任何对其组织进行网络安全和业务连续性投资的人都可以清楚地看到网络攻击桌面演习的重要性。
然而,排练正确的网络事件响应桌面场景与演习本身一样重要。网络桌面演习场景应与业务相关,并反映网络安全中新出现的威胁。风险总是在变化。
在云原生环境中模拟勒索软件攻击就是我们今天要讨论的网络桌面练习示例之一。
博客涵盖的主题:
1.云端勒索软件攻击的类型
2.为什么要演练勒索软件攻击场景
3.云环境勒索软件攻击为何如此重要?
4.如何在云原生环境下模拟勒索软件攻击?
但在我们开始之前,让我们快速回顾一下网络安全事件模拟演习的好处:
- 他们建立肌肉记忆,最终在实际危机期间减少恐慌并做出更有条理的反应。
- 他们帮助信息安全和其他团队熟悉事件响应计划。
- 事件响应团队、危机管理团队在现实生活中的安全事件中更好地了解自己的角色和责任。
- 攻击场景可帮助主要利益相关者针对未来事件进行决策并进行有效的事件响应。
- 从长远来看,通过网络攻击模拟演习吸取的经验教训可以帮助显着增强事件响应流程。
云端勒索软件攻击的类型
可用性:传统上,勒索软件攻击者通过使用特殊密钥“锁定”或加密数据来使数据不可用。在受害者同意支付赎金之前,他们不会分享“解锁”或解密密钥。
保密:犯罪分子复制数字数据,然后勒索赎金,以换取不“倾销”或在互联网上公开数据。在可用性攻击中,人们始终可以从干净的备份中恢复数据并避免支付赎金。然而,机密性攻击可能更加痛苦和有影响力,因为我们永远无法确定攻击者是否在收到勒索软件付款后删除了所有数字副本。
为什么要排练勒索软件攻击?
勒索软件攻击是当今网络安全社区面临的第一大问题。当攻击发生在云原生环境中时,这个问题会变得更加明显。进行勒索软件响应演习有以下用途:
- 让所有利益相关者做好应对“哦不!”的准备片刻。
- 更好地准备 IT 来审查和改进其数据验证流程和技术。
- 展示并强化了机密攻击期间难以克服的挑战,包括监管困境。
- 帮助准备与各利益相关者的沟通回应。
对云原生环境的勒索软件攻击
那么,云原生环境中的勒索软件攻击到底是什么?是什么让这种类型的攻击成为如此引人注目的网络桌面演习场景?
重要提示:云服务分为三种类型。基础设施、平台和软件即服务(IaaS、PaaS 和 SaaS)。我们这里的重点是 SaaS。但是,您可以将大部分逻辑和攻击应用于其他两种类型的云服务。
最常见的是,企业使用第三方服务提供商的云基础设施。这消除了他们购买和维护高级计算资源和硬件的需要。这意味着单个云服务提供商可以为数百个组织存储大量数据。
您在云上的数据可能会通过多种方式受到攻击:
- 恶意意图:服务提供商(例如 CRM 软件或 HR 管理软件提供商)的工作人员可能会窃取数据并勒索您的组织。
- 配置错误:这可能适用于我们之前提到的所有三种类型的云服务 – 基础设施即服务、平台即服务、软件即服务。假设您的组织使用基础设施即服务,但您的员工没有接受过如何使用该服务(Amazon AWS、Microsoft Azure、Google Cloud)的适当培训。现在,一名工作人员在云存储平台上存放了大量数据。由于他们没有接受足够的培训,他们会公开数据,因为他们根本不知道如何安全地配置数据。网络犯罪分子会积极寻找此类配置错误的存储解决方案,找到并复制这些数据,并用它来勒索您的组织。
- 内部攻击– 拥有所有访问权限的内部人员从 SaaS 提供商复制数据并向组织勒索赎金。
