Best Practices für die Ransomware Prävention

• Phishing-Mails können schädliche Anhänge enthalten. Diese Anhänge sind nicht immer in ausführbarer Form geliefert; als Anbieter von Sicherheitslösungen und Sicherheit, die bewährte Verfahren vorschreiben, dass ausführbare Dateien per e-Mail zu erhalten in der Regel ist haben etwas, was wir wollen verhindern, Bedrohung Akteure zur Anpassung an die sich verändernde Landschaft. Dies kann durch indirekte Mechanismen erfolgen. In Windows, z. B. ein bösartiger Schauspieler kann entscheiden Sie sich für eine weniger direkte Methode der Lieferung: einbetten eine verschleierte JavaScript-Datei in einem Archiv, und verlassen Sie sich auf den Endbenutzer für den Rest. Öffnen einer . JS Datei auf einem Windows-Host startet den Standardbrowser, und JavaScript kann dann an einen externen Browser wenden, URL um eine ausführbare Datei zu greifen, sie an das Opfer zu übermitteln und auszuführen. Zu diesem Zeitpunkt ist es nicht mehr wirksam, Benutzer daran zu hindern, ausführbare Dateien per E-Mail zu empfangen, da die ausführbare Datei über zugestellt HTTP wird.
• Exploit-Kits (wie Angler oder Neutrino) sind dafür bekannt, Ransomware an Benutzer zu liefern, indem sie anfällige Webserver ausnutzen und bösartige Webskripte auf ihnen hosten, die Besucher ausnutzen, wenn bestimmte Kriterien erfüllt sind, und dann eine bösartige Nutzlast liefern (Angler Exploit Kit Artikel - Unit42)
• Gezielte Ransomware wurde zur Kenntnis genommen und vor kurzem verfolgt, welche Organisationen externe hatte mit Blick auf Webservern beeinträchtigt durch böswillige Akteure um fassen, wer fuhr fort, die Umwelt, Karte, und die Datei Cryptor massenhaft eingesetzt. (Entwicklung von SamSa Malware Artikel - Unit42)

Ransomware-Angriffe
PAN-OS verhindern – Sicherheitsprofile haben Schutz an verschiedenen Punkten in der Kill-Kette, um Ransomware-Infektionen zu beheben und sie am Betreten eines Netzwerks zu hindern. A Eine allgemeine Übersicht über Sicherheitsprofile und deren Zweck finden Sie hier: policy Sicherheitsgrundlagen

1) Um Exploit-Kits und bekannte Schwachstellen zu bekämpfen, gibt es zahlreiche Schwachstellensignaturen im PAN-OS Inhalt. Um Benutzer vor diesen Exploits zu schützen, kann die Verwendung eines "strengen" Sicherheitslückenschutzes policy hilfreich sein und wird empfohlen. Auf das minimum, Gewährleistung Signaturen aktiviert sind, mit präventiven Maßnahmen gegen kritischen Schweregrad Signaturen ist notwendig. A Eine strikte Haltung zu Schwachstellenschutzprofilen wird dazu beitragen, die Gefährdung durch Exploit-Kits zu verhindern und externe Webserver vor der Ausnutzung bekannter Schwachstellen zu schützen.

Einige potenziell relevante Signaturen umfassen die Exploit-Kit-gekennzeichneten Signaturen (siehe Referenz 1 unten), XOR Malware-Verschleierungserkennung, Microsoft Windows OLE Remote Code Execution, Böswillige PE Erkennung und JavaScript-Verschleierungserkennung.

Da JavaScript ein nicht unterstützter Dateityp für die Dateiblockierung ist, ist es außerdem von Vorteil, Aktionen für die Signaturen 39002 und 39003 zu untersuchen, die das Vorhandensein von JavaScript-Dateien innerhalb von SMTP Flows überprüfen.

