因此,積極保護(hù)公司資產(chǎn)和降低網(wǎng)絡(luò)風(fēng)險(xiǎn)是當(dāng)今企業(yè)的一項(xiàng)必要投資。如果沒(méi)有制定威脅準(zhǔn)備和應(yīng)對(duì)計(jì)劃,勒索軟件或網(wǎng)絡(luò)勒索攻擊事件造成的破壞可能會(huì)對(duì)企業(yè)的業(yè)務(wù)產(chǎn)生重大的影響,將導(dǎo)致數(shù)據(jù)丟失、無(wú)法提供服務(wù)、運(yùn)營(yíng)中斷、信任和競(jìng)爭(zhēng)市場(chǎng)優(yōu)勢(shì)的喪失,以及其他代價(jià)高昂且持久的影響。
改進(jìn)威脅準(zhǔn)備
當(dāng)企業(yè)遭到網(wǎng)絡(luò)勒索攻擊時(shí),必須快速確定其攻擊的性質(zhì)和程度,然后執(zhí)行響應(yīng)和減輕攻擊的計(jì)劃。因?yàn)槔账鬈浖舫掷m(xù)的時(shí)間越長(zhǎng),對(duì)企業(yè)開(kāi)展業(yè)務(wù)的能力造成的潛在損害就越大。
雖然很多企業(yè)的最終目標(biāo)是全面預(yù)防攻擊,但緩解攻擊是一個(gè)更有可能(或許也更合理)的目標(biāo),而且企業(yè)應(yīng)該優(yōu)先考慮準(zhǔn)備和預(yù)防。預(yù)防措施包括實(shí)施最佳實(shí)踐和措施,以阻止勒索攻擊事件的發(fā)生,同時(shí)也使企業(yè)在遭受攻擊時(shí)盡可能少地承受損害。
勒索軟件的準(zhǔn)備工作可以分為三個(gè)主要部分:準(zhǔn)備、檢測(cè)和隔離。
(1)準(zhǔn)備
企業(yè)對(duì)勒索軟件事件的響應(yīng)能力直接受到其隨時(shí)可以使用的工具的影響,這使得企業(yè)的準(zhǔn)備工作成為其成功應(yīng)對(duì)勒索軟件攻擊的關(guān)鍵部分。良好的準(zhǔn)備工作有兩方面的作用:一是培訓(xùn)員工如何防止攻擊,二是為了萬(wàn)一成為攻擊目標(biāo)時(shí)應(yīng)該采取什么行動(dòng)而提供指導(dǎo)。
以下是企業(yè)在制定針對(duì)網(wǎng)絡(luò)勒索攻擊的計(jì)劃時(shí)可能希望包括的一些內(nèi)容:
•創(chuàng)建事件響應(yīng)劇本,其中包含與響應(yīng)勒索軟件攻擊相關(guān)的所有相關(guān)信息。
•定期對(duì)員工進(jìn)行強(qiáng)制性培訓(xùn),教育他們?nèi)绾畏乐咕W(wǎng)絡(luò)攻擊者侵入企業(yè)系統(tǒng)實(shí)施網(wǎng)絡(luò)攻擊。所涵蓋的主題可能包括密碼安全的重要性、電子郵件釣魚的警告標(biāo)志以及在線安全的最佳實(shí)踐。
•為員工提供報(bào)告可疑活動(dòng)的協(xié)議和資源,并在他們認(rèn)為存在需要解決的風(fēng)險(xiǎn)時(shí)表達(dá)擔(dān)憂,從而幫助他們防止勒索軟件攻擊。
(2)檢測(cè)
檢測(cè)是指用于注意正在發(fā)生或已經(jīng)發(fā)生勒索軟件攻擊的工具、技術(shù)、人員和流程,并在網(wǎng)絡(luò)中識(shí)別其來(lái)源。具體檢測(cè)子組件包括:
•擁有一個(gè)強(qiáng)大的平臺(tái)系統(tǒng),可以監(jiān)控網(wǎng)絡(luò),并在發(fā)生可疑活動(dòng)時(shí)發(fā)出警報(bào),例如出現(xiàn)已知勒索軟件文件擴(kuò)展名或快速重命名大量文件,這可能表明這些文件正在被加密。
•利用有關(guān)特定勒索軟件行為者/團(tuán)體以及戰(zhàn)術(shù)、技術(shù)和程序(TTP)的易于獲取和更新的知識(shí),為企業(yè)的威脅情報(bào)計(jì)劃提供支持,包括技術(shù)情報(bào),以更好地預(yù)測(cè)潛在的風(fēng)險(xiǎn)漏洞和攻擊。
•實(shí)現(xiàn)多因素身份驗(yàn)證,以減少勒索者獲得未經(jīng)授權(quán)訪問(wèn)企業(yè)系統(tǒng)的可能性。
(3)隔離
為了限制其傳播,在企業(yè)意識(shí)到成為勒索軟件攻擊的目標(biāo)之后,隔離應(yīng)該成為其首要任務(wù)。當(dāng)每一秒都很重要時(shí),以一種分離不同網(wǎng)絡(luò)的方式設(shè)計(jì)系統(tǒng)會(huì)非常有效。隔離的具體措施包括:
•限制每個(gè)員工只能訪問(wèn)他們工作中必須使用的文件和數(shù)據(jù)。
•盡快關(guān)閉受感染的系統(tǒng),并完全斷開(kāi)與企業(yè)網(wǎng)絡(luò)的連接。
•禁止在設(shè)備之間傳播潛在有害數(shù)據(jù)的方式,其中包括VPN、NAC和AD-user。
響應(yīng)勒索軟件攻擊
一旦企業(yè)成功地捕獲并阻止了勒索軟件攻擊的進(jìn)程,有一個(gè)適當(dāng)?shù)捻憫?yīng)計(jì)劃是至關(guān)重要的,以幫助節(jié)省決策時(shí)間,并控制情緒反應(yīng),這在潛在的緊急情況下可能會(huì)發(fā)生。通常很難確定勒索軟件攻擊的范圍,被加密的數(shù)據(jù)越多,了解攻擊的性質(zhì)所需的時(shí)間可能就越長(zhǎng)。
良好的響應(yīng)計(jì)劃通常是經(jīng)過(guò)充分演練的,在需要時(shí)很容易實(shí)施,并且基于企業(yè)可用的資源。它有幾個(gè)部分,其中包括指定處理每個(gè)步驟的各方;將直接與勒索攻擊者溝通和談判的各方聯(lián)系信息;以及與處理贖金支付的法律合規(guī)性相關(guān)的最新協(xié)議。但在這些問(wèn)題中,企業(yè)的計(jì)劃中需要解決的最關(guān)鍵的問(wèn)題之一是談判的處理。
談判
談判包括與威脅行為者的接觸,并要求達(dá)成任何形式的妥協(xié),無(wú)論是否涉及支付贖金。建議使用熟悉威脅行為者參與、勒索軟件攻擊和勒索軟件受害者法律義務(wù)的專業(yè)人員;了解當(dāng)前的網(wǎng)絡(luò)勒索趨勢(shì)、威脅行為者和威脅行為者群體也很重要。如果在整個(gè)過(guò)程中保持透明并有可以幫助客戶達(dá)成目標(biāo)的談判者,將極大地促進(jìn)談判的順利進(jìn)行,并且更有可能以受害方滿意的方式解決問(wèn)題。
當(dāng)然,并沒(méi)有一個(gè)萬(wàn)能的談判方法。然而,如果企業(yè)發(fā)現(xiàn)自己處于這種最糟糕的情況,那么必須做好一些基本準(zhǔn)備。
•對(duì)所有與勒索軟件行為者的聊天和通信進(jìn)行保密,并限制內(nèi)部訪問(wèn)者與威脅行為者的通信記錄。如果企業(yè)不確定威脅參與者是否有權(quán)訪問(wèn)其電子郵件通信,則建議切換到非基于網(wǎng)絡(luò)的通信。
•為尋求專業(yè)的談判人員做好準(zhǔn)備。在這里強(qiáng)調(diào)的是,企業(yè)內(nèi)部具有自己的專業(yè)談判人員的重要性,需要注意的是,許多勒索軟件攻擊者都有自己的具有談判背景的專業(yè)人員,以使被攻擊的企業(yè)遵守勒索要求。
•建議盡早讓執(zhí)法部門參與勒索軟件攻擊的調(diào)查。這不僅可以幫助企業(yè)確保在法律范圍內(nèi)處理勒索軟件攻擊事件,而且執(zhí)法部門有時(shí)還可以洞察特定的威脅行為者的行為,幫助企業(yè)進(jìn)行談判并改善其所處的困境。
更大的壓力
除了勒索軟件攻擊本身之外,威脅行為者還會(huì)使用其他手段來(lái)對(duì)談判施加壓力,其中包括:
•實(shí)施DDoS攻擊。
•直接向員工發(fā)送有關(guān)攻擊的電子郵件。
•聲稱擁有實(shí)際上并沒(méi)有被竊取的數(shù)據(jù),以讓情況看起來(lái)更加糟糕。
•聯(lián)系受到攻擊的企業(yè)高管或客戶,讓他們意識(shí)到已經(jīng)遭到勒索軟件攻擊。
•在面向公眾的論壇或社交媒體上發(fā)布敏感的個(gè)人身份信息(PII)。
•留下后門,使勒索軟件攻擊者有可能對(duì)同一企業(yè)進(jìn)行第二次攻擊。
成為網(wǎng)絡(luò)勒索攻擊的受害者既有壓力又有挑戰(zhàn)性。為了減輕對(duì)企業(yè)的業(yè)務(wù)和客戶的影響,必須準(zhǔn)備好應(yīng)對(duì)任何潛在的額外因素,這些因素可能會(huì)加劇勒索軟件攻擊,并長(zhǎng)期損害受害方的聲譽(yù)和收入。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)