企業(yè)在勒索軟件響應中常犯的十個(gè)錯誤
發(fā)布時(shí)間:2021-07-27 11:50
來(lái)源:嘶吼網(wǎng)
閱讀:0
作者:小二郎
欄目: 網(wǎng)絡(luò )安全
2021年5月7日���,美國最大的燃油管道商Colonial Pipeline遭到勒索軟件攻擊���,由于Colonial Pipeline負責美國東岸多達45%的燃料供應���,因此該攻擊事件導致該公司暫停了所有的管道作業(yè)網(wǎng)絡(luò )�,并于晚間關(guān)閉一條主要的燃料傳輸管道�。
5月底�,美國最大的牛肉生產(chǎn)商JBS USA也遭到了網(wǎng)絡(luò )勒索攻擊�,致使美國和全球的相關(guān)企業(yè)工廠(chǎng)都被迫關(guān)閉��。
本月初���,勒索軟件團伙通過(guò)遠程補丁管理和監控軟件 Kaseya VSA 對托管服務(wù)提供商(MSP)及其客戶(hù)發(fā)起大規模供應鏈攻擊��,影響了全球一千多家企業(yè)��,瑞典連鎖超市Coop也被迫關(guān)閉了大約500家商店��。
可以說(shuō)��,近幾個(gè)月來(lái)���,勒索軟件攻擊對于企業(yè)而言簡(jiǎn)直就像一場(chǎng)揮之不去的夢(mèng)魘�����,也引起了公眾的關(guān)注甚至立法者的注意��。
美國一些政府官員就開(kāi)始呼吁國會(huì )和政府禁止受害組織向威脅行為者支付贖金�。此類(lèi)禁令旨在將FBI的建議——不要向勒索軟件攻擊者付款�����,以免變相鼓勵更多的此類(lèi)行為——編成法典�����。
事實(shí)上�����,支付或不支付贖金一直是一個(gè)爭論不休的問(wèn)題��。雖然大多數安全專(zhuān)家反對支付贖金�����,認為這等于是變相鼓勵勒索犯罪的行為�����,但在某些情況下���,支付贖金對于企業(yè)來(lái)說(shuō)可能利大于弊���。
Eze Castle Integration公司安全咨詢(xún)主管Steven Schwartz表示����,
- 每個(gè)人都知道應該對勒索說(shuō)‘不’�����,但具體怎么做還要取決于現實(shí)情況��。歸根結底����,企業(yè)需要業(yè)務(wù)恢復正常運行����。Colonial 最終支付了近 500 萬(wàn)美元的贖金來(lái)解密其計算機�。這實(shí)際上更像一個(gè)商業(yè)決策——他們需要讓自己的管道恢復運行�����,不然帶來(lái)的損失和后果都不堪設想��。
遺憾的是�����,付款還只是在勒索軟件攻擊的脅迫下需要解決的眾多問(wèn)題之一���。以下是組織在勒索軟件響應方面常犯的一些錯誤:
錯誤1:未能遏制惡意軟件
許多組織開(kāi)始關(guān)注如何在采取必要步驟確保惡意軟件不會(huì )進(jìn)一步傳播之前恢復加密數據�����。
Schwartz表示���,
- 企業(yè)組織做錯的第一件事就是沒(méi)有確保他們完全根除原始攻擊媒介����,并對其開(kāi)始的根本原因進(jìn)行分析及確認其沒(méi)有進(jìn)一步擴散�����。您必須確保清理了自己的系統環(huán)境���,以免二次淪為同一攻擊的受害者并面臨支付雙重贖金的風(fēng)險�。
錯誤2:缺乏可靠的響應計劃
企業(yè)組織應該在攻擊發(fā)生之前盡早制定事件響應計劃�����,并涵蓋安全團隊在發(fā)現攻擊后應該立即采取的步驟�����。它也應該召集需要聯(lián)系的必要利益相關(guān)者�。
Digital Guardian公司CISO兼托管安全服務(wù)副總裁Tim Bandos稱(chēng)�����,
- 缺乏正式的事件響應流程會(huì )導致安全團隊做出很多下意識的決定�����,這會(huì )讓事情變得更糟�。沒(méi)有任何組織可以免受勒索軟件攻擊�,因此做好準備至關(guān)重要����。
