勒索软件基础知识：金融服务公司防御指南

引言R 勒索软件是少数能够真正使金融服务机构失效的威胁之一。随着其不断创新、侵略性和频繁性的增加，勒索软件攻击可能会扰乱客户服务、中断业务运营，并损害机构在客户和监管机构中的声誉。 f勒索软件缓解最佳实践f事件响应/危机管理f关于赎金支付的考量f参考资料 本文件旨在协助该行业应对勒索软件威胁。通过FS-ISAC及其成员的运营洞察，它对信息技术（IT）专业人士特别有用，尤其是那些制定网络事件响应政策和程序，以及协调事件响应的人员。本文聚焦于： 勒索软件攻击阶段：感染和加密，窃取和骚扰 勒索软件是一种发展为双阶段攻击的勒索形式——首先是加密和数据外泄，然后是索要付款和骚扰以加速勒索金的支付。 威胁行为者通过获取受害者的计算机系统访问权限并部署恶意软件（恶意软件）来感染受害者的计算机并加密其文件，从而执行第一阶段。 勒索软件即服务 一些犯罪团伙构建并出售恶意软件给其他威胁行为者，使低技能的犯罪分子能够成功发动攻击。其他勒索软件团伙，如REvil、LockBit和CL0P，采用先进技术渗透金融机构，窃取敏感数据并索要赎金。 通常，威胁行为者试图在金融公司的互联系统中传播恶意软件，包括共享存储驱动器和其他可访问设备——勒索软件通常在其他恶意软件对设备进行破坏后作为二级有效载荷部署。此类恶意软件可能具有如此破坏性，以至于它使受害者的系统无法运行。 尽管面临执法部门的打击，这些组织迅速适应，利用新的基础设施、演变策略以及不规则的攻击节奏。 顶级勒索软件威胁为人为操作的攻击，通常由犯罪组织提供帮助，这些组织将初始访问权或机器人作为一项服务出售。一旦攻击者获得网络访问权限，他们便会横向移动以禁用安全工具和备份系统。这些攻击者通常具备丰富的系统管理和常见网络安全配置错误的了解（人工智能使这些错误更容易被发现），使他们能够进行彻底的侦查并适应他们在受损害网络中发现的情况。 许多勒索软件攻击将金融动机与地缘政治议程交织在一起。像匿名苏丹和KillNet这样的黑客活动团体，受到俄罗斯-乌克兰战争等地缘政治冲突的驱动，越来越多地针对关键的银行基础设施。 积极应对勒索软件防御：网络基础知识、危机管理计划及最佳实践保障您的公司安全 勒索软件攻击中最令人沮丧和危险的一个方面是失去访问必要的工具。受攻击的公司可能无法访问其安全运营中心（SOC）或取证工具。电子邮件和通信基础设施系统也可能离线或不安全。因此，勒索软件事件响应计划应包括应急解决方案和快速恢复或替换一套最小关键能力的功能，以维持运营。 第二阶段是数据外泄，随后以“人质”索要（也称为勒索软件或数据泄露软件）的方式要求支付数据解密密钥。在三次勒索尝试中，威胁行为者也发起DDoS攻击，以便金融公司无法运营业务。在四次勒索尝试中，网络犯罪分子泄露数据，并联系客户、员工、商业合作伙伴、媒体甚至监管机构，向他们通报数据泄露情况并加速付款。 定期更新和修补软件。 将网络卫生基础融入您的技术控制措施 更新和补丁降低了来自技术和社交工程攻击的初始感染潜力。 作为对行业防御的贡献，FS-ISAC最近发布了网络基础，基于风险的方法使用深度防御原则任何级别的网络成熟度下的金融服务机构都适用。在《网络基础》的16项建议中，以下六项与勒索软件防御最为相关。 >在风险可接受的情况下，自动化补丁管理以确保所有系统一致地应用更新，减少人为错误和延迟。 如果修补延迟，则制定标准流程以实施缓解策略，例如利用网络应用程序防火墙（WAF）进行虚拟修补。 网络基础知识清单： 使用基于零信任和最小权限策略，并结合多因素身份验证，并为每位员工、设备以及账户要求强密码。 1. 隔离、测试和演练备份 2. 更新软件，自动化补丁安装 >实施一种零信任方法，其中所有用户和设备，无论在内部还是外部网络，都必须经过身份验证、授权和持续验证，才能访问应用程序和数据。 3. 要求使用MFA（多因素认证）和强密码 4. 