勒索软件攻击和网络攻击事件带来的风险可能已经成为企业安全团队讨论的主要话题,并且很自然地,由于勒索软件攻击事件在上个年代。这些数字令人震惊,并清楚地表明勒索软件攻击是所有行业各种规模的企业都难以忽视的威胁。因此,主动保护公司资产和降低网络风险是当今企业的一项必要投资。如果没有适当的威胁准备和响应计划,勒索软件或网络勒索攻击事件造成的中断可能会对业务产生重大影响,导致数据丢失、无法提供服务、运营中断、信任和竞争力丧失市场优势,以及其他代价高昂且持久的影响。提高威胁准备当组织受到网络勒索攻击时,它必须迅速确定其攻击的性质和程度,然后执行响应和缓解攻击的计划。因为勒索软件攻击持续的时间越长,对企业经营能力的潜在损害就越大。虽然许多企业的最终目标是全面的攻击预防,但攻击缓解是更有可能(也可能更合理)的目标,组织应该优先考虑准备和预防。预防措施包括实施最佳实践和措施来阻止勒索软件攻击的发生,同时让企业在受到攻击时尽可能减少损失。勒索软件的准备工作可分为三个主要部分:准备、检测和隔离。(1)准备一个组织对勒索软件事件的响应能力直接受到其随时可以使用的工具的影响,这使得一个组织的准备工作成为其成功应对勒索软件攻击的关键部分。良好的准备有双重作用:培训员工如何防止攻击,并指导他们在受到攻击时如何应对。以下是企业在制定网络勒索软件攻击计划时可能希望包括的一些内容:创建一个事件响应手册,其中包含与响应勒索软件攻击相关的所有相关信息。对员工进行定期和强制性培训,以防止网络攻击者渗透公司系统进行网络攻击。涵盖的主题可能包括密码安全的重要性、电子邮件网络钓鱼的警告标志以及在线安全的最佳实践。通过为员工提供协议和资源来帮助防止勒索软件攻击,以便他们在认为存在需要解决的风险时报告可疑活动和声音问题。(2)检测检测是指用于发现正在发生或已经发生的勒索软件攻击,并在网络中识别其来源的工具、技术、人员和流程。具体的检测子组件包括:拥有一个强大的平台系统来监控网络并提醒您可疑活动,例如已知勒索软件文件扩展名的存在或大量文件的快速重命名,这可能表明它们正在被加密。利用有关特定勒索软件参与者/团体以及战术、技术和程序(TTP)的易于访问和最新的知识来支持企业的威胁情报计划,包括技术情报,以更好地预测潜在的风险漏洞和攻击。实施多因素身份验证,以减少勒索者未经授权访问公司系统的可能性。(3)隔离为了限制其传播,隔离应该是企业意识到成为勒索软件攻击目标后的首要任务。当分秒必争时,以分离不同网络的方式设计系统会非常有效。具体的隔离措施包括:限制每个员工只能访问他们在工作中必须使用的文件和数据。尽快关闭受感染的系统,并彻底断开与企业网络的连接。禁止在设备之间分发潜在有害数据的方式,包括VPN、NAC和AD用户。响应勒索软件攻击一旦组织成功捕获并阻止勒索软件攻击的进展,制定响应计划以帮助节省决策时间和管理情绪反应至关重要,这在潜在的紧急情况发生。通常很难确定勒索软件攻击的范围,加密的数据越多,了解攻击性质所需的时间就越长。一个好的响应计划通常是经过精心训练的,在需要时易于实施,并且基于业务可用的资源。它有几个部分,包括指定处理每个步骤的各方;将直接与赎金攻击者沟通和谈判的各方的联系信息;以及与处理赎金支付的法律合规性相关的最新协议。但在这些问题中,企业计划中最需要解决的问题之一就是谈判的处理。谈判谈判涉及与威胁行为者接触并要求任何形式的妥协,无论是否涉及支付赎金。建议使用熟悉威胁参与者参与、勒索软件攻击和勒索软件受害者的法律义务的专业人员;了解当前的网络勒索趋势、威胁行为者和威胁行为者群体也很重要。在整个过程中保持透明并拥有可以帮助客户实现目标的谈判人员将极大地促进顺利的谈判,并更有可能以受害方满意的方式解决问题。当然,没有万能的谈判方法。但是,如果企业发现自己处于这种最坏的情况下,则必须进行一些基本准备。将与勒索软件参与者的所有聊天和通信保密,并限制内部访问者和威胁参与者之间的通信记录。如果组织不确定威胁行为者是否有权访问其电子邮件通信,建议切换到非基于Web的通信。准备好寻求专业的谈判代表。这里强调的是在企业内部拥有自己的专业谈判人员的重要性。需要注意的是,很多勒索软件攻击者都有自己的具有谈判背景的专业人员,使被攻击企业遵守勒索要求。建议执法部门尽早参与勒索软件攻击调查。这不仅可以帮助企业确保勒索软件攻击在法律范围内得到处理,而且执法部门有时可以深入了解特定威胁行为者的行为,帮助企业进行谈判并改善他们的困境。增加压力除了勒索软件攻击本身,威胁行为者还使用其他方式对谈判施加压力,包括:实施DDoS攻击。直接通过电子邮件向员工发送有关攻击的信息。声称拥有实际上并未被盗的数据会使情况看起来更糟。联系受到攻击的高管或客户,让他们了解勒索软件攻击。在面向公众的论坛或社交媒体上发布敏感的个人身份信息(PII)。留下后门使勒索软件攻击者有可能对同一企业进行第二次攻击。成为网络勒索攻击的受害者可能既压力大又具有挑战性。为了减轻对您的业务和客户的影响,您必须为任何可能加剧勒索软件攻击并长期损害受害者声誉和收入的潜在额外因素做好准备。
