在數(shù)字化轉(zhuǎn)型浪潮之下，企業(yè)發(fā)展步入高速軌道，而網(wǎng)絡(luò)黑客也演變得更為組織化、集團(tuán)化。勒索軟件是對(duì)黑客來說非常成功且有利可圖的一種攻擊類型。勒索軟件攻擊可能會(huì)以經(jīng)典的好萊塢犯罪驚悚片風(fēng)格展開，往往會(huì)上演一個(gè)惡棍劫持一個(gè)毫無戒心的受害者作為人質(zhì)的片段，當(dāng)然還會(huì)提出必須按時(shí)支付一大筆贖金的要求！受害者任由攻擊者擺布，并期待事件響應(yīng)人員能夠前來救援。

勒索軟件即服務(wù)和雙重勒索案件

勒索軟件開發(fā)人員將提供勒索軟件即服務(wù) （RaaS） 工具包，該工具包采用與 SaaS 提供商相同的業(yè)務(wù)模式。這導(dǎo)致具有不同技能水平和復(fù)雜程度的網(wǎng)絡(luò)犯罪分子和惡意威脅行動(dòng)者大規(guī)模采用 RaaS。常見的勒索軟件攻擊包括勒索軟件操縱者對(duì)數(shù)據(jù)進(jìn)行加密，并迫使受害者支付贖金來解鎖數(shù)據(jù)。

在雙重勒索案件中，勒索軟件操縱者加密并竊取數(shù)據(jù)，進(jìn)一步脅迫受害者支付贖金。如果受害者不支付贖金，勒索軟件操縱者就會(huì)在泄密網(wǎng)站或暗網(wǎng)上泄露數(shù)據(jù)。其中大多數(shù)泄密網(wǎng)站都托管在暗網(wǎng)上，而這些托管位置由勒索軟件操縱者創(chuàng)建和管理。而如今，這類案件發(fā)生的狀況正愈演愈烈。

自動(dòng)化勒索軟件入侵后響應(yīng)

安全團(tuán)隊(duì)面臨著瞬息萬變的復(fù)雜攻擊環(huán)境、不斷擴(kuò)大的威脅面以及分散的員工隊(duì)伍等多重挑戰(zhàn)，為此，Palo Alto Networks（派拓網(wǎng)絡(luò)）Cortex XSOAR 創(chuàng)建了與其姊妹產(chǎn)品 Cortex XDR? 的集成。利用這兩個(gè)平臺(tái)之間的集成，安全團(tuán)隊(duì)可以在整個(gè)信息系統(tǒng)和工具堆棧中自動(dòng)化和優(yōu)化復(fù)雜的工作流。使用 Cortex XSOAR 和 XDR 內(nèi)容包將提供原生集成網(wǎng)絡(luò)、端點(diǎn)和云數(shù)據(jù)以阻止復(fù)雜威脅的檢測(cè)和響應(yīng)。這種集成利用 XSOAR 中使用的 XDR 數(shù)據(jù)，提供單窗格體驗(yàn)和劇本，該劇本可在整個(gè)環(huán)境中協(xié)調(diào)更廣泛的端到端工作流，從而能夠在 Cortex XSOAR 戰(zhàn)情室內(nèi)直接執(zhí)行 XDR 操作。

Cortex XDR 允許用戶集成端點(diǎn)、網(wǎng)絡(luò)和云數(shù)據(jù)以阻止復(fù)雜的攻擊。Cortex XSOAR 與 XDR 的高級(jí)檢測(cè)和分析平臺(tái)相結(jié)合，充分利用了安全團(tuán)隊(duì)可用的全部資源。總的歸納為以下幾項(xiàng)優(yōu)勢(shì)：

? 事件管理

當(dāng)需要人工干預(yù)時(shí)，需要通過對(duì)復(fù)雜工作流的實(shí)時(shí)調(diào)查來補(bǔ)充入侵后響應(yīng)的自動(dòng)化。

? 指標(biāo)豐富

中央指標(biāo)存儲(chǔ)庫支持跨來自多個(gè)來源的勒索軟件和相關(guān)事件進(jìn)行搜索和自動(dòng)指標(biāo)關(guān)聯(lián)，

? 響應(yīng)操作

威脅響應(yīng)操作和勒索軟件處理

響應(yīng)工具包演練

為了幫助事件響應(yīng)者應(yīng)對(duì)威脅，Cortex XSOAR 提供的勒索軟件內(nèi)容包可幫助安全團(tuán)隊(duì)更有效地處理這些惡意行動(dòng)者：

① 即時(shí)幫助事件響應(yīng)、威脅情報(bào)和 SecOps 團(tuán)隊(duì)標(biāo)準(zhǔn)化入侵后響應(yīng)流程并提升速度。

② 自動(dòng)執(zhí)行大多數(shù)勒索軟件響應(yīng)步驟，允許事件響應(yīng)和 SecOps 團(tuán)隊(duì)添加他們的指導(dǎo)和輸入內(nèi)容。

③ 通過用戶網(wǎng)絡(luò)環(huán)境中收集所需信息、執(zhí)行調(diào)查步驟、遏制事件并使用其自定義的入侵后勒索軟件布局可視化數(shù)據(jù)，幫助事件響應(yīng)者更好地了解他們?cè)谕{行動(dòng)者面前的位置和暴露程度。

勒索軟件內(nèi)容包如何運(yùn)作？

Cortex XDR 等多個(gè)警報(bào)源之一檢測(cè)到勒索軟件攻擊時(shí)，內(nèi)容包會(huì)自動(dòng)觸發(fā)入侵后勒索軟件調(diào)查和響應(yīng)劇本以識(shí)別、調(diào)查和遏制勒索軟件攻擊。該勒索軟件包需要勒索信和加密文件示例，以識(shí)別勒索軟件變體并通過在線數(shù)據(jù)庫查找最合適的恢復(fù)工具。所有相關(guān)的利益相關(guān)者都會(huì)自動(dòng)收到攻擊通知。該劇本包括一項(xiàng)用于確定事件時(shí)間線的手動(dòng)任務(wù)，這是恢復(fù)流程的重要組成部分。由于數(shù)據(jù)加密是攻擊的最后一步，因此會(huì)調(diào)查先前的攻擊者行為。

該劇本包括進(jìn)一步調(diào)查文件被加密的用戶活動(dòng)并識(shí)別遭受攻擊的其他端點(diǎn)的選項(xiàng)。如果批準(zhǔn)自動(dòng)修復(fù)，則將自動(dòng)阻止勒索信中的惡意指標(biāo)，也可以手動(dòng)完成遏制。

Cortex XSOAR

借助勒索軟件內(nèi)容包和 Cortex XSOAR 核心功能與集成，事件響應(yīng)、SecOps 和威脅情報(bào)團(tuán)隊(duì)可以節(jié)省數(shù)小時(shí)的人工操作，試圖將來自多個(gè)工具的不同信息源拼湊在一起。Cortex XSOAR 可以通過跨 SIEM、防火墻、端點(diǎn)安全和威脅情報(bào)來源進(jìn)行編排來自動(dòng)化用戶調(diào)查、端點(diǎn)隔離、通知、強(qiáng)化和威脅搜尋的整個(gè)過程，以便響應(yīng)團(tuán)隊(duì)可以快速阻截勒索軟件、最大程度地降低丟失數(shù)據(jù)風(fēng)險(xiǎn)，限制索要贖金的財(cái)務(wù)影響及其對(duì)企業(yè)的影響。