无论什么季节,勒索软件都是一个严重的威胁。正如美国IBM Security X-Force 威胁情报指数2022指出的那样,三年多来,勒索软件一直是最流行的网络安全攻击类型。根据数据泄露成本报告,勒索软件泄露的平均成本为462万美元,包括收入损失和响应费用。该金额不包括赎金本身,赎金可能高达数百万美元。
虽然专注于预防至关重要,但公司还需要针对可能的攻击提前制定策略。
德贝克说:“许多组织都有应对计划,但这些计划的质量以及是否经过适当测试存在很大差异”。对攻击做出快速而果断的反应可以对造成的损害产生巨大的影响。
今年的威胁情报指数分解了有效勒索软件响应计划中的五个关键步骤。来看看IBM的三位安全专家在美国的场景的看法。
第一步:紧急行动项目清单
最有效的应对计划包括在危机中立即采取的一系列步骤。制定包含攻击的分步任务手册,例如隔离硬件和关闭服务。包括联系管理层和执法部门(例如 FBI)的步骤。
X-Force全球补救负责人Andrew Gorecki说道:“网络攻击通常是由有组织的网络犯罪和民族国家支持的威胁行为者发起的。因此,将针对您的组织的犯罪行为通知执法部门非常重要。受害者组织与执法机构和政府机构分享情报对于帮助打击网络犯罪和加强私营和公共部门组织之间的合作至关重要。”
快速遏制攻击是关键。假设攻击已经加密了数据,则必须制定一个安全地从备份恢复数据的计划。等待的时间越长,对运营的影响就越大。经常备份数据并经常测试恢复过程。
第二步:假设数据被盗和数据泄露
勒索软件攻击过去相当简单。攻击者通过加密使您的数据变得无用,然后承诺如果您付款,就会交出解密密钥。当今的攻击者旨在通过威胁泄露被盗数据来提高支付金额,例如:
- 商业竞争对手可以使用的敏感材料
- 可能使高管难堪或损害公司声誉的机密信息
- 受保护的数据,例如客户的信用卡信息,如果泄露可能会导致法律责任或监管罚款。
X-Force 网络靶场技术团队经理卡米尔·辛格尔顿 (Camille Singleton) 表示:“勒索软件攻击者发现这种‘双重勒索’策略非常有效,我们现在几乎在每次攻击中都能看到这种策略。”
如果公司持有属于其他人(例如业务合作伙伴)的数据,那么问题可能会变得更糟。
辛格尔顿说:“攻击者知道,如果他们窃取的数据属于与他们所攻击的组织不同的组织,那么他们就会获得更大的优势”。来自受害者伴侣的压力和违反合同的威胁增加了风险。
第三步:准备应对云相关攻击
攻击者知道企业越来越依赖云环境,因此开发了专门用于利用常见的基于云的操作系统和应用程序编程接口的特定工具。根据威胁情报指数,近四分之一的安全事件源于威胁参与者从本地网络转移到云中。
事实上,如今的攻击者正在利用新版本的基于 Linux 的勒索软件将攻击重点放在云环境上。根据 X-Force 威胁情报合作伙伴 Intezer 的分析,2021 年大约 14% 的 Linux 勒索软件包含新代码。
企业需要加强基于云的系统并确保密码符合策略。零信任方法(假设发生了违规行为并使用网络验证措施来阻止攻击者的内部活动)使云攻击者更难获得立足点。
第四步:及时了解最佳备份实践
老式磁带驱动器的传统备份是抵御勒索软件的一种可能的防线,但由于其机械特性,备份速度可能非常慢。磁带也会磨损,这会增加数据丢失的风险。
戈雷茨基建议重新考虑如何进行网络恢复。灾难恢复 (DR) 策略在勒索软件恢复中效果不佳。相反,请考虑创建主存储的逻辑气隙快照,提供不可变、不会损坏的数据副本。现代、有效的网络保险库解决方案可提供数据验证和验证。这种新的备份方法可以让受害者更快地从勒索软件攻击中恢复。
第五步:决定是否支付赎金
人们普遍认为——执法部门也同意——组织永远不应该支付赎金。然而,一些受害者确实付出了代价,特别是在生命面临危险的情况下,例如在医院环境中,或者如果系统长时间停机威胁到企业的生存能力。每个组织都应该进行练习,以考虑在困难的情况下他们会做什么。
企业在支付赎金之前需要权衡以下因素:
- 丢失数据的价值
- 数据泄露的潜在后果
- 备份的质量
- 恢复备份的便利性。
支付赎金并不能保证您能取回数据,也不能保证加密数据可以在不损坏的情况下恢复。即使事情按计划进行,解密也可能是一个漫长的过程。据报道,一家在 2021 年向攻击者支付了数百万美元赎金的公司决定无论如何都从自己的备份中恢复数据。攻击者的解密工具太慢。
戈雷茨基说:“是否付费最终是一个商业决定,付费可以防止你的品牌受损,还是可以帮助你更快地恢复过来?如果你能用财务术语来量化潜在的损失,你就可以将其与赎金的价格进行比较。”
最后一点:保护自己免受勒索软件侵害是一场漫长的游戏,需要不断关注基础设施和行业趋势。攻击者的工具和策略将不断演变,公司需要应对挑战。无论勒索软件攻击是否会像近年来那样加剧,现在始终是提前计划的最佳时机。