培训员工 充分利用NIST 800-207零信任架构等资源来制定您的策略。 5. 制定并演练事件应对计划 对员工进行其在网络安全角色中的培训 6. 使用端点检测响应（EDRs）、数据丢失防护（DLPs）和防火墙>定期举办培训会议，教育员工关于最新的网络安全威胁，包括钓鱼、社会工程学和点击未知链接或下载未经验证的附件的危险。了解点击外部链接或重复使用密码可能产生的影响的人通常会更小心地对待他们的活动。 使用不可擦除且不可修改的备份系统以复制数据及系统配置 >定期将关键数据和系统配置备份到隔离环境中。如果已实施分段并保留了备份，攻击的影响可能是可控的。 制定针对勒索软件攻击的特定事件响应计划 >详细说明在发现问题后应立即采取的步骤，包括隔离、沟通和恢复程序。 >至少每年在实际技术练习中测试备份，以确保在遭受攻击的情况下备份可以快速且完整地恢复。云计算使得测试和恢复变得更加容易，但某些公司可能只能测试某些关键功能的恢复。一个健壮的恢复计划，可能需要在独立的新基础设施上实施，这将需要大量的努力，尤其是在大型公司中。 定期进行桌面演习和全面规模的> drills to ensure that all team members are familiar with the response plan and can act quicklyand effectively under pressure. Exercises allow you to review and update plans to adapt to evolving threats and changes in your organization. 实施端点检测与响应（EDR）、数据损失防护（DLP）和防火墙解决方案接下来，考虑如果攻击成功，如何有效地做出回应。您将需要一套战略危机管理计划和一套战术应对计划。ISO 2700是一个很好的框架，同样，NIST 2.0危机管理框架也是一个优秀的框架（它是所有FFIEC指南的基准）。该框架帮助您规划战略和战术响应的基本因素。 >实施终端检测与响应（EDR）解决方案。EDR解决方案监控终端（计算机、服务器、移动设备）的异常活动，并实时响应威胁，以在勒索软件扩散之前将其破坏。 >实施数据丢失预防（DLP）解决方案。DLP解决方案监控和控制敏感数据的移动，有助于防止网络犯罪分子进行数据外泄尝试。 在制定计划时，应识别事故响应（IR）团队。该团队应涵盖组织内的多个职能。所有行动均应遵循负责、负责、咨询、告知（RACI）模型。 使用默认配置为关闭状态的防火墙。> 主动阻断。在部署防火墙时，也要考虑内部分段。一个例子是基于代理的微分段增强传统防火墙，以最小化加密恶意软件的潜在影响。另一个关键的控制措施是用于泄露监控的SWG/DNS防火墙，它可以检测数据被盗并阻止用户访问恶意网站。 战略应对框架 使命宣言 策略与目标 如何制定和实施危机管理计划 高级管理层批准（已签署/批准） 勒索软件呈现出一个独特的挑战，即从检测到造成影响之间的时间——即“闪电到爆炸”——几乎为零。与需历时数周逐步展开的网络安全事件不同，勒索软件需要立即执行危机管理措施。 危机管理计划清单： 组织应对事件的方法 > 支付赎金的政策> 应急管理框架> 角色与责任 IR团队与公司的沟通 实时进行计划，无需一些正常的减缓阶段。 指标用于事件响应能力和有效性 尽管上述技术控制对于防御和应对勒索软件攻击至关重要，但基于流程的能力同样重要。危机管理计划必须涵盖整个领导团队，并包括是否支付赎金的明确政策。如果您的法律团队批准支付，您将需要与支付谈判者签订合同，并准备购买加密货币——大多数犯罪分子要求用加密货币支付赎金。 路线图：完善突发事件应对能力 整体组织中IR项目的作用 当您思考团队的任务时，确定： f一个关于在恶意软件执行前无法发现该恶意软件时进行早期检测和加密后检测的计划。 