在數(shù)字化轉(zhuǎn)型浪潮之下，企業(yè)發(fā)展步入高速軌道，而網(wǎng)絡(luò)黑客也演變得更為組織化、集團(tuán)化。勒索軟件是對黑客來說非常成功且有利可圖的一種攻擊類型。勒索軟件攻擊可能會以經(jīng)典的好萊塢犯罪驚悚片風(fēng)格展開，往往會上演一個惡棍劫持一個毫無戒心的受害者作為人質(zhì)的片段，當(dāng)然還會提出必須按時支付一大筆贖金的要求！受害者任由攻擊者擺布，并期待事件響應(yīng)人員能夠前來救援。

勒索軟件即服務(wù)和雙重勒索案件

勒索軟件開發(fā)人員將提供勒索軟件即服務(wù) （RaaS） 工具包，該工具包采用與 SaaS 提供商相同的業(yè)務(wù)模式。這導(dǎo)致具有不同技能水平和復(fù)雜程度的網(wǎng)絡(luò)犯罪分子和惡意威脅行動者大規(guī)模采用 RaaS。常見的勒索軟件攻擊包括勒索軟件操縱者對數(shù)據(jù)進(jìn)行加密，并迫使受害者支付贖金來解鎖數(shù)據(jù)。

在雙重勒索案件中，勒索軟件操縱者加密并竊取數(shù)據(jù)，進(jìn)一步脅迫受害者支付贖金。如果受害者不支付贖金，勒索軟件操縱者就會在泄密網(wǎng)站或暗網(wǎng)上泄露數(shù)據(jù)。其中大多數(shù)泄密網(wǎng)站都托管在暗網(wǎng)上，而這些托管位置由勒索軟件操縱者創(chuàng)建和管理。而如今，這類案件發(fā)生的狀況正愈演愈烈。

自動化勒索軟件入侵后響應(yīng)

安全團(tuán)隊面臨著瞬息萬變的復(fù)雜攻擊環(huán)境、不斷擴大的威脅面以及分散的員工隊伍等多重挑戰(zhàn)，為此，Palo Alto Networks（派拓網(wǎng)絡(luò)）Cortex XSOAR 創(chuàng)建了與其姊妹產(chǎn)品 Cortex XDR? 的集成。利用這兩個平臺之間的集成，安全團(tuán)隊可以在整個信息系統(tǒng)和工具堆棧中自動化和優(yōu)化復(fù)雜的工作流。使用 Cortex XSOAR 和 XDR 內(nèi)容包將提供原生集成網(wǎng)絡(luò)、端點和云數(shù)據(jù)以阻止復(fù)雜威脅的檢測和響應(yīng)。這種集成利用 XSOAR 中使用的 XDR 數(shù)據(jù)，提供單窗格體驗和劇本，該劇本可在整個環(huán)境中協(xié)調(diào)更廣泛的端到端工作流，從而能夠在 Cortex XSOAR 戰(zhàn)情室內(nèi)直接執(zhí)行 XDR 操作。

Cortex XDR 允許用戶集成端點、網(wǎng)絡(luò)和云數(shù)據(jù)以阻止復(fù)雜的攻擊。Cortex XSOAR 與 XDR 的高級檢測和分析平臺相結(jié)合，充分利用了安全團(tuán)隊可用的全部資源?？偟臍w納為以下幾項優(yōu)勢：

? 事件管理

當(dāng)需要人工干預(yù)時，需要通過對復(fù)雜工作流的實時調(diào)查來補充入侵后響應(yīng)的自動化。

? 指標(biāo)豐富

中央指標(biāo)存儲庫支持跨來自多個來源的勒索軟件和相關(guān)事件進(jìn)行搜索和自動指標(biāo)關(guān)聯(lián)，

? 響應(yīng)操作

威脅響應(yīng)操作和勒索軟件處理

響應(yīng)工具包演練

為了幫助事件響應(yīng)者應(yīng)對威脅，Cortex XSOAR 提供的勒索軟件內(nèi)容包可幫助安全團(tuán)隊更有效地處理這些惡意行動者：

① 即時幫助事件響應(yīng)、威脅情報和 SecOps 團(tuán)隊標(biāo)準(zhǔn)化入侵后響應(yīng)流程并提升速度。

② 自動執(zhí)行大多數(shù)勒索軟件響應(yīng)步驟，允許事件響應(yīng)和 SecOps 團(tuán)隊添加他們的指導(dǎo)和輸入內(nèi)容。

③ 通過用戶網(wǎng)絡(luò)環(huán)境中收集所需信息、執(zhí)行調(diào)查步驟、遏制事件并使用其自定義的入侵后勒索軟件布局可視化數(shù)據(jù)，幫助事件響應(yīng)者更好地了解他們在威脅行動者面前的位置和暴露程度。

勒索軟件內(nèi)容包如何運作？

Cortex XDR 等多個警報源之一檢測到勒索軟件攻擊時，內(nèi)容包會自動觸發(fā)入侵后勒索軟件調(diào)查和響應(yīng)劇本以識別、調(diào)查和遏制勒索軟件攻擊。該勒索軟件包需要勒索信和加密文件示例，以識別勒索軟件變體并通過在線數(shù)據(jù)庫查找最合適的恢復(fù)工具。所有相關(guān)的利益相關(guān)者都會自動收到攻擊通知。該劇本包括一項用于確定事件時間線的手動任務(wù)，這是恢復(fù)流程的重要組成部分。由于數(shù)據(jù)加密是攻擊的最后一步，因此會調(diào)查先前的攻擊者行為。

該劇本包括進(jìn)一步調(diào)查文件被加密的用戶活動并識別遭受攻擊的其他端點的選項。如果批準(zhǔn)自動修復(fù)，則將自動阻止勒索信中的惡意指標(biāo)，也可以手動完成遏制。

Cortex XSOAR

借助勒索軟件內(nèi)容包和 Cortex XSOAR 核心功能與集成，事件響應(yīng)、SecOps 和威脅情報團(tuán)隊可以節(jié)省數(shù)小時的人工操作，試圖將來自多個工具的不同信息源拼湊在一起。Cortex XSOAR 可以通過跨 SIEM、防火墻、端點安全和威脅情報來源進(jìn)行編排來自動化用戶調(diào)查、端點隔離、通知、強化和威脅搜尋的整個過程，以便響應(yīng)團(tuán)隊可以快速阻截勒索軟件、最大程度地降低丟失數(shù)據(jù)風(fēng)險，限制索要贖金的財務(wù)影響及其對企業(yè)的影響。