对于CIO或CISO而言,成为勒索软件攻击的受害者几乎是不可避免的,但这并不意味着它一定是一场灾难。
勒索软件之所以发生,是因为基本的安全措施被忽略了,并且由于准备不当,组织部分出现了故障。通过避免这些常见错误,可以使噩梦更容易忍受。
到目前为止,我们看到的最常见的错误是未能采取基本的安全措施,或者我称之为“基准安全性失败”。基准安全性故障意味着没有适当的最低安全控制措施来保护低垂的果实。
威胁参与者正在设法进入您的组织;正在发生。没有任何绝对的否认可以阻止这种情况的发生。您是认为您的组织规模太小而无法成为目标的CEO吗?您认为您的行业不受黑客攻击吗?您是否希望使用简单的旧式AV工具来确保您的安全?再想一想。
如何抵抗勒索软件攻击
您需要以两种方式进行准备。首先,从预防的角度来看,这意味着确保基本的安全控制措施已经到位并且配置正确。这通常涉及强大的端点保护,例如使用机器学习的EDR。传统的预防措施(如基于签名的AV,多因素身份验证,网络隔离,锁定暴露于Internet的RDP端口或应用最新的OS和应用程序)是必不可少的,但不足以全面覆盖您。
作为组织准备的第二种方法是假设最坏的情况将会发生。攻击者将超越您的防御并获得访问网络的权限。在这种最坏的情况下,准备好从勒索软件中恢复至关重要,而这首先要进行定期的脱机备份。这样,如果您确实成为勒索软件的受害者,则可以通过确保您在不确定的时间内不停机来减少对业务的总体影响。
编写事件响应计划
对于可能已经具备这些条件的更成熟的组织,准备工作就像制定事件响应计划一样简单。至少解决谁和什么的问题。
计划中的“人员”应定义事件宣布后需要参与的关键利益相关方。通常是您的IT员工,例如系统或网络管理员,或者非常熟悉您的IT基础架构的人员。
理想情况下,如果发生事件,应任命您的安全团队为“第一响应者”。计划的这一部分还应包括行政级别或C级员工,例如CISO或CIO,以及总顾问。列出需要与谁联系以及以什么顺序联系的清单,并准备好推出内部和外部沟通计划。
在此处了解更多信息:您的勒索软件事件响应计划是否可以证明未来?
“内容”定义了需要采取的步骤,还可能包括您需要响应的工具或技术的列表。希望您不需要使用这些计划。希望您会成为幸运者之一。但是,如果发生事件,您将希望所有这些都准备就绪。
当然,制定出色的脱机备份策略是为最坏情况做好准备的最佳方法。具有良好备份的组织可以而且确实能够幸免于勒索软件攻击,而毫发无损。他们只会丢失一个小时左右的数据,从而留有空间专注于控制和恢复操作。但是,不幸的是,这种最佳情况通常是例外而不是规则。
那里有大型组织,它们拥有资源丰富的IT和安全团队,他们认为自己拥有一切,但仍与威胁参与者保持着不断的战斗。威胁演员很早就学会了攻击并销毁备份,这是攻击的第一步。
正如我的好朋友摩根·赖特(Morgan Wright),SentinelOne的安全顾问经常说的那样,“没有战斗计划能够幸免于敌。有时,无论准备得如何,威胁行为者都会找到出路。越来越多的人看到,这些组织精心组织,能够将其犯罪所得用于进一步的研究和开发,并且始终如一领先一步。
常见错误
一旦检测到事件,时钟就会启动。前48到72个小时是一个很好的指标,可以帮助您确定噩梦是短命的,还是反复发作的恐怖持续了数周甚至数月之久。我们最近与一家大型跨国公司结了一起案,该公司遭受了勒索软件攻击,遏制和调查花费了将近3个月的时间才能完成。原因是客户认为他们已经拥有所需的技术和安全控制,并且他们采取的最初步骤是在我们投入使用之前抹去90%受影响的系统。
同时,客户也开始在云中重建其基础架构,这阻碍了响应工作,因为它无法应对任何事件时解决关键的第一步。遏制和保护受影响的环境。如果不了解导致勒索软件的根本问题,然后执行根本原因分析以解决需要修复的问题,则您只是在为另一场灾难做准备。
对于从未经历过勒索软件事件的组织,立即清除所有内容似乎是最好的做法。但是,有一个严格的协议需要遵循,并且该协议包括进行法医调查以识别渗透的全部范围。
渝公网安备