f一个处理加密技术方面和发布数据外部影响的计划。 f如何将业务连续性/灾难恢复计划与危机管理计划相结合。 f必要的系统用于收集和保存法医证据，维护证据链，并追踪事件序列——记住，这是一起犯罪案件。 f如何与执法机构合作，以及所需的关系和流程以共享智能 f测试/练习，以推动验证。设计威胁场景和构建主场景事件列表（MSEL）的一个极好资源是网络安全和基础设施安全局（CISA）的桌面演习表。锻炼套餐无论如何，测试和演习应当是： >定期安排，并附有记录的改进计划。 基于场景，包含与当前勒索软件趋势相关的不同类型活动的演练。 旨在确保危机管理计划中的所有步骤都得到演练，无论是桌面演练还是技术演练。 明知道向一个被指定为外国恐怖组织或受到财政部制裁的实体付款。 您应该支付赎金吗？风险、法规及需考虑的因素 FS-ISAC不鼓励向犯罪分子支付赎金。赎金资助了进一步的犯罪活动，并延续了勒索软件的商业模式。然而，当系统受到损害时，该决定需要评估所有保护股东、员工和顾客的方案。这是一个严肃的个人商业决策，因此勒索软件的受害者应考虑以下风险： 此外，联邦网络安全准备法案要求联邦机构保护其网络，并授权CISA（网络安全和基础设施安全局）和人事管理局（OPM）建立联邦网络安全要求。美国佛罗里达州、印第安纳州、路易斯安那州、北卡罗来纳州和北达科他州要求公共实体报告勒索软件事件。《计算机欺诈和滥用法》（CFAA）可被用来起诉实施勒索软件攻击的人。 f您可能或可能无法重新获得访问数据。在支付最初要求的赎金后，一些受害者被要求支付更多以获得承诺的解密密钥。一些个人和机构支付了赎金，但从未获得解密密钥。 在英国：英国已实施金融制裁——> 自2019年5月以来，在英国曾是欧盟（EU）成员国的情况下实施的网络安全制裁体制下的制裁措施。英国退出欧盟后，根据2018年的《制裁和反洗钱法》（SAMLA）引入了《网络安全（欧盟退出）（制裁）法规2020》（法规）。6 f您未受到未来攻击的保护。一些支付了赎金的受害者再次被攻击。 f您可能不符合规定。法律和法规在不同司法管辖区中各不相同，但许多规定专门适用于金融服务机构。在她的著作《数字帝国：全球监管技术的斗争》中，5Anu Bradford 探讨了治理数字景观的三个主要方法：市场驱动、国家驱动和权利驱动。国家驱动治理勒索软件响应的例子包括： 协助支付勒索软件可能违反英国部门制裁或其他司法管辖区的法律。《外交、联邦与发展办公室》（FCDO）针对每个制裁制度发布了指导，其中详细说明了部门制裁。 在美国：美国财政部外国资产控制办公室（OFAC）对多个网络犯罪威胁个人和团体实施了制裁——通过支付赎金，你可能违反了这些制裁。支付赎金的受害者也可能受到刑事或民事处罚，例如： 在澳大利亚：进行或促成勒索软件支付可能违反澳大利亚制裁法，并可能导致对向受澳大利亚自主制裁法约束的个人或实体进行此类支付的人或实体实施刑事处罚。 Europol 指导预防勒索软件FS-ISAC网络安全基础英国国家网络安全中心指南MS-ISAC #StopRansomware 指南中国银保监会（CSBS）勒索软件自我评估工具IC3报告和年度安全趋势 1、观测到的勒索软件事件增加：勒索软件和数据泄露网站报告，2023年3月 - eCrime.ch 2针对金融服务行业的勒索软件攻击增加：ABA的银行杂志 3近12个月新增受害者：橙子网络安全防御 过去12个月内勒索软件攻击情况https://ecrime.ch/ 5Anu Bradford:https://scholarship.law.columbia. edu/books/367/ 网络安全和基础设施安全局（CISA）：\"降低勒索软件风险\"意识宣传活动 6英国网络制裁制度：https://www. -gov.uk/government/publications/financial-sanc tions-cyber-attacks#