ПРОГРИД СИСТЕМС ХХК, Progrid Systems LLC,
🔐 Ransomware халдлагыг бүх lifecycle-ийн турш илрүүлэх нь🔐 Ransomware халдлагыг бүх lifecycle-ийн турш илрүүлэх нь
Ransomware нь олон жилийн турш оршин тогтнож ирсэн ч өнөөдөр ч байгууллагуудын хувьд хамгийн их саад учруулдаг кибер заналхийлэл хэвээр байна. Үүний шалтгаан нь энгийн: халдагчид илүү ухаалаг, илүү зорилтот, илүү зохион байгуулалттай болжээ.
Анх ransomware нь санамсаргүй, өргөн хүрээтэй тархдаг байсан бол өнөөдөр Ransomware-as-a-Service (RaaS) загварт шилжиж, бараг л бизнес болсон. Ингэснээр өндөр түвшний техникийн мэдлэггүй хүмүүс ч бэлэн халдлагын хэрэгсэл ашиглан мэргэжлийн түвшний довтолгоо хийх боломжтой болсон.
Ransomware бол түр зуурын трэнд биш тогтсон бизнес загвар болтлоо хөгжсөн.
Түүнийг эрт илрүүлэх цорын ганц арга нь халдагчид нуугдаж чаддаггүй орчин, өөрөөр хэлбэл сүлжээний урсгалыг ажиглах явдал юм.
Уламжлалт хамгаалалтын хэрэгслүүдийн хязгаар
Ихэнх байгууллагууд firewall болон Endpoint Protection / EDR шийдлүүдэд тулгуурладаг. Эдгээр нь мэдэгдсэн аюулыг хаах, сервер болон хэрэглэгчийн төхөөрөмж дээрх хортой үйлдлийг илрүүлэхэд зайлшгүй хэрэгтэй.
Гэвч нэг том сул тал бий.
Принтер, сканнер, IP утас, камер, үйлдвэрийн OT / IoT төхөөрөмжүүд:
- Endpoint agent суулгах боломжгүй
- Хуучин үйлдлийн системтэй
- Patch хийх боломжгүй байх нь элбэг
Эдгээр хяналтгүй asset-ууд нь сүлжээний хамгийн эмзэг цэг болж, ransomware халдагчдын гол бай болдог.
Уламжлалт хамгаалалт нь ажиллаж чаддаг газраа л хамгаалдаг, харин хяналтгүй үлдсэн хэсэг нь халдлагын орон зай болдог.
Яагаад сүлжээг хянах нь чухал вэ?
Ransomware ямар замаар орж ирсэн ч сүлжээгээр дамжихгүйгээр тархах боломжгүй.
- Сэжигтэй гадаад сервер рүү холбогдох
- Гэнэт их хэмжээний өгөгдөл дамжуулах
- Урьд өмнө ашиглагдаагүй протокол гарч ирэх
Эдгээр нь бүгд сүлжээний урсгал дээр тодорхой харагддаг дохио юм.
Endpoint-оос ялгаатай нь network monitoring нь:
- Laptop, сервер
- IoT, OT
- Legacy системүүд
гэх мэт бүх төхөөрөмжийг хамардаг.
Ransomware халдлагын шат (MITRE ATT&CK-д суурилсан)
Ransomware халдлага нь дараах шат дамжлагаар явагддаг ба шат бүрт нь сүлжээний ул мөр үлддэг.
1) Initial Access
Анхны нэвтрэлт:
- Vulnerability exploit
- Misconfiguration
- Brute-force
- Алдагдсан credential
➡️ Урьд байгаагүй шинэ сүлжээний холболт үүснэ.
2) Execution
Exploit kit, loader, script татаж ажиллуулах
➡️ Хэвийн бус outbound traffic илэрнэ.
3) Persistence
RDP идэвхжүүлэх, SSH key өөрчлөх, шинэ account үүсгэх
➡️ Шинэ service, тогтмол холболтууд үүснэ.
4) Privilege Escalation & Credential Access
NTLM hash, token, admin credential ашиглах
➡️ Authentication traffic дээр шууд илэрнэ.
