简体中文 
English (UK) 
Русский 
العربية 
日本語 
한국어 
Magyar 
Türkçe 
Español 
Čeština 
Svenska 
Português 
Ελληνικά 
Suomi 
Nederlands 
Română 
Italiano 
Français 
Polski 
Українська 
Deutsch 
Slovenčina 
Last Week in Ransomware 12022024 — February 12, 2024 | Weekly Roundup">
Recommendation: 立即修补存在漏洞的网关,强制实施多因素身份验证,轮换 钥匙, ,并撤销未使用的访问权限 connectedapp 凭证。最小权限模型降低了在交付周期中用户令牌被盗时发生广泛利用的风险。.
在此期间,公开劝告记录了数十起 incidents 跨行业,涉及62% 用户名基于凭据滥用和通过网络钓鱼或受损的远程服务进行的初始访问。攻击者瞄准了 company 网络,在运营方面观察到广泛的影响 送货 工作流和 对象 用于备份的存储。.
服务台 团队面临着关于身份验证失败和无法访问的工单量增长。 customers 数据。为了解决这些问题 challenges, ,实施集中监控,强制执行登录尝试的异常警报,并部署统包式 solution 以便快速控制。优先处理 customers 利用易受攻击的终端,并确保备份保持不可变,以防止快速加密循环。.
Key actions: 如果发生事件,隔离受影响的端点,撤销被盗凭证,并重新颁发交付证书和 API。 钥匙. 恶意行为者经常会利用广泛使用的漏洞利用链,这些漏洞利用链会滥用以下方面的薄弱配置: connectedapp 设备和面向公众的服务。这些策略上的转变反映了一种更广泛的妥协模式,而强有力的应对取决于例行的凭证卫生、全面的资产发现以及关于网络钓鱼手段的用户教育,这有助于降低团队的风险。.
对于组织,推荐的计划从快速技术审计开始,以识别漏洞 对象 和 钥匙 在整个环境中,随后发布公众建议以 customers 关于保护他们账户的安全。这包括轮换会话令牌、更新软件,以及验证所有公共接口都需要 用户名 验证和多因素检查。The solution 在于持续改进,而非一次性修复,因为威胁面在技术上仍然复杂且 connectedapp- 厚重。.
勒索软件上周动态 – 每周回顾与分析
在24小时内对所有外部接入点实施多因素认证(MFA),以减少高价值资产的暴露并保护一百万条记录。 强制执行最小权限原则,通过微隔离隔离关键网络,然后部署患者监控和持续漏洞管理基线。 此举将创建一个健全的控制层,阻止初步立足点并限制中断。.
在此期间,攻击者利用语音钓鱼和社交工程电话来窃取凭据。与多个活动相关的名称(carranza、yonders)出现在调查中,并可能被重复使用。这些行动的 источник 指向经济利益驱动的行动组和其他与国家有关联的基础设施的混合。为了减少影响,映射所有 C2 组件,清点工具并在电子邮件网关和 VOIP 渠道上实施检测,然后将警报与泄露的凭据相关联。.
本次更新构建了一个直接降低风险的重点路径:建立分层防御,将关键资产视为高价值目标,与可靠的威胁情报保持一致,并收紧控制环。行动项目包括使用额外工具加强终端安全,及时修补漏洞,以及持续监控以发现横向移动。保持耐心,通过简化提示和尽可能自动化操作来解决用户不满。然后完成对 carranza 和 yonders 活动的调查,使用指标进行验证,并通过定期培训确保保持警惕。该组件可以通过跨团队治理来实施,以限制中断并保护更大的资产基础。.
勒索软件上周回顾 12022024 – 2024年2月12日 每周综述;– ‘一切皆有可能’ Williams-Sonoma 准备迎接关税上涨
Recommendation: 实施协同响应,制定应急预案,绘制重要服务商地图,并发布及时信息以减少对客户的影响。在72小时内,指定一名授权的事件指挥官,与监管指导保持一致,并发布公开通知,以解决中断问题并让利益相关者放心。 对员工和合作伙伴保持清晰的叙述,解释行动和时间表。.
在更广泛的背景下,威廉姆斯-索诺玛公司对关税风险的立场塑造了企业规划。星巴克连锁店的例子说明了价格变动如何影响客户需求和门店运营,尤其是在面临潜在中断期间与关税相关的压力时。这一现实需要采取行动。对他们而言,私人安保团队应审查遗留技术并采取安全第一的方法,同时与供应商协调以尽量减少中断,符合监管预期。.
