勒索软件的7个最佳实践。无论是通过勒索软件、数据盗窃、分布式拒绝服务(DDoS)攻击,还是基于《通用数据保护法规(GDPR)》的勒索,网络犯罪分子不断向组织索取资金,以恢复其数据或继续业务运营。当然,在这种情况下最好的建议是不要支付赎金。然而,一些组织可能会觉得有必要在网络攻击期间与网络犯罪分子进行谈判,而别无他法。需要协商过程的紧急情况可能包括失败的备份、拥有最敏感数据的犯罪分子或足以破坏您的系统的DDoS攻击等。2015年的一项较早的研究估计,多达30%的安全专业人员愿意就他们的数据进行谈判。但问题是,谁来带头?谈判应该如何谈判?根据Logicalis对全球900名首席安全官的调查,72%的受访者将企业勒索和勒索软件列为“企业面临的最大风险”。此外,欧洲刑警组织在《2018网络有组织犯罪威胁评估报告》报告中也指出,网络勒索活动已经呈现出明显的增长趋势,而且这种增长趋势预计未来还将持续。数字不言自明:赎金支付统计FBI、NCA和大多数网络安全专家建议受害企业不要支付赎金。因为支付赎金并不能保证不法分子不再对你的公司进行勒索攻击,除非满足不法分子的欲望。相反,支付赎金很可能助长不法分子变相对贵公司进行进一步的敲诈勒索活动。而且,根据您所在的行业、您所在的国家/地区以及您向谁付款,可能存在法律和监管方面的不利因素。尽管如此,许多公司最终还是选择支付赎金。根据Cyber??EdgeGroup对全球1000家公司进行的一项调查显示,大约40%的被勒索软件攻击的公司支付了赎金,但结果是,支付了赎金的公司中只有大约一半的公司最终得到了它的赎金。自己的数据回来。超过半数选择不支付赎金的公司最终成功恢复了数据。最终,组织应该为此类攻击做好准备,而不是支付赎金。“备份”这个古老的问题仍然是从勒索软件攻击中恢复的最快、成本最低的方法;加密敏感数据可以使犯罪分子更难利用它;DDoS保护可以减轻这些攻击;满足GDPR合规性可以减少犯罪对贵公司声誉的损害;此外,围绕“网络钓鱼威胁”主题的用户安全意识培训计划可以帮助进一步阻止犯罪分子进入您的网络。如果你为防止勒索或其他勒索要求所做的最大努力失败了,请遵循这些最佳实践来准备与犯罪分子谈判:1.尽快与黑客沟通,即使你无意支付赎金,也可以协商为组织获取更多事件,以验证赎金记录中描述的情况,确定泄漏源,进行分类,并尝试解密或从备份中恢复受影响的系统。常见的谈判方式或拖延战术包括解释没有可用资金、声称高级管理人员不会批准赎金,或者只是假装不了解如何购买和进行加密货币支付等。支付永远是最后的手段,但我们建议受害企业立即与黑客取得联系。与犯罪分子的沟通通常需要通过他们喜欢的媒介——通常是加密的电子邮件或加密的聊天服务等。具体的联系方式通常可以从最初的“勒索通知”中获得。当然,也不排除一些勒索攻击会采取“撒布祈祷,即广泛部署勒索攻击,无针对性”的模式。此类攻击的“勒索通知”通常包括比特币收款地址之外,不会留下任何通信手段,但一些更复杂或针对性更强的攻击会有通信通道。一些勒索软件变体甚至有客户服务代理。还需要注意的是,除非勒索软件攻击专门针对您的企业,否则请勿透露您的身份,因为攻击者可能会进一步瞄准您的个人设备并对您个人或您的家人进行勒索攻击。大多数时候,沟通需要跨越时区、语言障碍和技能熟练程度的差距。如果没有事先计划好要问什么以及如何回答可能出现的问题,仅仅依靠翻译软件很容易丢失重要的细节。2.