结合防御意识和防御准备,有很大的可能规避勒索软件攻击。通常,勒索软件攻击会被误导,这意味着防御者要么完全阻止攻击,要么攻击者完全控制其目标IT基础设施。但过去几年表明,防御者能否成功应对勒索软件攻击取决于一系列潜在结果,其中一些结果明显优于其他结果。不难想象,勒索软件行业的所有团队都拥有相同的技能、相同的目标,并在相同的商业模式下运作。但与任何垂直行业一样,勒索软件组织拥有广泛的技能、不同的目标和不同的商业模式。虽然如今每个人都喜欢将REvil和DarkSide称为提供勒索软件即服务的“特许经营模式”,但重要的是要记住,特许经营商实际上是自由职业的网络犯罪分子。特许经营商为这些自由职业者提供后台运营,但对他们的其他业务几乎没有影响。鉴于上述情况,让我们考虑可能影响攻击结果的每个因素。攻击者技能和持久性攻击者技能和防御者技能-加上一些运气因素-通常决定攻击可能走多远:低技能:一些攻击者可能擅长攻击安全实践落后的组织,但经常在具有强大的防御错误的技能:拥有可用于攻击传统数据中心的技能和工具的攻击者将难以进入已将所有内容移动到云端的目标好:被锁定的组织组织通常被锁定,但可能会暂时暴露以允许攻击者发现它们祝你好运:持续开放的组织(例如,在AWS飞地中通过RDP访问外部世界)是幸运的,因为没有一个攻击者遇到它。攻击者的目标攻击组也可能侧重于以破坏为中心与以操作为中心的目标。以泄露为中心的目标定位涉及泄露和威胁泄露属于目标组织的机密数据。这方面最有价值的数据通常是与目标客户和员工相关的数据,因为潜在的声誉和法律责任是支付赎金的强烈动机。或者,公开披露或出售知识产权或商业秘密可以促使目标组织支付赎金。此类攻击的策略通常涉及向受害者发送数据样本以揭示攻击者拥有的内容。从那里,它可以升级为暴露数据样本并联系受害者的客户,向受害者施加压力以支付赎金。以泄漏为中心的攻击的一个例子是对Quanta的REvil相关攻击,它泄露了未来Apple产品设计的规格。攻击者首先向广达索要5000万美元的赎金,但很快确定苹果财力雄厚,并试图勒索5000万美元,以换取防止数据公开泄露或将其出售给苹果竞争对手。以运营为中心的目标涉及试图削弱受害组织继续运营的能力。这些攻击有时针对传统IT系统,有时针对OT(操作技术)系统,但这些系统通常由传统IT(如WindowsNT)技术组装而成。该方案通常不会暴露或出售机密数据。与DarkSide相关的对ColonialPipeline的攻击(支付450万美元赎金)和与REvil相关的对JBSFoods的攻击(支付1100万美元赎金)正是为了实现这一目标:支付赎金是为了确保公司能够恢复正常运营及时。包括运气在内的几个因素限制了勒索软件攻击的可能结果。可能的结果包括:攻击者在目标组织上取得的进展不足而放弃。这可能是因为攻击者发现很难成功进行攻击,或者因为攻击者同时攻击的其他一些目标看起来更有希望,因此这被视为机会成本。无论哪种方式,都无需支付另一笔赎金。攻击者在一定程度上取得了成功,并认为他们在索要赎金方面有一定的影响力,但最终没有支付赎金。在这些情况下,结果通常是一些运营影响或声誉损害。攻击者取得了一些成功,赎金请求足够温和,受害者可能会选择支付赎金,因为这比恢复工作的成本更低。这也可能受到受害者拥有提供勒索软件保险的网络保险政策的影响。攻击者设法获得了核心业务的访问权限,有效阻止了受害组织继续开展业务。在这种情况下,受害组织可能会支付赎金(ColonialPipeline、JBSFoods)并相对较快地恢复服务。或者他们拒绝付款(参见巴尔的摩的RobbinHood攻击或亚特兰大的Samsam攻击)并最终从头开始重建他们的IT基础设施。结论您应该列出各种场景,包括攻击者追求的以漏洞为中心和以运营为中心的目标,并考虑您可能如何应对攻击者的部分或完全成功:了解您的网络保险政策的范围和限制它有吗?如果涉及赎金请求,您的网络保险提供商是否会指派专人处理赎金谈判?您有事件响应公司吗?您的灾难恢复计划有多稳健?随着时间的推移,许多此类问题都会浮出水面,这将有助于您在受到攻击时做好更充分的准备。本文翻译自:https://threatpost.com/a-guide-to-surviving-a-ransomware-attack/180110/如有转载请注明出处。
