威胁情报 / 情报循环如何帮助防御勒索软件攻击

情报循环如何帮助防御勒索软件攻击

情报循环如何帮助防御勒索软件攻击
金布罗姆利
金姆·布罗姆利报道
2021年5月25日 | 14 分钟阅读

When Tolkien first sat down to write Lord of the Rings, he probably never imagined it would go on for over 1,000页. 对付勒索软件攻击的网络防御者也是如此. 几年前,我清楚地记得我说过,勒索软件永远不会流行起来……我错得多么离谱. As we near the halfway point of 2021, 勒索软件继续在网络威胁领域扮演着越来越重要的角色. 在“美高梅集团app下载”,到目前为止,美高梅集团app下载已经发布了超过800份关于2021年勒索软件的情报更新. 如果照这个速度发展下去,美高梅集团app下载每年将有近2000人. 也就是说,一年中至少有2000名受害者受到勒索软件攻击. 实际数字会高得多,因为许多受害者会支付赎金,以避免公布他们的数据.

2021年最重大的勒索软件事件之一是对美国燃料巨头的攻击 殖民地的管道, two weeks ago, by the operators of the “DarkSide” ransomware. 其他值得注意的攻击包括针对华盛顿特区大都会警察局的“Babuk”勒索软件攻击, 爱尔兰卫生局的" Conti "勒索软件袭击, 以及“Avaddon”勒索软件对保险巨头安盛的攻击,此前他们表示将取消对支付勒索软件的赔偿. 我很相信这句名言“预防胜于治疗”.” So, 记住这一点, 我想借此机会讨论一下情报循环如何帮助组织应对勒索软件攻击. 

What is the intelligence cycle? 

The intelligence cycle is a vital part of any 威胁情报 能力. 它被世界各地的军事和执法分析人员使用. 这是许多分析人员将信息转换为评估情报的过程的名称. 情报周期也有自己的支持者:它为新分析师提供了一种简单明了的方法. 那些更有经验的分析师也可以将其作为构建的基础. 这是一个很有帮助的框架,它提供了情报同行之间的一致性.

虽然智能周期是一个很好的模型,但将其付诸实践可能会很棘手. 决策者很少向分析师提供详细的情报需求. 除此之外, 他们通常会在知道任务分析的结果之前做出决定. 在理想情况下,循环的收集和分析阶段分为两个定义的部分, but in reality it is more common for them to be run in parallel. 在进入传播阶段之前,分析人员可能还需要多次重复收集和分析阶段. 

不管, 情报周期是一个很好的起点,网络防御者可以通过它来了解勒索软件攻击给他们的业务带来的风险. 通过这个周期可以帮助评估他们的组织成为勒索软件攻击目标的可能性, identify the likely ransomware type behind the attack, and create defensive and preventative recommendations.

Stage 1 of the 情报周期: Direction

The first stage of the intelligence cycle is direction. 你可能在网上看到,不同版本的智能周期将“计划”和“方向”分成两个部分. 对我来说, the term direction covers all aspects needed at this point in the cycle; receiving direction and planning how to meet that direction must be done before collection can commence. 

方向阶段是指您需要定义并同意智力需求. 这些是你将在整个循环中寻求答案的问题. 想要了解更多关于勒索软件攻击对其业务的威胁的网络防御者的情报需求可能包括:

  • 哪些类型的勒索软件经常针对我组织的部门?
  • 哪些类型的勒索软件经常针对我的组织运行的地理区域?
  • What is known about the operators of these ransomware types? Do they operate an affiliate model?
  • Which tactics and techniques do these ransomware types employ? 他们是否进行数据外泄或分布式拒绝服务攻击,以增加受害者的压力?

一旦达成一致, 然后,情报需求应转移到情报收集地点(ICP),该地点为信息收集提供了结构. 它允许分析师识别他们已经掌握的信息或知识,以满足情报需求. 因此, 它还将帮助分析人员在他们还不知道答案的时候识别出他们的智力差距,并计划如何填补这些差距. 在这里考虑您在情报周期的收集阶段可能使用的信息来源是很有帮助的. And if you don’t have a way to access the information you need, now’s the time to plan how you will get it. Suppose part of your ICP relies on collecting information from a third party; it is a good idea to engage with those parties early to avoid unnecessary delays. 应定期更新icp,以跟踪进展情况,并在早期阶段确定交付的障碍.

方向,可以说是智力循环中最关键的阶段. 在这个阶段,你要知道如何满足你的经理或客户的需求——如果方向没有明确,也没有达成适当的共识, 你在整个循环过程中所做的功可能都是白费的. 同样重要的是,与客户商定一个交货时间表,并了解你的情报将被用来告知. 这将帮助您调整如何处理和完成任务.

Stage 2 of the 情报周期: Collection

情报循环的下一个阶段自然是收集. Time to put your ICP into practice! Collection should include a wide variety of information sources. Sources can generally be divided into two; open and closed. 开源信息是对公众开放的数据或信息. 相比之下,封闭的消息源不能免费向公众开放.