錯誤3:備份位置不當
勒索軟件團伙越來(lái)越多地在網(wǎng)絡(luò )中移動(dòng)���,以在部署惡意軟件之前查找備份并銷(xiāo)毀它們����。如果您的備份存儲不當��,那幾乎可以等同于沒(méi)有備份���。
Bando表示�,企業(yè)組織自信地認為���,他們可以從備份中恢復所有數據而無(wú)需支付高額贖金�?�?紤]到備份需要在異地存儲且不連接到網(wǎng)絡(luò )����,所以不會(huì )受到感染����,但不幸的是�����,情況并非總是如此�。由于備份位置不當而無(wú)法恢復數據的案例比比皆是��。除此之外�����,即便是備份完好無(wú)損����,想要恢復所有數據也可能需要花費很長(cháng)時(shí)間�����,由此造成的經(jīng)濟損失同樣不容小覷����。
錯誤4:談判失誤
與是否支付贖金一樣�����,是否協(xié)商贖金的費用也是一個(gè)爭論點(diǎn)�����。
NTT Data Services安全服務(wù)副總裁Sushila Nair表示�,如果一個(gè)組織決定支付贖金��,那么他們絕對應該去協(xié)商價(jià)格�����。情報公司Intel471數據顯示���,Darkside勒索軟件受害者就曾將勒索贖金從3000萬(wàn)美元談到了1400萬(wàn)美元���。
然而��,Digital Guardian公司的Bandos并不提倡談判����。他說(shuō)����,
- 我們在歷史上已經(jīng)看到�,試圖就解密密鑰的支付價(jià)格進(jìn)行談判會(huì )適得其反�����。這可能導致勒索軟件運營(yíng)商將其價(jià)格提高至初始金額的兩倍���。我建議避免談判或至少聘請專(zhuān)門(mén)處理此類(lèi)情況的第三方公司��,畢竟專(zhuān)業(yè)人做專(zhuān)業(yè)事��。
錯誤5:?jiǎn)为毿袆?dòng)
正如Digital Guardian的Baldos 所說(shuō)�,尋求幫助總是最好的�。雖然一些組織可能具備獨立處理攻擊的能力��,但大多數組織應該選擇與第三方事件響應提供商合作�。
Secureworks公司情報總監Mike McLellan補充道�����,
- 除非您擁有非常成熟的響應流程和龐大的安全團隊�����,否則應對攻擊可能會(huì )非常困難�。我們始終建議您與經(jīng)驗豐富的事件響應提供商合作�����,因為這些提供商可能已經(jīng)處理過(guò)數十甚至數百起此類(lèi)事件�,能夠更好����、更快地幫您應對危機����。
布朗大學(xué)計算機科學(xué)教授Ernesto Zaldivar 表示��,勒索軟件攻擊需要專(zhuān)門(mén)的幫助——尤其是為了防止未來(lái)的攻擊���。攻擊者很可能帶著(zhù)不同的勒索軟件和更高的贖金要求再次攻擊您的企業(yè)系統�����。訪(fǎng)問(wèn)您的數據也許并沒(méi)有你想象中困難�。從長(cháng)遠來(lái)看����,修復您的系統并增強防御能力是成功克服勒索軟件攻擊必不可缺的步驟��。
錯誤6:忽略執法部門(mén)
除了引入專(zhuān)門(mén)的事件響應提供商外����,組織還應該尋求執法部門(mén)和相關(guān)機構的幫助�。
Vigilante情報總監Adam Darrah表示�,這些調查人員不僅可以協(xié)助對受感染機器進(jìn)行成像�,而且他們還可以使用解密工具�����、必要的加密貨幣來(lái)促進(jìn)支付�����,或使用其他技術(shù)和資源來(lái)恢復加密信息�����。企業(yè)組織通過(guò)與執法部門(mén)合作��,可能能夠幫助他們追蹤勒索軟件運營(yíng)商的蹤跡����,并最終將其繩之以法���。
錯誤7:等待太久才給保險公司打電話(huà)
