在數字化轉型浪潮之下，企業發展步入高速軌道，而網絡黑客也演變得更為組織化、集團化。勒索軟件是對黑客來說非常成功且有利可圖的一種攻擊類型。勒索軟件攻擊可能會以經典的好萊塢犯罪驚悚片風格展開，往往會上演一個惡棍劫持一個毫無戒心的受害者作為人質的片段，當然還會提出必須按時支付一大筆贖金的要求！受害者任由攻擊者擺布，并期待事件響應人員能夠前來救援。

勒索軟件即服務和雙重勒索案件

勒索軟件開發人員將提供勒索軟件即服務 （RaaS） 工具包，該工具包采用與 SaaS 提供商相同的業務模式。這導致具有不同技能水平和復雜程度的網絡犯罪分子和惡意威脅行動者大規模采用 RaaS。常見的勒索軟件攻擊包括勒索軟件操縱者對數據進行加密，并迫使受害者支付贖金來解鎖數據。

在雙重勒索案件中，勒索軟件操縱者加密并竊取數據，進一步脅迫受害者支付贖金。如果受害者不支付贖金，勒索軟件操縱者就會在泄密網站或暗網上泄露數據。其中大多數泄密網站都托管在暗網上，而這些托管位置由勒索軟件操縱者創建和管理。而如今，這類案件發生的狀況正愈演愈烈。

自動化勒索軟件入侵后響應

安全團隊面臨著瞬息萬變的復雜攻擊環境、不斷擴大的威脅面以及分散的員工隊伍等多重挑戰，為此，Palo Alto Networks（派拓網絡）Cortex XSOAR 創建了與其姊妹產品 Cortex XDR? 的集成。利用這兩個平臺之間的集成，安全團隊可以在整個信息系統和工具堆棧中自動化和優化復雜的工作流。使用 Cortex XSOAR 和 XDR 內容包將提供原生集成網絡、端點和云數據以阻止復雜威脅的檢測和響應。這種集成利用 XSOAR 中使用的 XDR 數據，提供單窗格體驗和劇本，該劇本可在整個環境中協調更廣泛的端到端工作流，從而能夠在 Cortex XSOAR 戰情室內直接執行 XDR 操作。

Cortex XDR 允許用戶集成端點、網絡和云數據以阻止復雜的攻擊。Cortex XSOAR 與 XDR 的高級檢測和分析平臺相結合，充分利用了安全團隊可用的全部資源。總的歸納為以下幾項優勢：

? 事件管理

當需要人工干預時，需要通過對復雜工作流的實時調查來補充入侵后響應的自動化。

? 指標豐富

中央指標存儲庫支持跨來自多個來源的勒索軟件和相關事件進行搜索和自動指標關聯，

? 響應操作

威脅響應操作和勒索軟件處理

響應工具包演練

為了幫助事件響應者應對威脅，Cortex XSOAR 提供的勒索軟件內容包可幫助安全團隊更有效地處理這些惡意行動者：

① 即時幫助事件響應、威脅情報和 SecOps 團隊標準化入侵后響應流程并提升速度。

② 自動執行大多數勒索軟件響應步驟，允許事件響應和 SecOps 團隊添加他們的指導和輸入內容。

③ 通過用戶網絡環境中收集所需信息、執行調查步驟、遏制事件并使用其自定義的入侵后勒索軟件布局可視化數據，幫助事件響應者更好地了解他們在威脅行動者面前的位置和暴露程度。

勒索軟件內容包如何運作？

Cortex XDR 等多個警報源之一檢測到勒索軟件攻擊時，內容包會自動觸發入侵后勒索軟件調查和響應劇本以識別、調查和遏制勒索軟件攻擊。該勒索軟件包需要勒索信和加密文件示例，以識別勒索軟件變體并通過在線數據庫查找最合適的恢復工具。所有相關的利益相關者都會自動收到攻擊通知。該劇本包括一項用于確定事件時間線的手動任務，這是恢復流程的重要組成部分。由于數據加密是攻擊的最后一步，因此會調查先前的攻擊者行為。

該劇本包括進一步調查文件被加密的用戶活動并識別遭受攻擊的其他端點的選項。如果批準自動修復，則將自動阻止勒索信中的惡意指標，也可以手動完成遏制。

Cortex XSOAR

借助勒索軟件內容包和 Cortex XSOAR 核心功能與集成，事件響應、SecOps 和威脅情報團隊可以節省數小時的人工操作，試圖將來自多個工具的不同信息源拼湊在一起。Cortex XSOAR 可以通過跨 SIEM、防火墻、端點安全和威脅情報來源進行編排來自動化用戶調查、端點隔離、通知、強化和威脅搜尋的整個過程，以便響應團隊可以快速阻截勒索軟件、最大程度地降低丟失數據風險，限制索要贖金的財務影響及其對企業的影響。