE READINESS 的最佳实践检查表45 9第 2 章 ： 随机 MWARE READINESS 的最佳实践检查表了解你的漏洞加强您的漏洞首先需要了解您的弱点所在。与网络安全咨询和服务的专家提供商合作可以帮助您的组织采取关键步骤 ， 识别和解决现有基础架构和团队中的漏洞。保护您的数据数据保护对于保护敏感信息和维护客户、合作伙伴和利益相关者的信任至关重要。许多组织错误地认为云中存在固有的数据安全。然而，情况并非如此。全面数据保护的唯一责任在于该数据的所有者。虽然某些云提供商可能会提供一定级别的数据保护，但您有责任为您的组织寻求并采取必要的数据保护措施，包括第三方解决方案。•加密所有数据进出公司网络。•使用静态数据的加密。•实施适当的数据丢失防护 (DLP) 策略用于跨用户和客户端共享数据 ： 使用正在存储、发送和存档的所有文档上的数据标签来识别数据泄漏和暴露。•加密所有工作站和服务器使用内部加密密钥。•利用自动威胁检测工具。•定期分析安全日志。备份您的备份在当今的威胁环境中 ， 备份不再安全。许多恶意行为者已经开发了具有高度针对性的程序 ， 旨在识别和抓住组织的备份文件作为主要目标。这使得可靠的异地备份策略 - 包括以前被认为过时的磁带等空位解决方案 - 更有必要比以往任何时候。遵循 3 - 2 - 1 规则 ：尝试将数据的三个独立副本保留在两种不同的存储类型上 ， 其中一个副本脱机。您还可以增强这一点通过将另一个副本添加到不可变 （ 无法更改 ） ， 不可磨灭 （ 无法删除 ） 的云存储服务器来处理。有一个计划为什么这么多组织发现自己面临着没有预定行动计划的安全事件 ？ 灾难恢复计划应该是不可协商的。从网络安全考虑到法律影响 ， 评估勒索软件事件的所有潜在影响 ， 并确定定制的、可操作的事件响应计划。确保计划有据可查 ， 并扩展到您的整个组织。在当前环境中测试您的计划是否存在任何缺陷 ， 根据需要及时进行调整 ， 并根据需要继续进行修改。这可确保内部团队随时准备在事件发生时快速有效地做出响应 ， 并且您的计划是最新的 ， 并处于最佳位置以获得最佳结果。6789 10CHAPTER 3高级防御策略突发事件响应规划不要犯等待事件来找出你的响应策略的错误。尽快开始创建和实践你的事件响应策略。规划战略的主要考虑因素包括 ：•文档和凭据的存储•桌面练习•容量规划•性能测试•备份与复制•通信管理•管理访问权限•过程自动化•业务连续性 / 灾难恢复 (BC / DR) 测试•人员配置和发展•网络事件响应的文档事件响应剧本 ： 使您的团队能够应对现代威胁阅读本指南 ， 了解左侧列出的流程的更多详细信息 ， 并提供您的组织它需要制定强有力的事件响应策略的起点。阅读电子书 11第三章 ： 先进的防御策略安全信息和事件管理 (SIEM) 以及安全编排、自动化和响应 (SOAR)SIEM / SOAR 高级 SIEM / SOAR 解决方案可帮助安全运营中心 （ SOC ） 团队检测和响应网络攻击 ， 并编写和部署自动响应 playbook™是一个这样的解决方案 ， 为用户提供云原生优势 ， 具有无限的可扩展性和无缝集成。Microsoft Sentinel 体系结构Microsoft®Sentinel 在整个企业中提供智能安全分析和威胁情报 ， 为警报检测、威胁可见性、主动搜寻和威胁响应提供单一解决方案。Sentinel 本地集成了 Azure 中经过验证的基础服务®， 例如 Log Analytics 和 Logic Apps 。此外 ， 它还结合 Microsoft 的威胁情报流 ， 使用 AI 丰富了调查和检测。下图描述了 Microsoft Sentinel 的主要组件。威胁管理仪表板事件配置数据连接器 PlaybookMicroso 和第三方利用 Azure 逻辑应用狩猎分析笔记本社区设置GitHub日志分析Jupyter 笔记本杠杆 KQL 12主动狩猎和高级取证Tier 2更深入的分析和补救特殊情况第 1 层高速修复默认警报路径自动化自动调查和补救众所周知的攻击第三章 ： 先进