对于任何勒索软件攻击事件或安全事件,都会有三个阶段:之前、期间和之后。人们需要了解如何在每个阶段保护他们的业务,并了解勒索软件的工作原理。组织需要遵循必要的勒索软件恢复步骤,在勒索软件攻击事件“之前”和“期间”做好准备。本文讨论企业如何恢复数据、减少声誉损失和安全风险,以及如何最大限度地降低总体成本。勒索软件攻击结束后,可能会发生以下情况:如果文件被加密,被攻击的企业将知道勒索软件攻击者的要求。企业将面临支付赎金的选择——受害者将在域名为.在收到赎金后,勒索软件攻击者可能会在没有任何保证的情况下提供解密/恢复文件所需的私钥。勒索攻击者可能会解密或恢复数据,或者他们可能会在二次攻击中使用泄露的数据,要求受害者付款或将文件发布到Internet上。对此,受害方需要将损失降到最低,恢复运营并提醒相关人员。企业在勒索软件攻击后恢复数据的5个步骤勒索软件恢复工作将取决于业务、数据和安全事件的性质。在勒索软件攻击之后,企业遵循以下5个步骤会很有帮助。(1)根据响应计划恢复系统并确定恢复工作的优先级在勒索软件攻击期间,企业需要获得一份干净的数据副本,以便迁移到分阶段恢复环境并重新上线。这些是企业恢复在线所需的最低限度任务关键型运营。现在,组织将开始优先考虑数据恢复。企业IT领导与其他高管合作,以确保恢复层与其他利益相关者达成一致。应明确定义应用程序恢复优先级或层级,以便企业了解恢复应用程序的时间表并且不会出现意外。其规划还应包括关键基础设施,例如ActiveDirectory和DNS。如果这些任务没有完成,其他业务应用程序可能无法恢复在线或正常运行。(2)继续从事取证工作,并与当局、您的网络保险提供商和任何监管机构合作。该企业与其取证专家合作以发现更多细节,例如:发生违规时是否启用了加密?备份或保留数据是什么状态?查看日志以确定在违规时谁有权访问数据,谁目前有权访问,他们是否仍需要访问权限,或者他们的访问权限是否可以被限制/撤销?哪些类型的数据遭到泄露?谁受到了影响,是否有他们的联系信息?在收集取证报告时,与执法机构(如FBI)和监管机构以及企业的保险提供商合作非常重要。(3)通过恢复离线沙箱环境开始恢复工作,使团队能够识别和根除恶意软件感染。建议利用分层安全架构和“数据掩体”。这种方法可帮助企业保留和保护大量数据并使其立即可用。当企业开始恢复数据时,需要检查网络分段。设置网络时,可以对其进行分段,以便一个服务器或站点中的漏洞不会导致另一个服务器或站点中的漏洞。企业与其取证专家合作,分析分段程序是否有效地阻止了违规行为。如果进行了任何更改,则需要立即进行。(4)持续沟通,让业务部门了解恢复工作的进展情况。公司需要制定一个全面的计划,让所有受影响的受众、员工、客户、投资者、业务合作伙伴和其他利益相关者了解情况。可以受益。不要对勒索软件攻击做出误导性陈述;它有助于预测人们会问的问题;解决主要问题并提供清晰简洁的答案。这有助于减少客户的担忧和挫败感,从而为企业节省时间和金钱。此外,不要公开分享可能使消费者或企业面临更大风险的信息。(5)考察服务商的视角。企业需要了解是否有服务提供商、合作伙伴或供应商参与勒索攻击?检查他们有权访问哪些个人信息,并决定他们是否需要更改访问权限。现在是确保服务提供商自己采取必要措施防止再次发生网络攻击的好时机。如果企业的服务提供商表示已修复漏洞,则需要进行验证。
