2021年5月7日,美国最大的输油管道公司ColonialPipeline遭到勒索软件攻击。由于ColonialPipeline负责美国东海岸多达45%的燃料供应,因此这次袭击导致该公司暂停所有管道运营,并连夜关闭了一条主要的燃料输送管道。5月底,美国最大的牛肉生产商JBSUSA也遭到网络勒索攻击,导致美国乃至全球的相关公司和工厂被迫关闭。本月早些时候,勒索软件团伙通过远程补丁管理和监控软件KaseyaVSA对托管服务提供商(MSP)及其客户发起了大规模供应链攻击,影响了全球一千多家公司,瑞典连锁超市Coop还被迫关闭了大约500家商店。可以说,近几个月勒索软件攻击一直是企业挥之不去的噩梦,引起了公众甚至立法者的关注。一些美国政府官员已经开始呼吁国会和政府禁止受害组织向威胁行为者支付赎金。此类禁令旨在将FBI不支付勒索软件攻击者的建议编纂成法典,以免鼓励更多此类行为。事实上,支付或不支付赎金一直是一个争论不休的问题。虽然大多数安全专家反对将支付赎金作为一种变相的勒索形式,但在某些情况下,支付赎金对企业来说利大于弊。EzeCastleIntegration的安全咨询总监史蒂文施瓦茨表示,每个人都知道应该对敲诈勒索说“不”,但如何去做取决于实际情况。归根结底,企业需要企业恢复正常运行。Colonial最终支付了近500万美元的赎金来解密其计算机。这实际上更像是一个商业决策——他们需要让他们的管道恢复运行,否则损失和后果将是灾难性的。可悲的是,支付只是在勒索软件攻击的胁迫下需要解决的众多问题之一。以下是组织在应对勒索软件时常犯的一些错误:错误1:未能遏制恶意软件在采取必要措施确保恶意软件不会进一步传播之前,许多组织开始专注于恢复加密数据。根据Schwartz的说法,组织做错的第一件事就是没有确保他们完全根除原始攻击向量,没有对它开始的地方进行根本原因分析并确认它没有进一步传播。您必须确保清理系统环境,以免再次成为同一攻击的受害者并冒着支付双倍赎金的风险。错误2:缺乏可靠的响应计划组织应在攻击发生之前就制定事件响应计划,并涵盖安全团队在发现攻击后应立即采取的步骤。它还应召集需要联系的必要利益相关者。DigitalGuardian首席信息安全官兼托管安全服务副总裁TimBandos表示,缺乏正式的事件响应流程可能导致安全团队做出许多下意识的决定,这可能会使事情变得更糟。没有任何组织能够免受勒索软件攻击,因此做好准备至关重要。错误3:备份位置不当勒索软件团伙越来越多地跨网络移动,以在部署恶意软件之前找到备份并销毁它们。如果您没有妥善存储备份,则几乎与没有备份一样。Bando说,组织有信心他们可以从备份中恢复所有数据而无需支付高额赎金。考虑到备份需要异地存储,不联网,所以没有被感染的机会,但不幸的是,情况并非总是如此。由于备份位置不当导致数据无法恢复的情况很多。此外,即使备份完好无损,也可能需要很长时间才能恢复所有数据,由此造成的经济损失也不容小觑。误区四:谈判失误与是否支付赎金一样,谈判赎金的成本也是一个争论点。NTTDataServices安全服务副总裁SushilaNair表示,如果一个组织决定支付赎金,那么他们绝对应该协商价格。情报公司Intel471的数据显示,Darkside勒索软件受害者已将赎金从3000万美元提高到1400万美元。但是,DigitalGuardian的Bandos并不提倡协商。他说:“从历史上看,我们已经看到,试图就解密密钥的价格进行谈判会适得其反。”这可能会导致勒索软件运营商将其价格提高到初始金额的两倍。我建议避免谈判或至少聘请专门处理此类情况的第三方公司,毕竟专业人士做专业的事。错误5:独自行动正如DigitalGuardian的Baldos所说,最好寻求帮助。