在这种情况下,对云环境的攻击可能是巨大的、复杂的,并且通常是由高度复杂的威胁参与者执行的。云服务提供商向其客户保证绝对的安全性。这就是为什么突破它们并不是新手能够轻易完成的事情。
存储在云中的数据对于许多企业的日常运营至关重要。这使得勒索软件攻击更具破坏性和破坏性。
假设您有足够的备份并且能够恢复业务关键数据,那么始终存在严重数据泄露的威胁,网络犯罪分子可能会泄露甚至在暗网上出售您被盗的数据。
随之而来的是企业的公共关系危机。当个人敏感信息泄露时,监管罚款和客户诉讼紧随其后。
感染传播是勒索软件攻击云基础设施的另一个主要问题。由于云环境的互连性质,对第三方服务提供商的攻击可能会迅速渗透到您的系统中。
因此,勒索软件感染可以灵活传播,使响应和恢复工作变得更加复杂。
如何在云原生环境中模拟勒索软件攻击
现在让我们以网络桌面练习示例为基础,该示例以云环境中的勒索软件攻击为中心。我们将重点关注重要元素,以使此事件响应桌面场景尽可能对参与者具有相关性和吸引力。
这就给我们带来了一个问题——谁应该参加以此类网络桌面演习场景为中心的演习。答案包括 IT、法律团队、人力资源、公共关系和沟通。当然,高级管理层的参与也很重要。他们将对客户、投资者和外部利益相关者负责。
场景准备:在此阶段,第一步显然是确定您的组织运行的云环境类型 – 公共、私有或混合。接下来,请记住攻击者的信息收集策略。定义云上可能位于攻击者雷达范围内的最关键漏洞或资产。确定他们正在寻找的信息和/或他们想要的资产。
场景: 勒索软件攻击场景可以基于我们之前讨论的三种攻击方法中的任何一种 – 恶意意图、内部威胁和/或错误配置。在构建网络桌面练习场景时,请重点关注攻击者最有可能加密的文件和/或系统。这种事件响应桌面场景的关键通常是数据泄露,导致敏感信息遭到破坏。
注入:通过使用注入,勒索软件桌面练习场景总是变得更加真实。网络犯罪从来都不是一次性事件,它通常是动态的、不断演变的。
确保您的攻击模拟练习反映了这一点。在这种情况下,这可能意味着在最初检测到妥协后引入横向移动等元素。然后,您可以继续进行权限升级,犯罪分子可以获得更敏感的信息和资产。
为了使网络桌面练习示例更加全面,您还可以向参与者提供有关威胁行为者可能是谁的详细信息。在这种情况下,可能是国家行为者攻击公共云服务。它也可能是一个复杂的勒索软件团伙,旨在通过破坏组织的混合云环境来勒索大笔金钱。
最后
随着勒索软件攻击(尤其是供应链攻击)的增加,这种网络危机桌面演习场景应该成为您的优先考虑事项。
在云环境中模拟勒索软件攻击并不简单。它必须包括网络安全、应用程序安全、端点安全等各个方面。
它还评估您的身份和访问管理系统和策略,并对您的数据加密和备份功能进行严格审查。这就是为什么强烈建议聘请一位经验丰富的勒索软件桌面练习主持人来为您进行模拟演练。
外部协调员不仅可以带来无与伦比的专业知识。他们还为您提供有关您组织的云安全和勒索软件响应协议的客观且完全公正的反馈。他们与您的团队合作构建一个勒索软件桌面场景,让您的参与者和高级管理人员明白这一点。
但是,如果您目前没有考虑聘请外部协调员,我们的专家已经创建了一些非常有用的工具供您使用。这些资源可以根据您组织的威胁环境及其云环境轻松定制。它们清晰、简短,专注于帮助您在云原生环境中模拟高效的勒索软件攻击:
- 2024 年你必须排练的网络桌面演习场景
- 网络桌面练习 PowerPoint
- 网络桌面练习模板
