行业新闻与博客

如果安全团队可以更好，更清晰地了解网络上的可疑​​行为，则可以更好地处理勒索软件。

说起 Infosecurity，Sophos 的首席产品官丹 Schiappa 和首席科学家切斯特的 Wisniewski 说了很多的问题都可以用，如果他们发现如何工具不可预知的方式被用于处理。Wisniewski 说：“因此，如果您看到 Powershell 或扫描仪在计划的维护范围之外运行，或者 IT 部门需要运行嗅探器的权限，则这些漏洞很容易检测到，并且如果 SOC 知道维护何时进行，他们就会知道这很糟糕。

“这需要纪律，尽管大多数公司没有 SOC，并且需要进行调查和研究，这对公司而言是最具挑战性的。”

当 Sophos 发布有关勒索软件现实的多部分研究系列时，Wisniewski 表示，网络安全状态意味着我们比十年前对父母笔记本电脑的担心要少，因为 Flash 和 Java 的使用减少了，但是如果针对勒索软件的攻击“今天真是糟糕的一天，您永远都无法找到关于 [攻击者] 如何进入并难以从错误中学习的真相。”

Schiappa 说，对手采取了更多的民族国家方法，他们更多地动手并使用现有工具，进行侦察并找出他们可以勒索哪些数据。他说，最好的检测策略是将 AI 以多种方式结合使用，包括运行深度学习神经网络模型和人类智能。

他说：“例如，查看端点检测和响应（EDR），它正在学习寻找折衷指标和一系列事件，这些事件可使分析师迅速扩展。”

在 Sophos 的最新研究中，对 WastedLocker 勒索软件使用的新的检测逃避技术的详细研究显示，Windows Cache Manager 和内存映射的 I / O 被用于加密文件。尤其是，它使用内存映射的 I / O 来加密文件，从而使基于行为的反勒索软件解决方案更难以跟踪正在发生的事情。

Wisniewski 说，WastedLocker 之类的公司将规避策略提高到一个新的水平，并寻找绕过行为反勒索软件工具的方法。“这是攻击者弄脏手的最新示例，他们使用新的操作手动禁用软件，以作为全面的勒索软件攻击的先兆。

“攻击者在网络中停留的时间越长，他们可能遭受的损害就越大。这就是为什么人类情报和响应是检测和消除攻击进行中的早期指标的关键安全组件的原因。组织需要了解不断升级的趋势并通过禁用 RDP 之类的远程访问工具来加强其边界，以防止骗子获得对网络的访问权，而这是 Sophos 分析的许多勒索软件攻击的共同点。”

Wisniewski 称 WastedLocker 为他所见过的除民族国家以外的最复杂的攻击。“不仅在大型美元游戏中获得成功，而且 WastedLocker 也在投资以尽可能保持沉默。”

本文由机器译制