最常见的开源信息类型是在互联网上找到的. 表面, 深网和暗网都将打着开源信息的旗号, 以及根据信息自由要求收集的信息. 因此,虽然它是一个丰富的收集来源,但它可能会导致信息超载. 坚持原始的情报需求对于确保信息收集的精细化和针对性至关重要.

美高梅集团app下载”威胁情报库是关于勒索软件类型及其操作人员的一个极好的信息来源. 美高梅集团app下载定期发布新的勒索软件威胁配置文件,并确保美高梅集团app下载现有的配置文件及时更新,包括最新的信息. 这些配置文件包含不同勒索软件类型最容易针对的部门和地理区域的信息. 要做到这一点, 美高梅集团app下载积极跟踪大约25个勒索软件数据泄漏网站的活动(勒索软件运营商利用这些网站泄露受害者的详细信息和数据,而这些受害者没有支付赎金要求).

All 美高梅集团app下载 intelligence is 对齐到主教法冠 ATT&CK,包括主要的勒索软件类型的策略和技术. Some of the most common 主教法冠 ATT&CK techniques used by ransomware groups are:

  • Compromise Infrastructure: Botnet T1584.005
  • Supply Chain Compromise: Compromise Software Supply Chain T1195.002
  • Phishing: Spearphishing Attachment / Spearphishing Link T1566.001 / T1566.002
  • Exfiltration Over C2 Channel T1041
  • Exfiltration Over Web Service T1567
  • Data Encrypted for Impact T1486
  • 抑制系统恢复T1490
  • System Information Discovery T1082
  • System Network Configuration Discovery T1016
  • Exploitation of Remote 服务 T1210
  • Impair Defenses: Disable or Modify Tools T1562.001
  • Remote 服务: Remote Desktop Protocol T1021.001

美高梅集团app下载还有一篇关于初始访问代理(IABs)的优秀研究论文,您可以阅读 在这里. 当勒索软件运营商试图访问网络时,iab是一种流行的资源. 这些人在网络犯罪论坛上出售进入受害者网络的权限. From t在这里, ransomware operators can buy and exploit that access. 然而,在殖民管道受到攻击后,论坛管理员已经 banned any content concerning ransomware to avoid unwanted law enforcement attention. 这是否会影响勒索软件运营商初步进入网络的方式还有待观察.

在这一部分的结尾,记得问自己这些重要的问题;

  1. Is the information relevant, credible, and valid?
  2. Does the information answer the requirements?
  3. Does the information add value?

If the answer to these questions is yes, 安全储存这些信息,当你准备好通过智能周期前进时.

Stage 3 of the 情报周期: Analysis

有些人认为方向是智力周期中最关键的阶段, 另一些人则有力地论证了分析在重要性方面的重要性. 在这个阶段,分析师可以施展他们的分析能力,运用他们的技能将信息转化为情报. 

要做到这一点,分析师可能会使用他们的直觉判断,但这可能会导致问题. 使用美高梅集团app下载的判断可能会使任何结果不那么可靠,因为美高梅集团app下载都容易受到影响 偏见. Intuition shouldn’t be avoided entirely, though. Coupled with using a structured analytical technique, an analyst’s experience and intuition can be a real asset. 这就是为什么美高梅集团app下载这些在这工作了很长时间的人会时不时地提供一些很好的见解.

结构化分析技术有助于克服美高梅集团app下载的偏见,并在分析中提供一致性和透明度. 对于需要快速得出结果的分析师来说,SWOT这样的方法很容易获得成功. 如果您有许多事件数据,那么地理空间和时间分析可能是有用的工具. These techniques map geographic and time data, 分别, 为分析人员提供可视化的数据表示,使模式更容易发现. 例如, geospatial analysis is how the 1854 cholera outbreak in Soho, 伦敦, was narrowed down to one contaminated water pump. 那个水泵直到今天还在那里,谢天谢地,它不再放水了.

对于那些有更多时间的人, 你可以考虑使用竞争假设分析(ACH)或可信锥(CoP). 

ACH为分析人员提供了一个平台来考虑问题的替代假设, rating the evidence for each hypothesis as they go, as either consistent or inconsistent. As analysts move through their chosen hypotheses, 他们可以根据证据的可信度来调整自己对假设的信念. At the end of this consideration, 分析师选择最有可能的假设,基于它是不一致最少的结果. ACH鼓励批判性思维,并基于现有证据做出决策. 然而, 不同分析人员的假设标准可能不一致,从而为主观性留下空间. 

CoP技术为分析师提供了预测未来的工具, which we are asked to do quite a lot. 该技术包括考虑不同的可能结果,并对这些结果进行比较.