验证攻击者是否真的拥有你的数据并有能力解密,这是非常重要的一步;确保攻击者确实拥有他们声称窃取的数据,或者能够解密您无法解密的数据可访问数据是任何谈判中关键的第一步。根据AlienVault发布的最新报告显示,65%的受访者表示有信心可以核实“勒索通知”的真实性。然而,25%的受访者承认他们对自己确认数据是否被盗的能力没有信心。租用僵尸网络并发起DDoS攻击非常容易。如果勒索攻击就像是窃取数据,那么在大多数情况下,黑客会很乐意提供样本来证明他们确实得到了你的数据。这样,您就可以使用这些样本深入了解黑客收集了哪些信息,以及黑客在哪些系统上。检查这些系统日志并进行一些挖掘,看看是否有任何迹象表明这种勒索软件攻击是真实的。目前,许多勒索软件变种已经有了标准的免费解密工具。在更有针对性的攻击中,您可以验证他们确实能够通过发送加密文件(最好是包含非机密信息的文件)并让攻击者返回解密文件来帮助您恢复文件。3.不要害怕讨价还价受害企业有时会尝试讨价还价。去年,韩国网络托管公司Nayana遭受了网络攻击。超过153台Linux服务器被勒索软件严重破坏,3400多家企业用户的网站服务受到影响。最初,勒索软件背后的操纵者要求支付550BTC(约合160万美元),经过一些谈判后减少到397.6BTC(约合100万美元)。值得一提的是,攻击者最初可能会坚持最初的要价,但在第二次或第三次沟通后,他们就会松手并考虑降低费用。令人惊讶的是,与零售业或餐饮业类似,如果你执着地磨价,甚至要求与经理交谈,你可能会在谈判中取得更大的进展。同样的道理也适用于敲诈勒索领域,只要坚持,一定会得到更低的价格,恢复所有损坏的数据。4.确定谁负责谈判根据AlienVault的报告,企业首席信息安全官(CISO)是与犯罪分子谈判的最佳人选,其次是IT部门负责人(排名第2),以及高管(排名3)。然而,虽然CISO可能希望从技术角度解决问题,但在这种情况下,与组织的主要成员采取协作方法很重要。没有集体智慧的支持,任何个人都无法凭空做出适当的决定。CISO了解数据的价值,CFO了解停机的财务影响和赎金成本(通常是停机成本的一小部分),而CEO了解这两者如何影响公司的内部和外部运营能力。CSO/CISO应该从调查开始,因为作为安全专业人员,他们最有可能真正确定“勒索通知”内容的真实性。这是一个巨大的挑战,任何人都可以去任何公司说,“我已经黑了你,我马上要发布你的信息”。对于大多数公司来说,这将是一个非常动荡的时期,作为CSO/CISO,他们必须尝试从调查的角度验证这些说法的真实性。不过,真正涉及到与犯罪分子的谈判时,这项任务可能更适合那些在该领域相当专业的人——那些能够尽可能为组织效力,并且了解袭击背后的心理和动机的人。未经培训的人会使事情变得更糟,而IT经理可能不具备那种特定技能。此外,您可能必须发挥创意。你可以从财务部门或并购/合并/收购(如果是大公司)或法律顾问和执法部门请人,尽量不要单独进行任何谈判。如今,许多咨询公司、网络保险提供商和事件响应公司都提供协商服务,作为其勒索软件保护产品的一部分。他们可以提供专门的谈判人员,对攻击者使用的勒索软件类型进行分类(并查看它是否可以轻松解密),或者作为最后的手段与犯罪分子协商支付赎金。除了具备谈判所需的专业技能外,聘请外来人员与犯罪分子交谈还可以让他们跳出公司环境,站在外来者的角度中立地讨论案件。最后要提醒的是,在任何谈判中,一定要平易近人、有耐心、冷静。你还需要理性而不是感性,做一个实用主义者而不是理想主义者。5.制定与所有内部和外部利益相关者打交道的计划有时谈判陷入僵局,您可能被迫支付赎金。