虽然一些组织可能具备独立处理攻击的能力,但大多数组织应该选择与第三方事件响应提供商合作。Secureworks的情报主管MikeMcLellan补充说,除非你有非常成熟的响应流程和庞大的安全团队,否则应对攻击可能非常困难。我们始终建议您与经验丰富的事件响应提供商合作,他们可能已经处理过数十甚至数百起此类事件,并且能够帮助您更好更快地应对危机。布朗大学计算机科学教授ErnestoZaldivar表示,勒索软件攻击需要专门的帮助——尤其是防止未来的攻击。攻击者可能会使用不同的勒索软件和更高的赎金要求再次攻击您的企业系统。访问您的数据可能并不像您想象的那么困难。从长远来看,修复系统和加强防御是成功击败勒索软件攻击不可或缺的步骤。错误6:忽视执法除了聘请专门的事件响应提供商外,组织还应寻求执法和相关机构的帮助。Vigilante情报总监AdamDarrah表示,这些调查人员不仅可以协助对受感染的机器进行成像,而且还可以使用解密工具、必要的加密来促进支付,或使用其他技术和资源来恢复加密信息。通过与执法部门合作,组织可以帮助他们追踪勒索软件运营商并最终将他们绳之以法。错误7:等太久才打电话给您的保险公司确保在事故发生后尽快让您的保险公司介入。“如果你购买了网络保险,并且在事件发生后没有打电话给他们让他们介入,然后你去找他们解决索赔,显然,你违反了保单,你最终可能会一无所获,“AivenCISOJamesArlen说。不。首先让你的保险公司参与进来,他们可能会优先选择由谁来处理事件以及如何处理,你只需要按照他们的指示去做。”错误8:屈服于恐惧和恐慌虽然在处理勒索软件攻击的后果时肯定会有一段肾上腺素激增的时期,但尽可能保持冷静会有所帮助。DeloitteRisk&FinancialAdvisory网络事件响应团队高级咨询经理WayneJohnson表示,在组织应对勒索软件攻击时,我们看到的最常见错误可能是在事件发生时屈服于恐惧,而不是坚持计划.事件响应过程。遵循组织准备好的事件响应计划并限制临时响应可以帮助组织更有效地响应并恢复正常的业务运营。误区九:花费宝贵的时间寻找解密密钥许多安全专家认为,在线寻找解密密钥完全是浪费时间。还有一些人认为找到有用信息的机会并非不存在,只是很小。Cyber??bit网络靶场技术培训师WaynePruitt表示,网上有一些解密工具,例如“NoMoreRansomwareProject”,但这些工具适用于已知的勒索软件,其密钥可用。大多数勒索软件攻击使用带有公钥或私钥的非对称加密。这些密钥通常是特定于目标的,并且一个组织的解密密钥与另一个组织不同。找到您的组织需要的解密密钥的机会微乎其微。如果您尝试使用错误密钥的解密工具,您还可能损坏无法恢复的文件。错误10:没有从事件中吸取教训一旦您经历了一次攻击,回过头来找出您的安全漏洞在哪里是至关重要的。您是否已经制定了合适的响应计划?如果没有,请从经验中学习并开发一个。这有助于高管和IT审查响应并为此类事件做好准备。组织可以通过模拟练习不断改进他们的响应计划,以便在不可想象的事情发生时做好更好的准备。相反,忽视识别攻击的根本原因或进入向量将继续为攻击者提供进入未来的后门。EzeCastleIntegration的Schwartz说,确定您是否有易受攻击的远程桌面服务器或特权帐户凭据是否已被泄露非常重要。如果您想阻止攻击者出现在您的网络中,这些项目必须是您补救计划的一部分。本文翻译自:https://www.darkreading.com/edge/theedge/10-mistakes-companies-make-in-their-ransomware-responses/b/d-id/1341508?page_number=11如有转载,请注明原文地址。
