被勒索软件攻击后我做的5件事115亿美元。仅在12月,包括佳能、佳明、柯尼卡美能达和嘉年华在内的主要消费品公司就成为了重大勒索软件攻击的受害者,导致数百万美元被支付以换取对他们文件的访问权。那么,勒索软件攻击后您应该怎么做?您可以采取哪些步骤来有效恢复?这里有一些提示。意识到被攻击了!检测感染最具挑战性的步骤是发现问题所在。越早检测到勒索软件攻击,受影响的数据就越少。这也直接影响恢复环境所需的时间。然而,现实情况是,公司往往在看到勒索文件后才意识到自己上当了,但损失已经造成。因此,拥有可以识别异常行为(例如异常文件共享)的网络安全解决方案可以帮助快速隔离勒索软件感染并在它们进一步传播之前阻止它们。与基于签名或基于网络流量的检测相比,异常文件行为检测是检测勒索软件攻击的最有效方法之一,误报率最低。“基于签名”的检测方法有效,但需要知道勒索软件。如果代码可用,则可以训练软件寻找它。然而,复杂的勒索软件攻击正在使用新的、未知形式的勒索软件,因此培训也不理想。建议使用基于AI/ML的方法,通过查找行为(例如文件的快速连续加密)来识别攻击的存在。此外,由于勒索软件通常通过网络钓鱼电子邮件攻击(带有危险文件附件或超链接的电子邮件)影响组织。电子邮件等关键业务系统的良好防御机制也是必须的。及时停止一旦检测到感染,就可以隔离勒索软件进程并防止其进一步传播。如果在云环境中,这些攻击通常源自远程文件同步或由运行勒索软件加密过程的第三方应用程序或浏览器插件驱动的其他过程。简单地挖掘和隔离勒索软件攻击的来源可以帮助遏制感染,从而减轻对数据的损害。为了快速有效,这个过程必须自动化。识别感染后,自动化程序会通过删除可执行文件或扩展名来阻止攻击,并将受感染的文件与环境的其余部分隔离开来。另一种止损方法是购买网络责任保险,保护企业(及其中的个人)免受基于互联网的风险(如勒索软件攻击)以及与信息技术基础设施、信息隐私、信息治理责任等相关的风险.风险相关的风险。恢复受影响的数据在大多数情况下,即使勒索软件攻击被迅速检测并遏制,仍然会有一些数据需要恢复。这需要良好的数据备份才能恢复生产。一般来说,遵循3-2-1备份最佳实践,必须将备份数据与生产环境分开。保留所有重要文件的3个副本,一个主文件和两个备份文件将文件保存在2种不同的媒体类型上在异地维护1个副本如果在云SaaS环境中进行备份,您可以使用云到云备份用于“异地”存储,降低备份数据和生产数据同时受到影响的概率。数据备份是从勒索软件攻击中恢复的生命线。升级通知今天,大多数组织都遵守许多合规性法规,要求组织将违规行为通知监管机构,而这又需要通知当地执法部门。如果是重点领域的企业或事业单位,则在通报和报告方面有更严格的规定。再检查一遍!测试访问数据恢复后,需要测试对数据和任何受影响的关键业务系统的访问,以确保成功恢复数据和服务,确保在将整个系统恢复生产之前解决所有遗留问题。如果在检查过程中,IT环境中的一些响应时间比平时慢,或者文件大小比平时大,则可能表明数据库或存储中仍有一些未解决的威胁。最后,有时最好的进攻就是良好的防守。当谈到勒索软件攻击和重新获得对关键文件的访问权时,只有两个选择:抗争或支付赎金。如果是后者,那么根据最近的一份报告,在支付赎金的组织中,大约42%的文件没有被解密……鉴于针对企业的勒索软件攻击越来越多,如果没有适当的安全备份和检测系统,将会很困难,后果将是灾难性的。参考来源:helpnetsecurity