Um die Sicherheitslage zu verbessern, empfehlen wir, eine Ausnahme für die ID Bedrohung zu erstellen.Wenn Sie sie auf "Verweigern" setzen, wird Datenverkehr blockiert, der mit diesen Signaturen übereinstimmt.

Wir empfehlen jedoch, in Ihrer Umgebung vor einer Warnungseinstellung zu testen, um sicherzustellen, dass legitimer Datenverkehr nicht blockiert wird, obwohl es nicht viele legitime Verwendungen für .js Dateien gibt, die in einer E-Mail gesendet werden.

Bedrohung ID	Beschreibung
38353	Diese Signatur weist darauf hin, dass eine schädliche MSO Datei erkannt wird.
38590	Diese Signatur weist darauf hin, dass eine schädliche MSO Datei erkannt wird.
38591	Diese Signatur weist darauf hin, dass eine schädliche MSO Datei erkannt wird.
39002	Diese Signatur erkennt eine .js .wsf- oder .hta-Datei, die direkt in einer E-Mail gesendet wird.
39003	Diese Signatur erkennt eine .js .wsf- oder .hta-Datei in einem Ordner, der ZIP in einer E-Mail gesendet wird.

Weitere Informationen zu verfügbaren Vulnerability-Signaturen finden Sie unter ThreatVault 2.0.
(Exploit-Kit- und Phishing-Schwachstellenprofilkategorien | Profile zum Schutz von Sicherheitsanfälligkeiten)
 

2) Um die Lieferung von bösartigen Nutzlasten zu verhindern, PAN-OS hat eine Anti-Virus-Scan-Engine, die unterstützte Protokolle überprüfen kann, auf denen virale Inhalte am häufigsten übertragen werden, einschließlich: http, smtp, imap, pop3, ftp und smb. Die Sicherstellung eines Antivirenprofils mit vorbeugenden Maßnahmen wird jeder Sicherheitsregel zugewiesen, die Datenverkehr zulässt, der häufig als Ziel verwendet wird (z. B. Webbrowsing im Internet und E-Mail-Zugriff), sollte idealerweise ein Antivirenprofil zugewiesen sein, dem präventive Aktionen für die Spalte Aktion und -Aktion für Protokolle konfiguriert Wildfire sind, für die er unterstützt wird. (Weitere Informationen zu dem Unterschied finden Sie im Abschnitt Prävention - Dynamische Updates).
(Antivirus-Profile)

3) URL Die Filterung kann so konfiguriert werden, dass der Zugriff auf URLs in verdächtigen Kategorien wie Malware/Phishing/Unbekannt/Dynamic DNS /Proxy-vermeidung/Fragwürdig/Geparkt blockiert wird, wodurch verhindert wird, dass ein Host über HTTP einen Webserver zugreift, den Palo Alto Networks als Host verdächtige Inhalte/Malware gesehen hat. 
(Von den Experten: URL Filterimplementierung und Fehlerbehebung )

4) Verwenden Sie die Dateiblockierungsfunktion der PAN-OS Appliance. PAN-OS ist in der Lage, unterstützte Dateitypen in Datenströmen zu identifizieren und Maßnahmen zu ergreifen, je nachdem, wie Sie sie konfiguriert haben. Eine gemeinsame Taktik der Ransomware (und Malware-Autoren im Allgemeinen) ist neue Infrastruktur für die Lieferung stehen, verwenden Sie es für eine kurze Zeit, und dann in Rente. Dies verhindert, dass Reputationsrisiken basierte Filterung, wie durch die Sicherheit Anbieter Infrastruktur einordnen können, wie bekannt, bösartige, clever Bedrohung Schauspieler es zurückgezogen haben und an anderer Stelle tätig sind. Eine Lösung hierfür besteht darin, die Dateiblockierung gängiger bösartiger Nutzlasttypen (z. B. Flash-, PDF , ausführbare und Office-Dokumente) mit einer Sicherheitsregel zu kombinieren, wobei die Dienst-/Kategorie URL auf "Unbekannt" und das Ziel im öffentlichen Internet festgelegt ist. Dies verhindert effektiv die Übertragung gängiger Nutzlasttypen unabhängig von der AV Erkennung, nur weil Ihr PAN-OS Gerät die Quelle der Datei nicht kennt.