事件發(fā)生后����,請務(wù)必第一時(shí)間就讓您的保險公司參與其中���。Aiven 公司CISO James Arlen稱(chēng)��,“如果您買(mǎi)了網(wǎng)絡(luò )保險并且在事件發(fā)生后又沒(méi)有打電話(huà)讓他們參與其中��,但是后來(lái)又找他們理賠����,很顯然��,您違反了保險政策����,最終可能一分錢(qián)也得不到�����。讓您的保險提供商第一時(shí)間參與其中����,他們可能會(huì )優(yōu)先選擇由誰(shuí)對事件進(jìn)行處理以及如何處理�����,而此時(shí)您只需要跟隨他們的指示��。”
錯誤8:屈服于害怕和恐慌情緒
雖然在處理勒索軟件攻擊后果的過(guò)程中�����,必然會(huì )有一段腎上腺素飆升的時(shí)期�,但盡可能保持冷靜將會(huì )有所幫助����。
德勤風(fēng)險與財務(wù)咨詢(xún)公司網(wǎng)絡(luò )事件響應團隊的咨詢(xún)高級經(jīng)理Wayne Johnson表示�����,
- 當組織響應勒索軟件攻擊時(shí)�,我們看到的最常見(jiàn)的錯誤可能就是在事件發(fā)生時(shí)屈服于恐懼情緒�����,而不是堅持計劃好的事件響應流程���。遵循組織準備好的事件響應計劃并限制臨時(shí)反應�����,有助于組織更有效地做出響應��,進(jìn)而恢復正常的業(yè)務(wù)運營(yíng)���。
錯誤 9:花費寶貴的時(shí)間尋找解密密鑰
很多安全專(zhuān)家認為����,在網(wǎng)上尋找解密密鑰完全是在浪費事件�����。還有一部分人則認為找到有用信息的機會(huì )并非不存在�,只是很小��。
Cyberbit公司網(wǎng)絡(luò )靶場(chǎng)技術(shù)培訓師Wayne Pruitt表示��,
- 網(wǎng)上有一些解密工具�,例如‘No More Ransomware Project’�,但是這些都適用于密鑰可用的已知勒索軟件���。大多數勒索軟件攻擊都使用帶有公鑰或私鑰的非對稱(chēng)加密�。這些密鑰通常是特定于目標而設置的����,并且一個(gè)組織的解密密鑰與另一個(gè)組織不同�����。找到貴組織需要的解密密鑰的機會(huì )可以說(shuō)微乎其微�����。如果您使用錯誤的密鑰嘗試解密工具����,還可能會(huì )損壞文件導致無(wú)法恢復����。
錯誤10:沒(méi)有從事件中吸取經(jīng)驗
一旦經(jīng)歷過(guò)攻擊�����,回過(guò)頭來(lái)找出您的安全漏洞所在是至關(guān)重要的�。您是否已經(jīng)制定了合適的響應計劃?如果沒(méi)有�����,請從經(jīng)驗中學(xué)習并制定一個(gè)���。這有助于高管和IT審查響應并為此類(lèi)事件做好準備���。
企業(yè)組織可以通過(guò)模擬演練��,不斷改進(jìn)自身響應計劃�����,這樣一來(lái)���,當不可思議的事情發(fā)生時(shí)�,組織才能做好更萬(wàn)全的準備�。相反地�����,忽視確定攻擊的根本原因或入口向量將在未來(lái)繼續為攻擊者提供后門(mén)�。
Eze Castle Integration公司的Schwartz表示���,
- 確定您是否擁有易受攻擊的遠程桌面服務(wù)器或特權帳戶(hù)憑據是否已泄露非常重要�。如果您想阻止攻擊者在網(wǎng)絡(luò )中的存在����,這些項目必須成為您補救計劃的一部分��。
本文翻譯自:https://www.darkreading.com/edge/theedge/10-mistakes-companies-make-in-their-ransomware-responses/b/d-id/1341508?page_number=11如若轉載���,請注明原文地址�。
【編輯推薦】
