- A+
在讨论最近针对市政当局的勒索软件攻击的两部分系列文章的第二部分中,Shawn Taylor和Forescout讨论了城市如何保护自己。
有时,只需要一封恶意电子邮件就可以通过勒索软件感染整个城市,从水务公司或网站上冻结重要的城市系统。
佛罗里达州的里维埃拉海滩市就是这种情况,该公司遭受了勒索软件攻击,其计算机系统遭受了三周的打击后,向黑客支付了60万美元。 这不仅仅是里维埃拉海滩。 2018年,勒索软件遭到勒索软件攻击后, 亚特兰大市的几个系统遭到瘫痪。 而巴尔的摩市是最近另一个勒索软件的受害者 ,勒索软件于5月袭击并停止了一些城市服务,如水费,许可证等,要求支付76,000美元的赎金。
随着勒索软件攻击地方政府不断成为头条新闻,城市可以做些什么来更好地保护自己?
在两部分系列文章的第二部分中 ,Threatpost与Forescout的高级系统工程师Shawn Taylor进行了会谈,他介绍了全国各州和地方政府。 泰勒在臭名昭着的2018年亚特兰大勒索软件攻击中处于战壕中,讲述了他如何最好地防范勒索软件威胁的经历。
[对于这个由两部分组成的Threatpost Podcast系列的第一部分,请参阅我们的第一个播客,' 为什么城市是勒索软件的低挂果实 ']
以下是播客的轻微编辑记录。
Lindsey O'Donnell :欢迎回到Threatpost Podcast,我是Lindsey O'Donnell。 这个播客是Shawn Taylor与Forescout的两部分播客采访中的第二部分,他告诉我们他在亚特兰大佐治亚州勒索软件攻击前线的经历,以及为什么更多城市容易受到这些攻击。 在采访的第二部分,肖恩谈到了避免这些类型攻击的重要提示。
所以Shawn,现在城市可以做些什么来更好地抵御这些类型的攻击? 他们怎么可能是最积极主动的 - 无论是教育,是否是补丁管理,是否只是在各个层面上进行备份? 你的顶级技巧是什么?
Shawn Taylor :当我进入并谈论勒索软件时,我会给观众留下一些思考的东西,他们真的是关键点,直接进入这个问题的核心。 首先,有一个原因是SANS和CIS布局,硬件资产管理,H-WAN和软件资产管理,S-WAN,作为前两个控件,对。 所以这是我的第一点,就是确保你持续不断 - 在任何给定的时间点,你知道网络上的每个设备,并且你知道网络上每个设备上的每一个软件,然后给出你的基础。 那个基金会说,好吧,我现在可以开始分析并说,我需要修补系统吗? 或者是我的修补机制和我的修补过程 - 这些东西是否足够? 他们需要改造吗? 他们需要加强吗? 他们需要完全重做吗? 因此,它了解设备,了解它们的补丁级别及其合规性级别。 因为合规可能对不同的人意味着不同的事情。 但在一天结束时,了解无论如何 - 无论是否有漏洞解决方案或扫描或者您拥有什么 - 了解每个单独的工具实际上都是在做他们的工作,并确保您有备份您的系统是非现场的,脱机的,是已定期测试的灾难恢复计划的一部分,对,您实际已经完成,您已恢复到离线的干净环境。
现在,这两个最后的部分,备份和DR [灾难恢复]计划预先假定您有一个充分填充的CMDB [配置管理数据库]和ITSM [IT服务管理]环境,可以使用它。 而且,再一次,我认为这是基础的,对吧? 您无法将安全性与服务管理分开。 而且我认为需要有一个充分,准确完全填充的CMDB ,了解环境中的所有内容 - 只有这样才能开始分析并确定我的关键资产是什么,在发生灾难时我们可以恢复从。 我认为它能够理解网络上的每个设备,安装在其上的软件,它们是否经过充分和准确的修补。 对,你到位的流程,工具和系统,他们是在做他们的工作吗? 确保您拥有充足的CMDB和ITSM环境,理想情况下可以帮助您管理流程,对吧? 一个灾难恢复计划,可以处理所有这些环境,并确保您拥有在发生灾难时需要恢复的所有内容。 当然,您要从恢复过程或备份中恢复或利用的内容。 并确保您拥有一套准确的备份。
然后哦,是的,顺便说一句,我没有触及的一件事,但内部和外部的笔测试。 你知道,我认为其中一件事 - 在一个真正的快速旁边,当我在塔拉哈西与这个行业组织谈话时,我提出了一个我与其他团体谈过很多的网站,它被称为Shodan.io。 这真的很有趣,它是一个聚合面向互联网的IP地址的网站。 它向您展示了暴露于互联网的每个端口协议服务。 你可以看看你是否已经将RDP暴露在互联网上,你可以看到你是否拥有这些开放的端口,或者可能被对手或坏人利用的东西,这些都是暴露在互联网上的。 因此,在这个过程的一部分,这个笔测试过程确保您在内部正确,内部威胁以及外部威胁上都能得到准确的强化。
我认为这些确实是初选,当然有更多 - 用户帐户,你知道,有很多,特别是对于较旧的组织,Active Directory会变得很累,对吧? 如果不一定,如果我们没有定期过程来清理和改善我们的Active Directory环境的卫生,无论是组成员身份还是他们所在的层次结构,还是GPO [组策略对象] 他们自己。 最终,组织倾向于获得冲突的策略对象,您有成员登录到具有提升权限的域系统,并且他们实际上不应该使用提升的权限登录,因为现在突然间,这给了他们能够在域级别执行操作,这可能会对企业的其他部分造成伤害。
对? 所以有点变成多种不同的东西,不一定是个别的东西。 理想情况下,它实际上是在审视每个单独的部分。 并且只是说,'好吧,我们可以知道,每个设备都知道吗? 他们修补了吗? 我们是否可以看到漏洞? 我们是否可以看到用户和用户个人资料?'
LO:是的,不,这绝对是一个很好的客户清单。 而且,您知道,希望更多的地方政府可以更好地了解勒索软件威胁以及如何防范它们。 所以,肖恩,这是一次很棒的聊天。 并且感谢您参加Threatpost播客,讨论勒索软件威胁以及针对这些类型攻击的最佳实践。
ST:谢谢,林赛。 我感谢你今天的时间。
LO:你也是。 再一次,我是Lindsey O'Donnell的威胁职位,我和肖恩泰勒一起参加了侦察。 下周在Threatpost播客上播放我们。
对补丁管理更感兴趣? 不要错过 7月24日星期三美国东部时间下午2点 的免费直播 威胁邮件网络研讨会 “ 精简补丁管理”。 请加入Threatpost编辑Tom Spring和一个补丁专家小组讨论补丁管理的最新趋势,如何为您的企业找到合适的解决方案以及在部署程序时面临的最大挑战。 注册并了解更多信息
