最近,双重勒索软件攻击对他们的目标使用了两种不同的勒索软件变体,攻击者使用的勒索软件包括AvosLocker、Diamond、Hive、Karakurt、LockBit、Quantum和Royal。
联邦调查局警告称,部署定制数据窃取和雨刷工具的勒索软件组织有所增加,以迫使受害者进行谈判。
在很短的时间内发生两次勒索软件攻击,会推高损害和相关成本,并可能将公司推向毁灭的边缘。最近针对米高梅的第一次黑客攻击造成了1亿美元的损失。后续的袭击可能会产生更严重的后果。
CIO和CISO需要采取哪些不同的做法来打破无休止的攻击和再次攻击的循环?
在网络攻击期间,IT团队成员在高压下工作,将他们的企业从混乱中拉出来。重要系统应迅速启动并重新运行,并应适当通知客户和合作伙伴。每一小时都很重要,因为停机等同于金钱损失。
在这种极端情况下,会出现致命错误:IT团队通常会恢复到为洪水、火灾或断电等传统灾难恢复情况构建的恢复工作流。系统从现有备份重建,以便它们可以快速恢复运行,通常使用最新的副本,因为这最大限度地减少了可能的数据丢失。
在传统的灾难恢复方案中,根本原因是已知的,并且原因已得到缓解,但在网络攻击方案中,如果没有适当的响应操作来调查和缓解你发现的情况,系统将与所有恶意帐户、泄露的密码、持久性机制和其他恶意制品一起恢复,而缺少规则或被绕过的保护性控制仍然无效,无法阻止攻击再次发生。被利用的漏洞仍然没有被发现,也没有打补丁。
换句话说,这座房子将被重建,所有打开的窗户和后门都是袭击者第一次进入的。事实上,对手可能已经回到走廊里了!无限循环的基础已经奠定。在勒索软件时代,将系统恢复重新考虑为一个过程并使其完全现代化是至关重要的。
基础设施和安全团队必须共同努力,不仅要恢复系统,还要了解攻击的性质并降低再次发生的可能性。这需要时间,但它可以防止进一步的代价高昂的影响。
这种合作的理想场所是所谓的洁净室。在这个隔离的环境中,所有涉及的团队都可以与生产数据的副本并行工作。使用数据管理解决方案,可以在事故时间线的不同阶段获得系统的快照版本。现代数据安全和管理平台可以将这些快照交付到隔离的环境中,借助保险存储、不变存储、多因素身份验证和加密,这些快照已针对外部攻击进行了强化。
数据管理系统协调了运行洁净室所需的通信、协作、身份验证、数字取证和事件响应工具的快速准备,确保即使这些系统受到事件响应的影响,也可以在事件发生后几分钟内启动操作。
在这个净室里,数字取证可以在几分钟内重新实例化攻击生命周期中不同时间点的系统,以检查文件系统、配置和文件。被规避或缺少相关规则的安全工具可以重新部署到系统上。可以发现准确的攻击点的漏洞,即使它们发生在常规的漏洞扫描节奏之间。
持久化机制通常存在于未加密的系统上,因此寻线团队应该在整个系统中寻找危害的指标,从而利用数据管理的快速索引和搜索功能。
防止后续攻击
这些响应操作推动了可实现的恢复时间目标,但必须修补发现的漏洞,删除恶意帐户,加强保护和检测控制,以防止或检测再次发生,并且必须在重新部署到生产之前删除所有恶意人工制品。IT团队自然希望优先恢复运行最重要服务和存储最有价值数据的系统。
公司中的CIO和CISO都应该相互协调,重新调整恢复时间和可能的运营成本,因为整个恢复过程需要的时间比之前估计的要长。这种方法的优势应该是显而易见的:后续攻击的风险降低,整个环境的网络弹性增加。