Bitte beachten Sie, dass policy Änderungen dieses Typs sorgfältig konfiguriert werden sollten, um sicherzustellen, dass legitimer Datenverkehr nicht beeinträchtigt wird. Da Palo Alto Networks Intranetsites von Unternehmen nicht scannen kann, ist es wichtig, sicherzustellen, dass die URL Filterprotokolle für die Aktivität unbekannte Kategorie überprüft werden, bevor Sie einen solchen Block erlassen, um einen Dienstausfall für interne Benutzer zu verhindern. Das Erstellen benutzerdefinierter URL Kategorien für Websites, die derzeit nicht von den Palo Alto-Netzwerken kategorisiert sind, firewall kann Sie auf diesen Schritt vorbereiten.

Darüber hinaus kann es auch relevant sein, bestimmte Dateitypen über zu SMTP blockieren, da ein erheblicher Teil der Ransomware-Kampagnen Phishing-E-Mails mit bösartigen Anhängen als Infektionsvektor nutzen.

Relevante Dateitypen umfassen: Alle PE Dateitypen (exe, cpl, dll, ocx, sys, scr, drv, efi, fon, pif), HLP , , , , LNK CHM BAT VBE . 

Das Blockieren oder Warnen verschlüsselter Dateitypen kann auch zur Verringerung der Exposition (verschlüsselter Zip) beitragen.

Warnungen bei allen Dateitypen, die nicht für die Sichtbarkeit und Protokollanalyse blockiert sind, können nützlich sein.
(Tipps aus dem Feld: Dateiblockierprofil)

5) Einige Varianten von Ransomware greifen auf externe Infrastruktur, um Daten zu empfangen (wie Eingaben von der angegebenen Infrastruktur, um Verschlüsselungsschlüssel zu generieren, um Ihre Dateien zu verschlüsseln); Daher ist es wichtig, ein Anti-Spyware-Profil mit einer "strengen" Einstellung zu konfigurieren und sicherzustellen, dass es auf Sicherheitsregeln angewendet wird, bei denen Der Datenverkehr in das öffentliche Internet (
Anti-Spyware-Profile)

austritt. Darüber hinaus enthält das Anti-Spyware-Profil Aktionen für den DNS Fall, dass verdächtige Abfragen erkannt werden. Der Anti-Virus und der Inhalt enthält eine Liste der Domänen, die Wildfire Palo Alto Networks als potenziell mit böswilligem Datenverkehr in Verbindung gebracht hat; Netzwerkadministratoren können Anforderungen an diese Domänen mit diesem Profil blockieren DNS oder den Datenverkehr an eine interne Adresse senken, die IP sie für die weitere Analyse konfiguriert haben. Wirklich engagierte Administratoren werden hier das Potenzial sehen, eine interessante Konfiguration zu erstellen. Sobald man es entführt DNS und in ein Sinkloch umgeleitet hat, kann das Aufstehen eines Webservers an dieser IP Adresse es dem Administrator ermöglichen, zu überprüfen, was aus einer erfolgreichen Suche resultiert haben DNS könnte.
(Konfigurieren von DNS Sinkhole-| So überprüfen Sie die DNS Sinkhole-Funktion funktioniert| Video-Tutorial: Konfigurieren DNS Sinkhole)  

6) Wenn lizenziert, sollten Einreichungen konfiguriert werden, um die Übermittlung von Wildfireunterstützten Dateitypen an die Cloud zur Auswertung zu Wildfire ermöglichen. Auf diese Weise können die Palo Alto-Netzwerke firewall neue Malware-Varianten identifizieren, eine Signatur für sie erstellen und diese in unseren Inhaltsaktualisierungen bereitstellen (Details zur Inhaltsbereitstellung finden Sie im Abschnitt Prävention - Dynamische Updates)
( Datei zur WildFire Analyse senden | WildfireKonfiguration, Testen und Überwachen )  