现在需要采取的行动包括:为受影响的客户建立一个中央信息中心、一个受监管的工单追踪系统,以及一份关于事件处理的员工指南。随着时间的推移,重点关注公共沟通渠道,避免危险的假设,并确保在危机期间所有变更都经过授权并记录在案。大学和技术合作伙伴应分享最佳实践,以减少对其生态系统造成的影响。.
本报告期内报告的事件突显了跨行业领域协同网络攻击的普遍性,突出显示了蔓延到运营和安全问题的中断。风险领导者强调在团队努力恢复服务时与员工和客户沟通的切实步骤。.
勒索软件态势快照:观测到的顶级活动、攻击者和策略
在数小时内控制住,隔离受影响的部分,并依靠已验证的离线备份,以最大限度地减少中断运营,并随着时间的推移加速客户恢复。.
观察到的主要攻击活动和行为者仍然非常活跃,ALPHV/BlackCat和Vice Society利用暴露的远程软件和未修补的漏洞,以客户数据和服务连续性为目标。.
直接观察到的战术包括网络钓鱼、撞库攻击、RDP和VPN漏洞利用,以及利用被入侵的票务系统;攻击者利用软件更新渠道来传递恶意载荷。.
直接数据泄露和双重勒索表明,勒索软件已从加密转向以客户数据获利,如果不满足要求,则会威胁泄露或出售信息。.
医疗保健、制造业和公共服务领域的情况依然严峻;全面收入的停机中断了多项运营,并推动了紧急恢复计划。.
今日的关键行动包括:执行网络分段、及时进行补丁管理,以及定期备份并测试快速恢复;教育用户识别恶意邮件;执行最小权限原则;监控异常数据传输;确保工单流程支持快速事件升级;维护连接的仪表板和新闻订阅,以便及早预警。.
威廉姆斯-索诺玛的关税影响:成本风险、采购选择和利润影响
现在必须发起积极的关税风险应对活动,以保护收益:重新谈判直接条款,实现采购多元化,并执行有针对性的价格吸收与转嫁计划,以维持需求,同时限制利润侵蚀。.
成本敞口概览:在最新报告中,核心进口产品线(家具、厨具、纺织品)约占年度销货成本的38–42%。关税税号变更可能导致这些产品线的到岸成本上升3–9%,而运费和仓储费用的增加将使总成本压力上升1–2个百分点。一个简单的传递模型显示,毛利率影响范围从0.5到2.3个百分点不等,具体取决于价格调整的速度和完整性。公开的关税通知越来越频繁,并加剧了波动性,因此需要采取强有力的应对措施,使一切与需求信号保持一致,而不是假设固定的价格路径。.
降低风险的采购选项:
- 与区域供应商直接签订合同,以降低进口复杂性并缩短交货时间;推行授权工作流程,在保持治理的同时加快条款的执行。.
- 近岸外包和区域多元化(墨西哥、中美洲、东南亚),以扩大供应商基地并降低对单一地区的关税集中度。.
- 产品编码优化和设计调整,以目标享受关税优惠的HS编码,同时不牺牲性能或质量; 简单的SKU合理化可以降低风险和总落地成本。.
- 针对高周转率商品进行自有品牌扩张,通过可控的采购和定价活动来获取利润;利用强大的供应商记分卡来减轻供应商门户中的恶意行为和滥用。.
- 仓库策略优化:近端履行中心以缩短周期、降低运费并改善高需求类别(包括优质厨房用品和明星产品)的点击到交付时间。.
- 通过具有年龄验证和多重身份验证功能的动态供应商入职流程,降低欺诈供应商带来的风险;保持对关键投入的直接监督。.
- 双轨寻源计划,在保持公开定价原则的同时,允许在特定渠道进行有针对性的价格调整,以保护总体利润率。.
- 对标同行(例如,像星巴克这样的消费品牌),这些品牌拥有多元化的投资组合并加速自有品牌项目,以缓解关税冲击。.
- 供应商-客户网络安全控制,旨在防止采购平台中的凭证滥用,从而保护活动免受网络犯罪和数据滥用的侵害。.
边际效应和可执行方案:
- 基准情景:关税变化影响40%的进口支出;50%的传导导致毛利率下降约0.8-1.4个百分点;当包括仓储和运费时,总成本压力仍然为1.5-2.5个百分点。.