Visual representation of the Cone of Plausibility
似是而非的圆锥体的视觉表现(资料来源:hxxps://prescient2050[.] com/)

如果当前的模式和趋势在没有干预或意外影响的情况下继续下去,就会出现“可能的未来”. 但是,缔约方会议确实考虑到了意想不到的发展——进入“通配符”选项. These options are the outer limit of what could occur. 通配符允许分析师自由思考,并制定最糟糕的情况,甚至古怪的场景. 在“更可取的未来”中,分析师可以考虑最佳情况或存在的机会. The cone helps analysts consider all possible options and assess, 使用判决和证据, 哪个是最可能发生的.

I’ve used the word “likely”a lot in this section, but what does “likely” mean in an analytical context? 分析师在分析中经常使用不确定性的语言, which comes from a tool called the uncertainty yardstick.

Like most of the topics I’ve discussed throughout this blog, the yardstick has its positives and negatives. Similar to structured analytical techniques, 不确定性尺度为分析师在评估结果的可能性时提供了一种通用语言. 它消除了我在前面讨论ACH时提到的主观性,并提供了对威胁的共同理解. 然而,一个结果成为“现实可能性”的几率在25%到50%之间. That’s quite a big difference, really. 美高梅集团app下载在之前的博客中更详细地讨论了不确定性语言: Uncertainties in the language of uncertainty.  

在防范勒索软件攻击的背景下,这些技术如何帮助? 在确定哪些组织经常针对您的操作部门之后, 使用分析技术可以让您评估其中一个群体专门针对您的组织的可能性. 下一个, 您可以确定攻击的可能结果,以及是否会发生数据外泄. 你也可以考虑基于主教法冠 ATT的进一步攻击的风险&CK techniques used by that group. 有些人喜欢长时间停留在网络中,并利用他们的访问权限进行额外的攻击. 

在分析的最后,最好向客户提供一些建议. 基于你考虑过的所有选项,你认为他们应该如何处理你的信息. 也许这将包括更新勒索软件响应剧本,以确保创建多个数据备份,并将它们单独存储. 或者更新网络防御,以防止勒索软件运营商使用的新技术. Whatever the recommendation, always back it up with analysis. 这种方式, you will deliver a stronger position, 处理问题或批评将会很简单——它们都在分析中.

Stage 4 of the 情报周期: Dissemination

一旦分析完成, the next phase of the intelligence cycle is dissemination, 换句话说, delivering your findings to the 客户. 现在,是时候考虑传递这些发现和建议的最佳格式了. 根据最初的任务和你的客户是谁,口头或书面的简报是最好的? Should it be short and snappy, or long and detailed? 

确保您所有的努力工作都以最适合客户需求的方式传播给他们是至关重要的. 报告 should be written using straightforward, 简单易懂的语言, avoiding any jargon that might confuse the message. 情报 reports should also be delivered on time while ensuring that information is provided to 客户s securely; speed should not supersede security. 这在处理敏感的、持续的问题时尤为重要. 在情报周期的传播阶段遵循良好的做法将有助于情报产品的整体成功,并提高您作为一个有能力的分析师的声誉.

Stage 5 of the 情报周期: Review

Finally, review completes the intelligence cycle. 在这个过程的这一部分,分析员可以评估他们的工作,并从报告的客户那里获得反馈. 然而,在繁忙的环境中工作时,回顾往往会被忽视. 分析师可能会觉得他们根本没有时间审查他们交付的所有工作, 但是回顾孕育进步. 

评审可以与客户一起进行,以确保产品满足他们的期望和需求. 如果没有,找出原因是很重要的,这样你就可以在下次提高. Even if it did push all the right buttons, having feedback conversations is still a helpful exercise; t在这里 is always room for improvement, 与拥有不同知识和经验的人分享想法可能会引出一些你从未想过的想法.

评审也可以在内部进行,内容与外部评审类似. 然而, 在内部审查中, 美高梅集团app下载可能会查看所进行的分析,并质疑其准确性, whether the proper techniques were used, and how the process can be improved. 将这些信息反馈回情报循环的重要性不容小觑. Collecting feedback is redundant if you don’t act on it. 流程可以简化, analysis techniques can be refined, and 客户 interaction can improve.

总之, while the intelligence cycle is not perfect, it is a useful tool to guide analysts, 旧的和新的, through the production of assessed intelligence reporting. If you want to learn more about intelligence then 保护国家 by Sir David Omand (ex-GCHQ head) is an excellent introduction. 同样的, 如果你想了解更多关于结构分析技术的知识,可以参考理查兹·霍伊尔1999年的论文, Psychology of 情报 Analysis 是必读的.

相反,如果你喜欢勒索软件,并且你有兴趣了解更多,美高梅集团app下载推荐一个 7-day free trial of 威胁情报 with 探照灯. 探照灯 clients receive real-time, actionable intelligence updates regarding ransomware activity, 包括美高梅集团app下载的全球分析团队和情报人员对公开和封闭来源的勒索软件数据泄漏网站的新帖子的分析. 

Access Our 英特尔威胁 In Test Drive

Test Drive 探照灯 Free for 7
现在试一试

与美高梅集团app下载联系

友情链接: 1 2 3 4 5 6 7 8 9 10