但要注意:即使选择为数据或其他惊喜付费也有其缺点。2017年,Uber承认在2016年向黑客支付了10万美元,以保守大规模数据泄露事件的秘密,其中约5700万个Uber账户的数据泄露,但Uber没有向受影响的客户和当局透露这一消息。结果,在事件被外媒踢出后,优步一度陷入负面新闻。时任优步CSO的乔·沙利文(JoeSullivan)在承认违规后不久也离开了公司。对消费者的指控进行了调查。因此,如果觉得谈判无法进行,一定要提前与公司内外的利益相关者进行沟通。至少你需要主动发表声明澄清情况,并落实相关管控措施,防止事态进一步恶化,这样才能掌握主动权,掌控全局,让客户/股东/当局未通过第三方媒体获悉此事,造成不必要的混乱和负面影响。现在数据泄露算不上什么大事,也不会真正引起群众的恐慌。人们更加关注事件涉及的公司的反应。因为它更能说明一家公司对待客户的态度。要知道,对于用户来说,最重要的永远不是“这家公司有没有数据泄露”。毕竟,试想一下,有多少公司,比如谷歌、百度、苹果……没有遭遇过违规。最后,准备工作中最重要的是制定业务连续性计划——准备好计划谁应该参与谈判活动,谁负责什么,等等。确保安全、财务和法律团队的成员参与并为谈判工作做好充分准备——知道首先做什么以及需要做什么来强制合规,并在需要公开声明时制定沟通策略。6.清楚法律法规不管你谈判与否,付钱都不是个好主意。攻击发生后应立即通知执法部门,并牢记报告此类事件的合规要求。除了上述道德争论和支付赎金而不归还数据的风险外,相关公司还可能面临潜在的法律后果。因为如果袭击者被归类为恐怖分子,支付赎金可能是违法的。美国财政部海外资产控制办公室(OFAC)曾公布一份受制裁人员名单,禁止任何个人/组织向其付款。7.投资安全而不是预先存储比特币网络勒索活动几乎总是要求以加密货币付款,通常是比特币或更私密的替代品,如门罗币。互联网协会组织的在线信任联盟(OTA)建议各组织设置比特币钱包,以备万不得已时支付赎金。现在越来越多的公司似乎正在采用这种方法。但是,大多数安全专家不建议公司这样做。安全专家警告说,存储比特币的公司可能更多地表明该公司对其安全部门缺乏信心。因为这笔钱可以更好地用于构建网络弹性、投资于更强大的控制、现场备份等。2017年,Citrix的一项调查发现,42%的英国企业在勒索软件攻击时拥有加密货币库存,高于2016年的33%。此外,Code42最新发布的一项研究还发现,73%的CISO和60%的CISO的CEO正在囤积加密货币,而在储存加密货币的人中,约有4/5的人选择向勒索者支付赎金。事实上,企业会这样做的原因很容易理解——囤积加密货币可以让他们快速完成赎金支付任务,从而加快恢复被攻击者锁定的数据。由于此活动与勒索软件攻击的准备工作有关,因此有关存储的决策由安全团队发起,但执行存储活动是整个组织成员的共同责任——例如,财务团队负责采购和报告,安全团队需要从安全的角度来保护它。虽然提前购买加密货币可以加快支付速度并降低受市场价格波动影响的可能性,但用于购买这种加密货币的资金本可以更好地用于预防措施。此外,持有大量加密货币会大大增加商业风险,因为黑客寻找难以追踪的大量现金将使您成为高优先级目标。如果加密货币价格飙升,它也可能成为上市公司必须报告的重要资产——这也会引起攻击者的注意并使公司面临高风险。【本文为专栏作家“李少鹏”原创文章,转载请通过安安牛(微信?id:gooann-sectv)获得授权】点此阅读作者更多好文