- 中度传导:60-70%的关税影响传导至定价;核心产品线的利润率下降0.3-0.9个百分点,通过近岸外包节省的成本将在6-12个月内降低风险敞口。.
- 特定类别保守转嫁:30–40%转嫁;除非被产品结构转变、自有品牌收益或销量驱动的杠杆抵消,否则利润率压力可能达到1.8–2.5个百分点。.
- 优化组合和加速重新谈判:如果关税稳定或下降,且公司加速区域采购,则有可能在两个季度内实现 0.0-0.5 个百分点的利润率恢复。.
释放价值的运营行动:
- 在全面铺开前,发起有针对性的定价活动并进行需求测试,以验证弹性;对反应灵敏的SKU使用基于点击的调整。.
- 建立积极的成本可视性机制:按供应商、地区和编码跟踪总落地成本;为高级领导层和关键品类团队发布季度关税风险报告。.
- 通过简单的授权矩阵来加强采购治理,以批准价格变更、供应商替代和SKU级别的关税覆盖。.
- 实施双轨寻源策略,在追求快速近岸转移的同时,保持服务水平;每月衡量提前期缩短情况和仓库利用率。.
- 建立一个跨职能的响应团队,以监测公共关税沟通,解读变化,并将其转化为具体的采购和定价举措,从而最大限度地减少受害者暴露于波动性之中。.
风险、安全和治理:
- 意识到供应商门户中存在的恶意活动至关重要;部署强大的数字控制措施,以防止滥用并保护授权轨迹。.
- 关税政策的公众转变会在各个渠道产生整体风险;积极关注需求信号并相应调整广告活动,以避免对短期变动反应过度。.
- 通过对所有供应商互动执行年龄验证和强身份验证来防范网络犯罪;将权限限制为直接、按需知情访问。.
- 为每个 SKU 的关税风险分配明确的责任人;授权品类经理(直接行动的特权)快速响应,同时在变更中保持控制。.
总结建议:实施积极的关税管理框架,融合近岸和区域采购、价格优化活动以及强有力的授权控制。通过专用报告保持警惕的监控,并确保仓储和物流与公共关税变动保持一致;这种姿态最大限度地减少了总成本风险,并保持了利润率,同时为要求苛刻的客户提供稳健的体验,包括吸引广泛公众的优质产品,例如威廉姆斯-索诺玛的标志性系列以及星巴克风格舒适套装等相关合作伙伴品牌。.
供应链风险审查:关键供应商、合规性检查和审计结果
建议:根据当前的风险信号、关键库存供应商和平台生态系统,强制执行访问身份验证,部署 MFA,并在各个设施实施持续监控,以阻止外部威胁造成的破坏,同时与企业风险偏好保持一致。.
合规检查显示,至少五分之三的顶级供应商已确认访问审查存在漏洞;报告的缺陷包括身份验证不一致、缺少事件日志记录和第三方风险评估缺失;内部审计员的查询在几个案例中仍然未决,需要升级。.
审计结果表明,各设施的入职管控措施不均衡,导致配置偏差持续存在;然而,一个具有自动化检查功能的集中式平台可以减少人为错误,提高可追溯性,并支持使用标准化模板进行供应商风险审查。.
措施:对受损供应商实施紧急停止协议、立即撤销第三方访问权限、强制执行最小权限原则,并直接上报公司安全部门;使用风险评分模型,监控供应商风险变化,并在检测到威胁时触发警报;即使是单一案例也足以证明快速遏制的合理性。.
威胁态势:威胁猎人报告称,攻击者利用供应链漏洞来扰乱运营;然而,主动监控可以缩短潜伏时间;在平台上使用威胁情报有助于应对有针对性的攻击活动,并在暴露前检测到入侵企图。.
指标与治理:每个周期至少跟踪一项供应商入职控制测试;监控已解决的查询数量;直接向公司董事会报告;确保第三方风险在整个企业可见;确保补救案例在 60 天内发生;案例证明相对于前期有所改进。.
个案管理和透明度驱动风险降低。一个整合的仪表板,按供应商显示实时风险,并可按设施和平台向下钻取,有助于高管直面威胁,并在需要时分配资源。.
即时响应手册:遏制步骤、根除和快速恢复
立即隔离入侵开始的整个网络分段。终止恶意会话,撤销 refresh_token,禁用受影响的帐户,并强制执行令牌轮换,以阻止更大范围、级联式的蔓延。.