7) PAN-OS unterstützt die Verwendung externer dynamischer Listen zur Verwendung in einer Sicherheitsregel, um die Kommunikation mit Zielen auf der Grundlage externer Reputationsquellen zu verhindern. Während Palo Alto Networks derzeit keine eigene Liste der genehmigten Quellen kuratiert, gibt es hiereine aggregierte Liste von Ressourcen für den Kundenverbrauch . 
(Verwenden einer dynamischen Sperrliste inPolicy | Konfigurieren der dynamischen Blockliste ( DBL ) oder der externen Sperrliste ( EBL )

8) Die Verwendung von SSLDecryption ist ein wichtiger Faktor, der bei der Implementierung von Best Practices zu berücksichtigen ist. Keine der oben genannten Präventionen kann auftreten, wenn die Datenströme, die die durchqueren, firewall verschlüsselt sind und nicht zur Überprüfung entschlüsselt werden können. Die Anti-Virus-Inspektion funktioniert nicht auf HTTPS Streams oder verschlüsselten E-Mails; URL Das Filtern ist der beste Aufwand für den allgemeinen Namen/ SNI auf dem Zertifikat, das dem Webserver zugewiesen ist. Die Dateiblockierung kann nicht erfolgen, wenn PAN-OS Dateien nicht identifiziert werden können, da das Protokoll, das sie durchlaufen, verschlüsselt wird; Wildfire Übermittlungen können nicht erfolgen, wenn unterstützte Dateitypen für die PAN-OS Weiterleitung nicht identifiziert werden können, da das Protokoll, das sie durchlaufen, verschlüsselt wird. Sicherheitsanfälligkeits- und Spyware-Profile können Datenverkehr nicht mit bekannten Signaturen vergleichen, wenn der Datenverkehr verschlüsselt ist. Dies macht SSL die Entschlüsselung zu einem integralen Bestandteil der Sicherstellung, dass ein Netzwerk keine blinden Flecken hat.
(SSL Entschlüsselungsressourcenliste)

9) So weit wie möglich, erlauben Sie eine spezifische Anwendung in der Sicherheitsregel. Wenn möglich, sollten Sie 'unknown-tcp' und 'unknown-udp' Datenverkehr blockieren und bei Bedarf benutzerdefinierte Anwendungen für interne Anwendungen erstellen. 

10) AutoFocus (autofocus.paloaltonetworks.com) kann verwendet werden, um die Verhaltensmuster einer bestimmten Variante von Ransomware besser zu verstehen. Wenn Ransomware detoniert, sind die Artefakte, die es sowohl auf der Seite Host und Netzwerk erzeugt oft eindeutig genug, um zu identifizieren, welche Art von Ransomware ist; Dies kann der verschlüsselten Dateien, Format der Lösegeld Notizen Dateierweiterung, die externe Web-Hosts, um nur ein paar zu nennen mit Wiederherstellungsanweisungen und C2 Verkehr überlassen werden. Überprüfung häufig Ransomware-Familie Tags in AutoFocus kann veranschaulichen, was einzigartig ist, welche Variante und kann Benutzern helfen zu verstehen, wie jede Variante aussieht. Mit diesem Wissen bewaffnet zu sein, wird einen Netzwerkadministrator besser bewaffnet machen, um eine potenzielle Infektion zu bekämpfen.

AutoFocus kann auch Kontext verleihen, was Ransomwares auf welche Organisationen, Branchen oder ihre Kollegen abzielen. Dies kann ein gewisses Maß an proaktiver Datenerfassung vor jedem Vorfall ermöglichen und Administratoren besser darauf vorbereiten, ihre Verteidigung in Vorbereitung auf zukünftige Angriffe zu verstärken.

