技术文章

安全性继续快速发展勒索软件，不被打败真是太好了。然而，投资于某些技术往往会给公司一种虚假的安全感。他们认为他们在涉及勒索软件的地方已经被覆盖，并且不必进一步改善他们的安全状况。 

不利的一面是，随着威胁的发展，越来越多的供应商每年都会开发新产品和功能。因此，公司不知道这些新服务是否提供了他们没有的东西或更多相同的东西。勒索软件运营商不会止步于“去年有效的方法”，我们也不能。

为此，这里有一个更有效的勒索软件响应的 5 步计划。

第 1 步：尽你所能预防

预防需要可见性，而可见性涉及简单性。 

您的组织能否在网络上的任何位置检测到勒索软件？请记住，勒索软件在不断发展、伪装自己并学习新的方法来逃避检测。 

预防的第一步是清理企业。环境是否简单到足以导航，或者您是否有消除噪音的工具？为了现代化和简化您的安全堆栈，公司希望整合他们的供应商，迁移到提供生态系统全面可见性的下一代保护，迁移到云优先管理模型，并整合检测和响应功能。 

第 2 步 - 有节奏地回应 

为了快速响应，组织必须进行深入的尸检，主要侧重于监控和保护端点。它从网络中获取了多少凭据？它窃取了哪些数据？什么是受损资产？ 

可扩展的数据平台可以帮助回答这些问题，在当今的威胁环境中，这意味着发现恶意模式。换句话说，以操作为中心的方法。 

需要一种依赖 AI/ML 的基于行为的方法来发现大多数新出现的恶意软件变种。安全态势是面向未来的吗？它是否符合 NIST 和MITRE 框架，是否能跟上最多产的威胁？ 

此阶段的关键是评估您是否有员工和技能来理解下一步的技术细节以及如何推动下一步，或者您是否应该将其作为一项服务。这就是容量规划。

第 3 步 - 丰富您的检测保真度 

组织必须将其安全性扩展到端点之外，以创建高保真丰富的检测。从一个来源接收威胁数据是一回事；通过整个环境中的不同数据源来确认它是另一回事。

从端点到任何地方，这种以操作为中心的方法可为您提供基于签名的解决方案无法提供的威胁情报。该数据用于确定公司的差距。您能否将这些知识映射回一个您可以看到端到端操作的单一流程？你做得越多，检测就越丰富。这样可以更深入地了解更多威胁并提高您的响应能力。 

可见性也意味着可用性。当您只有一堆警报时，几乎与没有警报一样徒劳。团队不堪重负，事件被忽略，问题仍然存在。相关事件和充实构成了恶意操作 ( MalOp ™)，并使公司能够看到全局。 

现在，像 XDR 这样的工具会派上用场。

在我们的新研究勒索软件和现代 SOC 中了解更多信息：勒索软件如何推动 SOC 现代化的要求

第 4 步 - 优化您的回应 

组织需要有效、可扩展的响应能力。我们今天所做的是行不通的。

根据 ISC2 研究，对更多网络安全专业人员的需求超出了我们填补空白的能力。现在有350万个职位空缺，同比增长26%。这一差距在北美增长了 8.5%，在亚太地区和欧洲、中东和非洲分别增长了 52% 和 60%。 

我们目前的策略——让人们解决问题——行不通。相反，我们正在把自己挖到一个越来越深的坑里。 

我们需要能够自动执行人们无法跟上的任务的工具。我们需要能够强制倍增现有团队的解决方案。一旦数据得到准备、优化和丰富，这些技术就可以走得更远。指导性补救措施可改善平均响应时间 (MTTR)。扩展检测和响应 (XDR)等自主 AI/ML 驱动平台可以摄取数 PB 的数据并实时分析 100% 的数据。这会启动泵并优化团队的响应能力。

第 5 步 - 实现无限规模 

下一代解决方案使公司能够快速、大规模地做出响应。勒索软件参与者拥有技术，我们也是。他们以每六个月10,000 个的速度推出新的漏洞，需要AI/ML 驱动的平台才能阻止它。

XDR 等工具可以使用行为分析发现已知的恶意软件和其他一切。他们可以查看端点、端点之间以及内核级别，以便在恶意攻击开始时发现它们。然后，自动修复功能开始大规模响应威胁。同样，这可以让您的人力资源腾出时间来进行威胁搜寻、专注于关键问题并不断增强您的安全策略。