David Barton, Giám đốc An ninh Thông tin, mang đến cho Stellar Cyber hơn 20 năm kinh nghiệm trong các vai trò lãnh đạo bảo mật trong nhiều lĩnh vực khác nhau, bao gồm viễn thông, chăm sóc sức khỏe, phát triển phần mềm, tài chính và chính phủ. Trước khi gia nhập Stellar Cyber, ông là Giám đốc điều hành của 5Iron. Trước 5Iron, ông đã có ba năm làm Giám đốc An ninh Thông tin cho Forcepoint, chịu trách nhiệm bảo mật thông tin và tài sản vật lý của Forcepoint trên phạm vi toàn cầu. Barton đã dành ba năm để xây dựng và lãnh đạo nhóm bảo mật quốc tế tại Hireright để bảo vệ dữ liệu khách hàng và tài sản trí tuệ của họ. Trước đó, ông đã có gần 80 năm làm giám đốc bảo mật thông tin tại AT & T / Cingular, có trụ sở tại Atlanta, Georgia, nơi ông đã dẫn đầu nỗ lực bảo vệ hơn XNUMX triệu thuê bao không dây. Là người quản lý nhóm hoạt động bảo mật và kỹ thuật tại Sprint / Nextel, ông quản lý tất cả các hoạt động bảo mật để phát triển ứng dụng, kiến trúc cơ sở dữ liệu và chính sách doanh nghiệp cũng như việc tuân thủ kiểm toán, ngoài việc xây dựng đội bảo mật mũ trắng đẳng cấp thế giới. Barton có bằng MBA điều hành của Đại học Missouri, Thành phố Kansas, bằng Cử nhân về hệ thống thông tin quản lý của Đại học Simpson và chứng chỉ CISSP.Theo Bleeping Computer, ransomware mê cung đã tấn công một công ty dịch vụ CNTT rất lớn. https://www.bleepingcomputer.com/news/security/it-services-giant-cognizant-suffers-maze-ransomware-cyber-attack/?fbclid=IwAR3-qjIf_1ca2PA6L83YKxDAIqxF20DgxkSKQgy5SrqC_-kwJ2bZvnjf-2k.
Trước đây, phần mềm độc hại này đã xâm nhập bằng các kỹ thuật khác nhau: khai thác bộ công cụ thông qua tải xuống từng ổ đĩa, kết nối máy tính từ xa (RDP) với mật khẩu yếu, mạo danh email và spam email. Trong phần lớn các trường hợp khi gửi email lừa đảo, người dùng nhấp vào liên kết, sau đó họ cấp quyền cho macro để chạy và cuối cùng là cài đặt tệp độc hại. Sau khi được cài đặt, phần mềm tống tiền mê cung bắt đầu mã hóa dữ liệu quan trọng trên máy bị nhiễm. Trong khi quá trình mã hóa đang chạy, ransomware cũng lọc dữ liệu ra máy chủ trên internet. Khi cả hai quy trình đó hoàn tất, người dùng được cung cấp một yêu cầu tiền chuộc và một phương pháp để khôi phục dữ liệu đã mã hóa của họ.
Năm 2011, Lockheed Martin được ghi nhận với ý tưởng về một chuỗi tiêu diệt an ninh mạng. Chuỗi tiêu diệt an ninh mạng, như được thiết kế, sắp xếp các mối đe dọa thành các danh mục cũng như các biện pháp kiểm soát bảo mật có thể được triển khai trong các danh mục đó để giảm thiểu những rủi ro đó. Nếu chúng ta áp dụng kill-chain cho Maze ransomware, chúng ta sẽ thấy như sau:
- Email lừa đảo, trong danh mục gửi, đáng lẽ phải bị các công cụ bảo vệ email thương mại bắt được.
- Các tệp phần mềm độc hại (kepstl32.dll, memes.tmp và maze.dll), trong danh mục phân phối, lẽ ra đã bị các công cụ phần mềm độc hại cũng như các công cụ AV khác bắt được. Lưu ý, người dùng cuối trong trường hợp này phải cho phép các macro chạy. Nhận thức của người dùng vẫn là điều cần thiết để phòng thủ trước những kiểu tấn công này!
