在 RSAC 2019 上,CrowdStrike 公司打点处事副总裁 Austin Murphy 发表演讲,探讨了如何应对网络威胁的“调处艺术”。
Murph 举了 Emotet 银行木马的例子,阐发了这种威胁已被证明已成为一个难题,同时调处价钱也是昂扬的。
“Emotet 是一个恶意软件系列,出格是在夏天时泛滥严重,” Murph 暗示,“Emotet 问题如此严重的原因在于它传染端点后的感化。 它不会简单地传染某一个端点,而是会窃取根据并横向移动,以传染网络上的其他端点。”
Murphy 增补说,恢复调处像 Emotet 这样的威胁是一项重大挑战,目前可用的美国 CERT 调处建议往往并非很多企业组织的现实选择。
为何断根 Emotet 这么难?这是因为 Emotet 使用多种类似蠕虫的开发技术进行流传,只需要一个受传染的系统即可当即再次传染整个网络。
它还创建“随机定名”二进制文件并一直更新。 因此,企业必需掌握“调处艺术”以应对像 Emotet 这样的威胁。
那么应如何掌握调处艺术? Murphy 暗示,可归结为“快速停止和革除”。
第一步是“在打击开始阶段(停止)得知威胁”。此中包孕:
• 识别正在运行的进程
• 确定机制的长期性
• 识别二进制文件和其他文件
• 了解恶意软件成果
调处艺术的下一步是“覆没在浴缸中”覆灭威胁。这需要:
• 终止恶意进程
• 断绝磁盘中的内容
• 删除长期性机制
总之,Murphy 建议将重点放在阻止、可见性、长途控制和专业技术这四个关键要素上。