5) Discovery & Lateral Movement
Network scan, SMB, RDP, remote execution
➡️ Сүлжээний хэв маяг огцом өөрчлөгдөнө.
6) Command & Control (C2)
Гадаад C2 сервертэй холбоо тогтоох
➡️ Beaconing, хэвийн мэт харагдах давтамжтай traffic үүснэ.
7) Exfiltration
Өгөгдөл хулгайлах:
Их хэмжээний outbound traffic
Dropbox, OneDrive зэрэг cloud сервис ашиглах
➡️ Data leakage-ийн тод дохио.
Ransomware-ийг Mendel-ээр илрүүлэх нь
GREYCORTEX-ийн Mendel шийдэл нь ransomware-ийн бараг бүх шатны ул мөрийг сүлжээний түвшинд илрүүлэхэд зориулагдсан.
Mendel нь:
- Бүх сүлжээний зан төлөвийг тодорхойлно
- Device, subnet, network бүрийг тусад нь анализ хийнэ
- Machine learning + behavioral analysis ашиглана
Ингэснээр:
- Хортой үйлдэл
- Сэжигтэй зан төлөв
- Сэжигтэй traffic-ийг ялгаж чадна.
Endpoint суулгах боломжгүй орчинд Mendel нь заавал байх ёстой хамгаалалтын давхарга болдог. Мөн XDR платформуудтай уялдан ажиллаж, network-ийн харагдах байдлыг сайжруулдаг.
Халдлагын дараах баталгаажуулалт (Post-Incident Visibility)
Ransomware-ийг зогсоосноор ажил дуусахгүй.
- Hidden backdoor
- Beaconing traffic
- “Keep-alive” холболт сүлжээнд үлдсэн байх магадлал өндөр.
Mendel нь:
- Халдлагын дараах traffic-ийг тасралтгүй хянаж
- Үлдэгдэл C2 (Command & Control) холболт
- Дотоод сэжигтэй урсгалыг хянах боломжийг олгоно.
Ингэснээр халдлага бүрэн устсан эсэхийг баталгаажуулж, урт хугацааны кибер тогтвортой байдлыг хангах үндэс болох юм.
🔐 Ransomware халдлагыг бүх lifecycle-ийн турш илрүүлэх нь
Ransomware нь олон жилийн турш оршин тогтнож ирсэн ч өнөөдөр ч байгууллагуудын хувьд хамгийн их саад учруулдаг кибер заналхийлэл хэвээр байна. Үүний шалтгаан нь энгийн: халдагчид илүү ухаалаг, илүү зорилтот, илүү зохион байгуулалттай болжээ.
Анх ransomware нь санамсаргүй, өргөн хүрээтэй тархдаг байсан бол өнөөдөр Ransomware-as-a-Service (RaaS) загварт шилжиж, бараг л бизнес болсон. Ингэснээр өндөр түвшний техникийн мэдлэггүй хүмүүс ч бэлэн халдлагын хэрэгсэл ашиглан мэргэжлийн түвшний довтолгоо хийх боломжтой болсон.
Ransomware бол түр зуурын трэнд биш тогтсон бизнес загвар болтлоо хөгжсөн.
Түүнийг эрт илрүүлэх цорын ганц арга нь халдагчид нуугдаж чаддаггүй орчин, өөрөөр хэлбэл сүлжээний урсгалыг ажиглах явдал юм.
Уламжлалт хамгаалалтын хэрэгслүүдийн хязгаар
Ихэнх байгууллагууд firewall болон Endpoint Protection / EDR шийдлүүдэд тулгуурладаг. Эдгээр нь мэдэгдсэн аюулыг хаах, сервер болон хэрэглэгчийн төхөөрөмж дээрх хортой үйлдлийг илрүүлэхэд зайлшгүй хэрэгтэй.
Гэвч нэг том сул тал бий.
Принтер, сканнер, IP утас, камер, үйлдвэрийн OT / IoT төхөөрөмжүүд:
- Endpoint agent суулгах боломжгүй
- Хуучин үйлдлийн системтэй
- Patch хийх боломжгүй байх нь элбэг
Эдгээр хяналтгүй asset-ууд нь сүлжээний хамгийн эмзэг цэг болж, ransomware халдагчдын гол бай болдог.
