勒索軟件檢測技術

韓燕萍

企業是否會投入大量資金用于防范勒索軟件攻擊？也許會，但是企業的領導團隊可能更愿意將資金花費在其他地方。作為IT經理，其注意力經常關注在自己的工作職責上，例如管理團隊、企業的數據、用戶訪問請求等，防范勒索軟件攻擊可能并不在IT經理的主要關注事項中。為了避免或減輕攻擊帶來的損害，需要采用勒索軟件檢測技術。

勒索軟件檢測的重要性

在深入研究可以用來檢測基礎設施中勒索軟件的方法之前，先來了解一下勒索軟件的基本情況。

勒索軟件最早出現在20世紀80年代末，一位名叫Joseph Popp的攻擊者通過誘使受害者使用他提供的軟盤，隱藏硬盤上的文件；然后，他要求受害者支付費用來修復被勒索軟件屏蔽的軟件。盡管勒索軟件的技術和威脅多年來變得越來越復雜，但其攻擊的前提仍然和Popp實施的勒索一樣。

勒索軟件攻擊者威脅要公布受害者的重要數據，除非向他們支付贖金。勒索軟件攻擊者可能以企業甚至企業中的個人為目標。2022年2月對瑞士一家機場的針對性攻擊導致近24個航班停飛和延誤，雖然瑞士這家機場很快就遏制了威脅，但是在公眾信任、時間和機會方面的損失仍然很大。

一些企業可能會培訓員工發現勒索軟件，或專注于內部網絡安全實踐，以應對這些攻擊，不過這可能還不足以保證其數據安全。

檢測勒索軟件是一個持續的挑戰，但有一些方法可以緩解這一挑戰。關注特定的行為或檢測企業基礎設施中發生的變化，可以幫助減少運營環境中遭遇勒索攻擊的可能性。

實時變化檢測

快速有效檢測勒索病毒的關鍵是采用實時變化檢測和文件完整性監控技術以及流程。實時更改檢測是一種網絡安全實踐，這種檢測可以配置網絡來記錄所有配置和數據更改。

這個過程為企業提供了一個易于跟蹤的“面包屑”蹤跡，可以用于跟蹤未經授權的或可疑的活動，直到找到其源頭，幫助企業在遭遇到重大損害發生之前識別勒索軟件和其他威脅。以下了解實時更改檢測的5個核心支柱，為企業提供使用這些技術可檢測和減輕勒索軟件的影響。

強化和可信基準測試

企業必須建立可信的互聯網安全中心（CIS）基準來管理其實時變更檢測實踐。可信基準測試是與互聯網安全中心基礎設施相關的基礎配置和最佳實踐。

采用系統強化實踐有助于確保遵守互聯網安全中心基準測試。企業可以實施的3個最有影響力的實踐是：

完整性漂移，通過檢查更改來監視系統和配置的完整性，使企業能夠在需要時進行修復；

配置管理，深入了解環境，輕松識別未來的更改；

自動系統強化，使用像CimTrak這樣的工具，可以自動監控不合規區域并消除漂移，這種做法還將減少勒索軟件攻擊者可以利用的入口點。

該技術對于利用高級報告實踐持續掃描遵從性挑戰并實時最小化漏洞至關重要。

配置管理

需要檢查系統配置標準，配置管理是指為網絡、硬件和軟件設置所需的操作狀態的過程。此外，這個過程涉及維護系統的配置標準，以確保它們處于最佳位置。

配置管理的關鍵部分是確保關鍵IT資產不被惡意操作（如勒索軟件攻擊或意外）篡改。

如果沒有適當的配置管理，將無法確保系統始終正常運行。此外，識別勒索軟件攻擊將更具挑戰性，因為將很難識別何時發生了未經授權的更改。

變更控制

變更控制是任何勒索軟件檢測技術的關鍵部分，變更控制是指對環境中發生的變更負責的過程。

企業需要使用像CimTrak這樣的工具來跟蹤整個系統中的更改，CimTrak創建了系統中所有更改的詳細審計跟蹤，其中包括：

有什么樣的變更；

誰實施的變更；

變更的地方；

變更發生的時間；

變更是如何進行的。

這些數據對于幫助企業的團隊追蹤未經授權的更改來源和勒索軟件檢測工作頁非常重要。

但是僅僅識別未經授權的更改是不夠的，為了保證網絡安全，需要能夠回滾或阻止這些更改。

回滾、修復和更改預防

勒索軟件檢測技術不僅僅是在企業的系統中識別勒索軟件威脅。為了保證其網絡和數據的安全，企業需要有流程和工具來糾正未經授權的更改，以免造成重大損害。

企業需要采取如下的流程：

回滾：使用可以定期存儲配置快照的工具，這一功能允許企業在最短的停機時間內恢復以前的設置。

更改修復：一旦檢測到未經授權的更改，需要立即采取行動，CimTrak允許自我修復，在檢測到更改時自動逆轉更改。

更改預防：對于某些核心設置或系統，可以選擇完全阻止更改，而不是在更改發生后采取步驟回滾或修復。

強健的回滾、修復和更改預防技術可以幫助企業減輕勒索軟件的影響，并維護持續兼容的基礎設施。

文件白名單

可以選擇的最后一種用于檢測勒索軟件和補救措施的方法是文件白名單。

企業可以在勒索軟件檢測技術中使用文件白名單或受信任的文件注冊中心。文件白名單是將特定的更改（如供應商驗證的補丁或更新的文件）標記為授權更改的實踐。

采取這個步驟將消除由有效更改產生的更改噪聲。這將使IT經理能夠將其時間和注意力集中在真正對其網絡安全工作最重要的變化上。

當使用文件白名單時，更改仍然會被記錄下來，允許在必要時引用它們。但是，IT經理和其團隊只會收到可能與惡意軟件、零日攻擊、流氓用戶或其他威脅有關的攻擊警報。這一過程讓企業能夠更有效地利用有限的時間來防止攻擊和保護數據。

超越勒索軟件檢測：提高網絡安全

檢測和減輕勒索軟件攻擊的影響對企業網絡安全工作至關重要。通過實現旨在持續監視網絡合規性、未經授權的更改等的工具，可以改進企業的整體網絡安全狀況。

現代網絡安全威脅需要創新的解決方案，CimTrak的文件完整性監控軟件就是這樣一種解決方案。CimTrak提供系統完整性保證，致力于實時識別、禁止和糾正未知或未經授權的更改。這使企業的團隊能夠在更短的時間內以更少的努力維護持續兼容的IT基礎設施。