开启紧急工单,通知供应商和公司安全部门。 记录精确的时间线,列出受影响的主要资产,并向客户和内部团队沟通哪些系统需要首先进行控制。.
清除:扫描与该活动相关的入侵指标,移除后门,清除恶意工件,并在恢复之前验证合法备份。深入进行取证,以绘制攻击者活动轨迹,修补被利用的漏洞,重新配置访问控制,并验证该解决方案不能被攻击者再次利用。.
与活动开始日期相关的遏制详情:开始时间、所用策略以及与漏洞相关的资产;在 SIEM 上设置专用警报箭头,以突出异常情况。实施严格的凭证管理协议,强制执行 MFA,并监控滥用模式。如果事件涉及勒索要求,隔离受影响的公司网络并防止出站数据泄露。使用定制的、行业特定的方法,以满足客户要求并保持业务连续性。在星巴克供应商场景中,应用更严格的供应商访问控制和凭证卫生。.
恢复:分批恢复运行,首先恢复核心服务,然后恢复不太重要的系统。在受控环境中验证完整性,然后将系统重新引入生产环境并进行持续监控。轮换 refresh_token 并加强对零售、杂货和制造业等行业的监控,以检测任何再次感染。与客户沟通,以重塑信任,并就恢复服务时间表中应注意的事项提供明确指导。.
| Phase | Key Actions | Owners | Success Criteria |
|---|---|---|---|
| 遏制 | 隔离区段,撤销凭据,阻止出站流量,禁用受影响的帐户 | 应急响应团队/安全运营中心 | 24小时内没有新主机显示恶意指标 |
| 根除 | 移除伪影,修补,旋转令牌,重置访问权限 | 安全工程 | 无 IOC 环境;已验证的备份 |
| 恢复 | 从干净的备份恢复,在预演环境中测试,增量推出 | IT / Ops | 所有在线服务延迟正常 |
| Communication | 通知客户,发布状态,更新剧本 | 投资者关系负责人/公关 | 已告知利益相关者;无虚假信息 |
| Validation | 监控、审计日志、凭据卫生 | 证券交易委员会/合规 | 7天内没有重新妥协信号 |
政策与威胁情报观察:值得关注的监管提示与情报缺口
建议:建立以策略为主导的监视网格,将监管提示映射到威胁情报信号,并触发对处理患者数据的外部供应商和系统的调查;每天针对群组和库存信息源运行查询,以便在漏洞利用变得关键之前发现风险指标。.
- 监管提示要监控
- 医疗保健和零售业规则要求在外部系统暴露患者数据且访问权限受损时,快速发出违规通知;跟踪已确认的事件和通知时效指标。.
- 供应商风险要求强制执行关键工具(例如,Salesforce)的最新清单,并对供应商强制执行多因素访问;监控具有共享凭据的组;预测违规情况下数百万美元的损失。.
- 跨境数据规则和本地化预期正在上升;政策应与监管机构在数据传输和云使用方面的方法保持一致。.
- 公开披露需要一位发言人以及记录在案的恢复计划;制定事件响应和客户沟通的蓝图。.
- 零售业案例参考,包括莫里森超市,表明了清晰的治理以及管理层和法务团队之间跨职能合作的必要性。.
- 需要监测的情报缺口
- 外部威胁参与者的可见性差距;跟踪clop的活动模式、被盗凭据以及用于获取访问权限的社会工程技巧。.
- 供应链风险信号未被充分重视;监测履约合作伙伴和供应商生态系统,以发现滞后的控制措施和异常的访问尝试。.
- 与健康服务相关的系统中患者数据暴露需要更强大的资产清单和访问审查流程;确保监控查询覆盖这些资产。.
- 回合制情报显示各派系间共享缓慢;开发一种机制,在事件证实广泛妥协之前,浮现早期指标。.
- 可执行的控制措施和能力建设
- 采纳一份定义明确的行动手册的恢复蓝图;进行由管理层和风险团队领导的桌面演练;指定一名指定发言人负责对外沟通;在危机演习中指定一名大卫作为联络员。.
- 投资于威胁搜寻;编目被盗凭证、网络钓鱼和欺骗尝试,并将它们映射到跨系统的防御控制。.
- 加强对关键系统(Salesforce 和内部门户)的访问控制;为外部合作伙伴实施强大的身份验证;维护令牌和会话的实时清单。.
- 为患者附加以数据为中心的安全保护;运行定期查询以检测异常访问和横向移动;确保受影响的患者和提供者的快速恢复工作流程。.