Уламжлалт хамгаалалт нь ажиллаж чаддаг газраа л хамгаалдаг, харин хяналтгүй үлдсэн хэсэг нь халдлагын орон зай болдог.
Яагаад сүлжээг хянах нь чухал вэ?
Ransomware ямар замаар орж ирсэн ч сүлжээгээр дамжихгүйгээр тархах боломжгүй.
- Сэжигтэй гадаад сервер рүү холбогдох
- Гэнэт их хэмжээний өгөгдөл дамжуулах
- Урьд өмнө ашиглагдаагүй протокол гарч ирэх
Эдгээр нь бүгд сүлжээний урсгал дээр тодорхой харагддаг дохио юм.
Endpoint-оос ялгаатай нь network monitoring нь:
- Laptop, сервер
- IoT, OT
- Legacy системүүд
гэх мэт бүх төхөөрөмжийг хамардаг.
Ransomware халдлагын шат (MITRE ATT&CK-д суурилсан)
Ransomware халдлага нь дараах шат дамжлагаар явагддаг ба шат бүрт нь сүлжээний ул мөр үлддэг.
1) Initial Access
Анхны нэвтрэлт:
- Vulnerability exploit
- Misconfiguration
- Brute-force
- Алдагдсан credential
➡️ Урьд байгаагүй шинэ сүлжээний холболт үүснэ.
2) Execution
Exploit kit, loader, script татаж ажиллуулах
➡️ Хэвийн бус outbound traffic илэрнэ.
3) Persistence
RDP идэвхжүүлэх, SSH key өөрчлөх, шинэ account үүсгэх
➡️ Шинэ service, тогтмол холболтууд үүснэ.
4) Privilege Escalation & Credential Access
NTLM hash, token, admin credential ашиглах
➡️ Authentication traffic дээр шууд илэрнэ.
5) Discovery & Lateral Movement
Network scan, SMB, RDP, remote execution
➡️ Сүлжээний хэв маяг огцом өөрчлөгдөнө.
6) Command & Control (C2)
Гадаад C2 сервертэй холбоо тогтоох
➡️ Beaconing, хэвийн мэт харагдах давтамжтай traffic үүснэ.
7) Exfiltration
Өгөгдөл хулгайлах:
Их хэмжээний outbound traffic
Dropbox, OneDrive зэрэг cloud сервис ашиглах
➡️ Data leakage-ийн тод дохио.
Ransomware-ийг Mendel-ээр илрүүлэх нь
GREYCORTEX-ийн Mendel шийдэл нь ransomware-ийн бараг бүх шатны ул мөрийг сүлжээний түвшинд илрүүлэхэд зориулагдсан.
Mendel нь:
- Бүх сүлжээний зан төлөвийг тодорхойлно
- Device, subnet, network бүрийг тусад нь анализ хийнэ
- Machine learning + behavioral analysis ашиглана
Ингэснээр:
- Хортой үйлдэл
- Сэжигтэй зан төлөв
- Сэжигтэй traffic-ийг ялгаж чадна.
Endpoint суулгах боломжгүй орчинд Mendel нь заавал байх ёстой хамгаалалтын давхарга болдог. Мөн XDR платформуудтай уялдан ажиллаж, network-ийн харагдах байдлыг сайжруулдаг.
Халдлагын дараах баталгаажуулалт (Post-Incident Visibility)
Ransomware-ийг зогсоосноор ажил дуусахгүй.
- Hidden backdoor
- Beaconing traffic
- “Keep-alive” холболт сүлжээнд үлдсэн байх магадлал өндөр.
Mendel нь:
- Халдлагын дараах traffic-ийг тасралтгүй хянаж
- Үлдэгдэл C2 (Command & Control) холболт
- Дотоод сэжигтэй урсгалыг хянах боломжийг олгоно.
Ингэснээр халдлага бүрэн устсан эсэхийг баталгаажуулж, урт хугацааны кибер тогтвортой байдлыг хангах үндэс болох юм.