Man könnte sogar AutoFocus Indikatoren für Kompromisse mit anderen PAN-OS präventiven Funktionen wie externen dynamischen Listen kombinieren, um ihre Sicherheitslage zu erhöhen.
(Tipps & AutoFocus FAQ Tricks: | Wie zu verwenden AutoFocus)

Verhindern von Ransomware-Angriffen – Dynamische Updates
Zusammen mit derordnungsgemäßen Konfiguration von PAN-OS Sicherheitsprofilen, um sicherzustellen, dass die neuesten Inhalte auf dem Gerät verfügbar sind, wird ein Netzwerk vor den neuesten Bedrohungen geschützt.
(Inhaltsaktualisierungen verwalten)

Palo Alto Networks bietet Inhalte in zahlreichen Formen:

• Zum URL Filtern PAN-DB treten /BrightCloud-Suchen beim Zugriff auf URLs auf (mit Zwischenspeicherung, die nach einem Bestimmten Zeitraum abläuft). Daher ist keine geplante Aktualisierung zum URL Filtern erforderlich.
• Antiviren-Updates erfolgen ungefähr alle 24 Stunden, veröffentlichungen früh AM PST (Bitte beachten Sie, dass dies eine Schätzung ist und sich die Zeit je nach Qualitätssicherungsprozessen verschieben kann). Daher wird empfohlen, ein PAN-OS Gerät so zu konfigurieren, dass der Anti-Virus-Inhalt mindestens einmal täglich aktualisiert wird. Anti-Virus-Inhalte enthalten Signaturen für bekannte schädliche Dateien, und der Inhalt wird als Ergebnis der Wildfire Sandkastenanalyse der übermittelten Samples generiert. Dieser Inhalt knüpft an das Anti-Virus-Sicherheit-Profil unter der Spalte "Aktion".
• Wildfire (falls lizenziert) sind etwa alle 15 Minuten verfügbar. Daher wird empfohlen, ein PAN-OS Gerät so oft wie möglich zu konfigurieren, um den Inhalt so oft wie möglich zu Wildfire aktualisieren; dies stellt sicher, dass das Gerät jederzeit über die neuesten Signaturen verfügt, und die Präventionsfunktionen auf dem neuesten Stand halten. Dieser Inhalt ist mit dem Anti-Virus-Sicherheitsprofil in der Wildfire Spalte "Aktion" verbunden.
• Anwendungs- und Bedrohungsaktualisierungen erfolgen ungefähr alle 7 Tage und veröffentlichen Dienstagabend bis Mittwochmorgen (es kann auch zwischen zwei regulären wöchentlichen Veröffentlichungen zu einem gelegentlichen Notfallinhaltsupdate kommen). Daher wird empfohlen, ein PAN-OS Gerät so zu konfigurieren, dass Anwendungen und Bedrohungen mindestens einmal pro Woche aktualisiert werden. Bitte beachten Sie, dass diese Pakete Aktualisierungen der Anwendungsidentifizierungsfunktionen enthalten und es wird empfohlen, dass Administratoren Die Versionshinweise sorgfältig überprüfen, um mögliche Auswirkungen oder Konfigurationsänderungen, die vor der Installation des Inhalts erforderlich sind, vollständig zu verstehen. Der "Bedrohungen" Teil dieses Pakets enthalten Anfälligkeit Signaturen (Bindung in das Schutzprofil Sicherheit Verwundbarkeit) und Updates auf Spyware-Signaturen (Bindung in das Anti-Spyware-Sicherheit-Profil).

Als Abschluss beachten ist es erwähnenswert, dass Backups sind die beste Verteidigung gegen schwerwiegende Auswirkungen auf ein Netzwerk, das von Ransomware infiziert wurde. So lange auf dem neuesten Stand und gesicherte backup-Daten verfügbar ist, müssen Sanierung nach der Infektion deutlich geringere Belastung der betroffenen Parteien und Organisationen.