勒索軟件預防、檢測與響應手冊 Ransomware Protection Playbook

[美] 羅傑·A. 格萊姆斯(Roger A. Grimes)著 趙超傑 徐坦 欒浩 王文娟 高崇明 譯

勒索軟件預防、檢測與響應手冊 預覽內頁
  • 勒索軟件預防、檢測與響應手冊-preview-1
  • 勒索軟件預防、檢測與響應手冊-preview-2
  • 勒索軟件預防、檢測與響應手冊-preview-3
勒索軟件預防、檢測與響應手冊-preview-1

商品描述

" 在全球各地,已發生了多起孩人聽聞的勒索軟件攻擊事件,Colonial Pipeline、CWT Global、Brenntag和Travelex事件都是鮮活的例子。令人欣慰的是,組織可採取控制措施,來保障系統和數據的安全,避免受到勒索團夥的攻擊。 在《勒索軟件預防、檢測與響應手冊》一書中,資深的網絡安全和滲透測試專家Roger A. Grimes勾勒了實用的路線圖,列出明確具體的防禦步驟,幫你築牢防線,指導你未雨綢繆,在敵方發起攻擊前就採取必要措施,從而擊敗當今最陰險、**破壞力的安全威脅。 通過學習本書,你將能快速發現攻擊跡象,在攻擊發生時控制危害程度,確定是否支付贖金。將學會預先制定勒索軟件策略,避免出現安全漏洞,減少可能遭受的財務損失,防止聲譽受損。還將學會購買合理的網絡安全保險,確保自己的行為合法,從而降低潛閱讀這本令人耳目一新的書籍,你還將學會: ?預先編制危機響應方案,在受到勒索攻擊時及時啟動該方案。 ?評價和選購網絡安全保險。 ?築起一道固若金湯的保護屏障,以抵禦勒索軟件團夥的入侵。 ?從已發生的重大勒索軟件事故攻擊中汲取經驗和教訓。 ?降低自己成為下一個勒索軟件受害方的概率。在的業務活動中斷風險。"

目錄大綱

目    錄

 

第I部分  簡介

第1章   勒索軟件簡介   3

1.1  情況有多嚴重   3

1.1.1  勒索軟件的統計數據變化   5

1.1.2  勒索軟件的真實成本   6

1.2  勒索軟件的類型   8

1.2.1  偽造類勒索軟件   9

1.2.2  立即執行或延遲執行   12

1.2.3  自動引導或手工引導   15

1.2.4  影響一臺設備或多台設備   15

1.2.5  勒索軟件攻擊的根本原因   17

1.2.6  文件加密或啟動感染   18

1.2.7  加密嚴謹或加密不嚴謹   19

1.2.8  加密或發布盜取的數據   20

1.2.9  勒索軟件即服務   25

1.3  典型勒索軟件的流程和組件   26

1.3.1  滲入組織   26

1.3.2  初始執行後   28

1.3.3  回撥   28

1.3.4  自動升級   30

1.3.5  檢查物理位置   31

1.3.6  初始自動有效載荷   32

1.3.7  等待   32

1.3.8  攻擊方檢查C&C服務器   32

1.3.9  更多可供使用的工具   33

1.3.10  偵察   33

1.3.11  準備加密   34

1.3.12  數據泄露   35

1.3.13  加密數據   35

1.3.14  提出敲詐訴求   37

1.3.15  談判   37

1.3.16  提供解密密鑰   38

1.4  勒索軟件集團化   39

1.5  勒索軟件行業組成   42

1.6  小結   45

第2章   預防勒索軟件   46

2.1  十九分鐘即可接管系統   46

2.2  完善的通用電腦防禦戰略   47

2.3  理解勒索軟件的攻擊方式   49

2.3.1  所有攻擊方和惡意軟件使用的九種漏洞利用方法   50

2.3.2  惡意攻擊最常用的方法   51

2.3.3  勒索攻擊最常用的方法   51

2.4  預防勒索軟件   54

2.4.1  主要防禦措施   54

2.4.2  其他預防措施   56

2.5  超越自衛   62

2.6  小結   66

第3章   網絡安全保險   67

3.1  網絡安全保險變革   67

3.2  網絡安全保險是否會導致勒索軟件攻擊愈演愈烈?   72

3.3  網絡安全保險保單   73

3.3.1  保單內容   73

3.3.2  恢復費用   74

3.3.3  贖金   75

3.3.4  根本原因分析   75

3.3.5  業務中斷費用   76

3.3.6  通知和保護客戶及股東   76

3.3.7  罰款及法律調查   77

3.3.8  網絡保單結構示例   77

3.3.9  承保和未承保的費用   78

3.4  網絡安全保險流程   81

3.4.1  投保   81

3.4.2  確定網絡安全風險   82

3.4.3  核保和批準   83

3.4.4  事故索賠流程   84

3.4.5  初始的技術幫助   84

3.5  網絡安全保險註意事項   85

3.5.1  社交工程例外   86

3.5.2  確認保單承保了勒索軟件   86

3.5.3  員工過失   86

3.5.4  居家工作場景   87

3.5.5  戰爭例外條款   87

3.6  網絡安全保險的未來   88

3.7 小結   90

第4章   法律考慮因素   91

4.1  比特幣和加密貨幣   92

4.2  支付贖金的法律風險   99

4.2.1  咨詢律師   101

4.2.2  嘗試追蹤贖金   101

4.2.3  執法部門參與   101

4.2.4  獲得OFAC 許可後支付贖金   102

4.2.5  盡職調查   102

4.3  是官方數據泄露嗎?   103

4.4  保留證據   103

4.5  法律保護摘要   103

4.6  小結   104

 

