受影響的不只是資料外洩而已

醫療業在COVID-19和網路攻擊之下一直承受著巨大的壓力。 醫療機構收集了病人的大量數據,這使它們成為網絡犯罪分子有利可圖的目標。勒索攻擊之下,首當其衝的就是病人。Ponemon研究指出,大約70%的病人需要在醫院待更長的時間才能出院,因為這些攻擊使得醫療手續變得更繁雜,拖得更久,導致病人的狀況出現惡化。另外,也有高達65%的病人在醫院系統癱瘓的情況下,不得不轉到別的醫院;以上種種的拖延導致病人的死亡率升高,因此,勒索攻擊的危險可不只是資料外洩,甚至上升到生命威脅。

勒索軟體的設計邏輯

勒索軟體開發者通常會把弱點設計成能夠在單一執行的前提下,迅速橫向擴散內部網路,盡可能的感染、加密內部許多設備上的資料,成功地癱瘓機構日常的運作。要避免此事,最有效的方法是及早發現,及時遏止,而事實證明自動化腳本驅動的資安事件回應過程是遏制此類攻擊的有效解決方案。

自動化腳本處理程序

當機構的SIEM工具偵測到勒索軟體並發出警示時,Cyware的融合與威脅回應平台(CFTR)會自動建檔,並開始調查;接著,平台會著手進行事件關聯性確認與資料庫收集,CFTR會擷取主機與用戶訊息、回溯過往調查的事件、找到不同威脅元素的關聯性並將它們串連起來。

隨後,CFTR與威脅情資交換平台(CTIX)聯合,獲取惡意軟體的Hash值,同時向AD了解受影響用戶的資訊。若以上步驟確認警示並非誤報,CFTR將快速採取圍堵行動,首先,惡意Hash會在端點防護及回應工具(EDR)端受到阻止,接著,CFTR會啟用端點安全控制工具(如 EDR、NAC network policy、AV policy tool)將受影響的用戶資產進行隔離,防止勒索軟體進一步的擴散。

最後,為了確保威脅回應過程的完整,自動化腳本還會協助執行資產防毒掃描、安全控制檢查與SIEM上的歷史資料搜索。防毒掃描在徹底檢查受影響的資產後,確保感染已得到控制且未擴散,就會將其結果傳達給用戶;同時,CFTR平台提供查詢功能,讓使用者查詢曾經受影響資產上的安全軟體安裝和修補紀錄,若發現未安裝安全軟體或有未修補的漏洞,平台會自動發送Ticket到ITSM。平台最後會再次查詢SIEM,尋找有無類似的警示,確保沒有其他的資產或機器受到感染,一旦發現新的感染,CFTR會創建獨立事件,把被感染的資產或設備進行隔離,重複上述修復動作直到感染已完全清除。

Cyware的自動化腳本協助機構快速偵測與回應勒索軟體,並且將回應過程標準化,使內部網路受到類似威脅感染時都能採取相似應對策略,大幅簡化資安團隊的勒索回應時間與步驟,對醫療等高度資安風險產業來說,是面對勒索威脅的絕佳防護利器。

Cyware提供網路資安業界唯一具有次世代 SOAR(安全編排、自動化與回應)的虛擬網路融合中心平台服務,讓資通的安全機制脫胎換骨,並提高組織的速度與準確性,同時降低營運成本,並避免資安分析師疲勞時的失誤。Cyware的虛擬網路融合解決方案為擁有各種不同規模與需求的企業、共享社群 (ISAC/ISAO)、資安管理服務商(MSSP)和政府機構,實現安全協作、訊息共享,並加強威脅能見度。

鼎峰亞太是Cyware在亞太區的戰略夥伴,提供最具前瞻性的世界級資訊安全領導者解決方案,以專業技術服務、代理產品整合規劃運用及協同代理商夥伴行銷為企業經營的核心。集團總部位於新加坡,旗下分公司已成功擴展到台灣、馬來西亞、澳洲、香港、韓國、印度尼西亞、泰國、菲律賓等多個國家/地區,以尊重且珍惜各國家/地區的商業合作夥伴為經營理念,這也讓我們成為在全球各地擁有許多長期合作之夥伴的誠信代理商。


熱門新聞

Advertisement