- Khi các macro đã được bật, phần mềm độc hại sẽ tiếp cận máy chủ tệp và tải xuống phần mềm độc hại bổ sung. Điều này nên được phát hiện trong lệnh và kiểm soát cũng như phân loại phân phối. Các danh mục này thường được bảo vệ bằng các công cụ intel về mối đe dọa, công cụ phần mềm độc hại và các công cụ dựa trên máy chủ.
- Các tệp mới được tạo và quá trình mã hóa tệp bắt đầu. Quá trình tạo tệp và mã hóa tiếp theo này phải nằm trong danh mục hành động và loại bỏ và được bảo vệ bởi các công cụ như thông tin về mối đe dọa, phát hiện bất thường quy trình, tường lửa và các công cụ phần mềm độc hại.
Những gì không được tính đến trong chuỗi tiêu diệt mạng là sự tiến bộ của máy học và AI. Việc áp dụng các công cụ này vào dữ liệu ở mỗi danh mục của chuỗi tiêu diệt sẽ cải thiện khả năng của chúng tôi để phát hiện hành vi bất thường trong từng danh mục, cũng như cải thiện việc giảm thiểu trong từng danh mục bằng cách tương quan với các phát hiện.
Stellar Cyber cam kết sử dụng... Open XDR Nền tảng giúp phát hiện, cảnh báo và phản hồi các loại hành vi này. Việc thu thập dữ liệu rộng khắp, kết hợp với xử lý dữ liệu tiên tiến và học máy, cho phép chúng tôi phát hiện các loại tấn công này ở nhiều khu vực khác nhau trong chuỗi tấn công mạng. Nếu cuộc tấn công bị bỏ sót ở một giai đoạn nào đó trong chuỗi tấn công, chúng tôi sẽ phát hiện ra nó ở giai đoạn khác. Sau khi phát hiện, chúng tôi có khả năng thực hiện hành động tự động chống lại các hành vi bất thường đó. Áp dụng công nghệ của chúng tôi vào mã độc tống tiền Maze, chúng tôi có thể phát hiện và giảm thiểu tác hại theo những cách sau:
- Việc phát hiện lừa đảo của chúng tôi sẽ đánh giá URL độc hại và giảm thiểu rủi ro của nó.
- Các kết nối RDP sẽ được đánh giá, cảnh báo và tự động giảm nhẹ khi xảy ra các đăng nhập bất thường.
- Các tệp phần mềm độc hại được đề cập ở trên sẽ được công cụ phần mềm độc hại của chúng tôi đánh giá và giảm thiểu.
- Nếu các tệp đó vượt qua bài kiểm tra phần mềm độc hại, cảm biến máy chủ sẽ bắt được hành vi thay đổi (tức là quá trình mới được tạo ra với một kết nối mới đến máy chủ tệp internet).
- Nếu tệp nhỏ giọt vượt qua đánh giá phần mềm độc hại và cảm biến máy chủ, thì lệnh gọi đến máy chủ tệp internet có thể đã được giảm thiểu ở cấp độ mạng. Nền tảng Stellar Cyber sẽ báo hiệu cho các bức tường lửa mạng triển khai một khối tới máy chủ mục tiêu.
- Việc tải xuống tệp mới có thể đã bị bắt và giảm nhẹ khi đánh giá phần mềm độc hại hoặc cảm biến máy chủ.
- Quá trình mã hóa sẽ được phát hiện bởi cảm biến máy chủ và các kỹ thuật giảm thiểu được áp dụng để ngăn / dừng quá trình tiếp tục.
- Cuối cùng, quá trình tách lọc sẽ được phát hiện bởi lớp mạng, cảm biến máy chủ và thông tin về mối đe dọa.
Ransomware là một ngành công nghiệp khổng lồ. Việc sao lưu và vá lỗi là điều cần thiết nhưng về chuyên sâu phòng thủ cũng vậy. Nếu bạn không bảo vệ môi trường của mình ở các giai đoạn khác nhau của chuỗi tiêu diệt, bạn nên cân nhắc làm như vậy. Nếu bạn đang gặp khó khăn trong việc triển khai các khái niệm này vì bạn có quá nhiều công cụ không tương thích với nhau, hãy gọi cho chúng tôi. Chúng tôi có thể giúp!
