介紹勒索軟體內容瀏覽器 (Ransomware Content Browser)

Splunk SURGe 最近發布了一份 白皮書、部落格和影片，簡要介紹了 10 個不同勒索軟體家族的加密速度。這項研究的結果是，一旦加密開始後，防禦人員就無能為力了。此外，當今的勒索軟體大多是「人為操作的」，許多受害系統在任何加密活動發生之前就已經被鎖定並入侵了。一旦系統已經遭駭，加密的速度就會很快，快到我們難以減少損害。

聽起來或許令人沮喪，但作為防禦人員，您還是可以採取一些行動來保護自己。在防禦方面，您應側重於「爆發前」("left of boom") 的預防、偵測和減緩，爆發 ("boom") 意指資料被加密、外洩和破壞。在實際「爆發」之前，會先出現大量的攻擊者活動。例如，一定會有一個整合和準備階段，攻擊者透過指揮和控制活動來橫向移動，以盡可能接觸到所有系統。作為防禦人員，這些活動中的每一個環節都是您破壞攻擊的機會。幸運的是，許多防禦活動是您已經在做或今天有能力做到的。

作為一家公司，我們可以做些什麼來幫助客戶和廣大的網路安全社群進行防禦？我們來檢視勒索軟體攻擊的生命週期，正如 CERT NZ 在這份線上指南中所指出的，我們發現勒索軟體攻擊中的許多步驟都與其他類型的入侵和攻擊相似。因此，Splunk 使用者現在就有能力和相關的安全內容來解決這個問題。我們只需要讓這些內容變得可搜尋和可用，以及將其應用於勒索軟體的框架上。

結果是我們可以得到一個線上環境，使用者可以在其中與攻擊的所有階段和時期互動，並顯示出專門處理該問題的現有安全內容。我們的想法是提供可以解決實務的特定內容，幫助防禦人員破壞攻擊。我們沒有從頭來過，而是直接使用 CERT NZ 的出色工作來視覺化勒索軟體的生命週期。在此互動式環境中用於對應的內容類型包括了我們的 Splunk 威脅研究團隊 (STRT) 的偵測結果、部落格文章，以及 Splunk 專家和客戶提供的 .conf 論壇、影片教學等等。

這個互動式瀏覽器已經可以在 Splunkbase 上 Splunk Security Essentials 3.6.0 的最新版本中使用。請把握時機！