派拓网络创建Cortex XSOAR高级检测和分析平台

　　在数字化转型浪潮之下，企业发展步入高速轨道，而网络黑客也演变得更为组织化、集团化。勒索软件是对黑客来说非常成功且有利可图的一种攻击类型。勒索软件攻击可能会以经典的好莱坞犯罪惊悚片风格展开，往往会上演一个恶棍劫持一个毫无戒心的受害者作为人质的片段，当然还会提出必须按时支付一大笔赎金的要求！受害者任由攻击者摆布，并期待事件响应人员能够前来救援。

　　勒索软件即服务和双重勒索案件

　　勒索软件开发人员将提供勒索软件即服务 （RaaS） 工具包，该工具包采用与 SaaS 提供商相同的业务模式。这导致具有不同技能水平和复杂程度的网络犯罪分子和恶意威胁行动者大规模采用 RaaS。常见的勒索软件攻击包括勒索软件操纵者对数据进行加密，并迫使受害者支付赎金来解锁数据。

　　在双重勒索案件中，勒索软件操纵者加密并窃取数据，进一步胁迫受害者支付赎金。如果受害者不支付赎金，勒索软件操纵者就会在泄密网站或暗网上泄露数据。其中大多数泄密网站都托管在暗网上，而这些托管位置由勒索软件操纵者创建和管理。而如今，这类案件发生的状况正愈演愈烈。

　　自动化勒索软件入侵后响应

　　安全团队面临着瞬息万变的复杂攻击环境、不断扩大的威胁面以及分散的员工队伍等多重挑战，为此，Palo Alto Networks（派拓网络）Cortex XSOAR 创建了与其姊妹产品 Cortex XDR™ 的集成。利用这两个平台之间的集成，安全团队可以在整个信息系统和工具堆栈中自动化和优化复杂的工作流。使用 Cortex XSOAR 和 XDR 内容包将提供原生集成网络、端点和云数据以阻止复杂威胁的检测和响应。这种集成利用 XSOAR 中使用的 XDR 数据，提供单窗格体验和剧本，该剧本可在整个环境中协调更广泛的端到端工作流，从而能够在 Cortex XSOAR 战情室内直接执行 XDR 操作。

　　Cortex XDR 允许用户集成端点、网络和云数据以阻止复杂的攻击。Cortex XSOAR 与 XDR 的高级检测和分析平台相结合，充分利用了安全团队可用的全部资源。总的归纳为以下几项优势：

　　• 事件管理

　　当需要人工干预时，需要通过对复杂工作流的实时调查来补充入侵后响应的自动化。

　　• 指标丰富

　　中央指标存储库支持跨来自多个来源的勒索软件和相关事件进行搜索和自动指标关联，

　　• 响应操作

　　威胁响应操作和勒索软件处理

　　响应工具包演练

　　为了帮助事件响应者应对威胁，Cortex XSOAR 提供的勒索软件内容包可帮助安全团队更有效地处理这些恶意行动者：

　　① 即时帮助事件响应、威胁情报和 SecOps 团队标准化入侵后响应流程并提升速度。

　　② 自动执行大多数勒索软件响应步骤，允许事件响应和 SecOps 团队添加他们的指导和输入内容。

　　③ 通过用户网络环境中收集所需信息、执行调查步骤、遏制事件并使用其自定义的入侵后勒索软件布局可视化数据，帮助事件响应者更好地了解他们在威胁行动者面前的位置和暴露程度。

　　勒索软件内容包如何运作？

　　Cortex XDR 等多个警报源之一检测到勒索软件攻击时，内容包会自动触发入侵后勒索软件调查和响应剧本以识别、调查和遏制勒索软件攻击。该勒索软件包需要勒索信和加密文件示例，以识别勒索软件变体并通过在线数据库查找最合适的恢复工具。所有相关的利益相关者都会自动收到攻击通知。该剧本包括一项用于确定事件时间线的手动任务，这是恢复流程的重要组成部分。由于数据加密是攻击的最后一步，因此会调查先前的攻击者行为。

　　该剧本包括进一步调查文件被加密的用户活动并识别遭受攻击的其他端点的选项。如果批准自动修复，则将自动阻止勒索信中的恶意指标，也可以手动完成遏制。

　　Cortex XSOAR

　　借助勒索软件内容包和 Cortex XSOAR 核心功能与集成，事件响应、SecOps 和威胁情报团队可以节省数小时的人工操作，试图将来自多个工具的不同信息源拼凑在一起。Cortex XSOAR 可以通过跨 SIEM、防火墙、端点安全和威胁情报来源进行编排来自动化用户调查、端点隔离、通知、强化和威胁搜寻的整个过程，以便响应团队可以快速阻截勒索软件、最大程度地降低丢失数据风险，限制索要赎金的财务影响及其对企业的影响。