第II部分  檢測和恢復

第5章   勒索軟件響應方案   107

5.1  為什麽要制定勒索軟件響應方案   107

5.2  什麽時候應該制定響應方案   108

5.3  響應方案應覆蓋哪些內容   108

5.3.1  小規模響應與大規模響應的閾值   108

5.3.2  關鍵人員   109

5.3.3  溝通方案   110

5.3.4  公共關系方案   112

5.3.5  可靠的備份   113

5.3.6  贖金支付方案   115

5.3.7  網絡安全保險方案   116

5.3.8  宣告數據泄露事件需要哪些條件   117

5.3.9  內部和外部的顧問   117

5.3.10  加密貨幣錢包   118

5.3.11  響應   120

5.3.12  檢查列表   120

5.3.13  定義   122

5.4  熟能生巧   122

5.5  小結   123

第6章   檢測勒索軟件   124

6.1  勒索軟件為何難以檢測?   124

6.2  檢測方法   126

6.2.1  安全意識宣貫培訓   127

6.2.2  AV/EDR輔助檢測   127

6.2.3  檢測新進程   128

6.2.4  異常的網絡連接   132

6.2.5  無法解釋的新發現   133

6.2.6  不明原因停工   134

6.2.7  積極持續監測   135

6.3  檢測解決方案的示例   136

6.4  小結   141

第7章   最小化危害   142

7.1  初期勒索軟件響應概述   142

7.2  阻止進一步擴散   144

7.2.1  關閉或隔離已感染的設備   144

7.2.2  斷開網絡連接   145

7.3  初步危害評估   148

7.3.1  會受到的影響   149

7.3.2  確保備份數據有效   149

7.3.3  檢查數據與憑證泄露徵兆   150

7.3.4  檢查惡意郵件規則   150

7.3.5  對勒索軟件的瞭解程度   151

7.4  首次團隊會議   151

7.5  決定下一步   152

7.5.1  決定是否支付贖金   153

7.5.2  恢復還是重新部署   153

7.6  小結   155

第8章   早期響應   156

8.1  響應團隊應該知曉的事項   156

8.2  應牢記的若乾事項   158

8.2.1  數據加密往往不是組織唯一需要面對的問題   158

8.2.2  可能造成聲譽損害   159

8.2.3  可能導致人員解雇   160

8.2.4  事情可能變得更嚴重   161

8.3  重大決策   162

8.3.1  業務影響分析   162

8.3.2  確定業務中斷的解決方法   163

8.3.3  確定數據是否已經泄露   163

8.3.4  確定能否在不支付贖金的情況下解密數據   164

8.3.5  確定是否應支付贖金   168

8.3.6  確定是恢復還是重建相關系統   170

8.3.7  確定勒索軟件隱匿的時長   171

8.3.8  確定根本原因   171

8.3.9  確定是局部修復還是全局修復   172

8.4  早期行動   173

8.4.1  保存證據   173

8.4.2  刪除惡意軟件   173

8.4.3  更改所有口令   175

8.5  小結   175

第9章   環境恢復   176

9.1  重大決策   176

9.1.1  恢復與重建   177

9.1.2  恢復或重建的優先級   177

9.2  重建流程總結   181

9.3  總結恢復流程   184

9.3.1  恢復Windows電腦   185

9.3.2  恢復/還原Microsoft Active Directory   186

9.4  小結   187

第10章  後續步驟   189

10.1  範式轉換   189

10.1.1  實施數據驅動的防禦   190

10.1.2 跟蹤進程和網絡流量   195

10.2  全面改善網絡和數據安全衛生   196

10.2.1 使用多因素身份驗證   196

10.2.2  使用強口令策略   197

10.2.3  安全地管理特權組成員權限   198

10.2.4  完善安全態勢的持續監測   199

10.2.5  PowerShell安全   199

10.2.6  數據安全   199

10.2.7  安全備份   200

10.3  小結   201

第11章  禁止行為   202

11.1  假設自己不可能成為受害方   202

11.2  認為超級工具能夠預防所有攻擊   203

11.3  假定備份技術完美無缺   203

11.4  聘用毫無經驗的響應團隊   204

11.5  對是否支付贖金考慮不足   205

11.6  欺騙攻擊方   205

11.7  用小額贖金侮辱勒索團夥   206

11.8  立即支付全部贖金   207

11.9  與勒索軟件團夥發生爭執   207

11.10  將解密密鑰用於唯一數據副本   208

11.11  不要關心根本原因   208

11.12  僅在線保存勒索軟件響應方案   209

11.13  允許團隊成員違規操作   209

11.14  接受網絡保險策略中的社交工程攻擊免責條款   209

11.15  小結   210

第12章  勒索軟件的未來   211

12.1  勒索軟件的未來   211

12.1.1  超越傳統電腦攻擊   212

12.1.2  物聯網贖金   213

12.1.3  混合目的的攻擊方團夥   215

12.2  勒索軟件防禦的未來   216

12.2.1  未來的技術防禦   216

12.2.2  戰略防禦   218

12.3  小結   220

12.4 書末贈言   220

類似商品