勒索軟件LockBit在近期對全球不同大型機構造成影響,例如名古屋港的貨櫃業務便因系統遭到LockBit入遭而一度中斷,反映眾多機構在改善網絡安全方面仍有大量改進空間。加上LockBit在今年亦開始出現針對MacOS的變種,使更多IT裝置受到威脅。機構採用SASE、次世代防火牆、零信任等技術抵禦惡意程式。然而,要更有效地中斷不法分子的行動,機構應把入侵活動從萌芽狀態中扼殺。
根據網絡安全機構MITRE的ATT&CK框架,網絡攻擊計劃可細分為多個戰術,而第一步就是偵察。不法分子會發動進階持續威脅(APT),分析目標機構的網絡是否存有漏洞,並在避免被發現的情況下獲取權限。不法分子亦會透過暗網收集外洩的登入資料,並掃瞄設定有誤或未修復漏洞的應用服務來入侵。
數碼風險保護即時了解外部攻擊面情況
及早識別不法分子的偵測活動有助避免惡意程式的攻擊。現時,機構可透過數碼風險保護(Digital Risk Protection)服務,以攻擊者的視角即時了解外部攻擊面的情況,如SSL憑證問題、具攻擊風險的連接埠等。同時,服務亦可為機構提供品牌遭惡意網站冒充的情況,從而及早獲悉品牌聲譽的風險預警,以便快速應變。最後,服務更可持續監察暗網,及早識別流出的敏感資料,以盡早採取主動措施阻止攻擊。
誘騙技術可減少誤報頻率
誘捕(Deception)亦是識別不法分子偵測活動的重要技術。藉此,機構可誘騙不法分子洩露自己,及早洞悉對方計謀。過程中,誘捕技術會利用誘騙資產和數據與不法分子互動,從而分析對方活動,為將來的攻擊做好準備。例如當勒索軟件加密誘騙的檔案時,無論勒索軟件有多複雜都可被識別,讓機構了解不法分子打算尋找的檔案類型。誘騙技術可減少誤報的頻率,使IT團隊能夠專注於攻擊者的活動,並可減少機構環境中可能產生的干擾和警報量。