[[413057]]

2021年5月7日，美國(guó)最大的燃油管道商Colonial Pipeline遭到勒索軟件攻擊，由于Colonial Pipeline負(fù)責(zé)美國(guó)東岸多達(dá)45%的燃料供應(yīng)，因此該攻擊事件導(dǎo)致該公司暫停了所有的管道作業(yè)網(wǎng)絡(luò)，并于晚間關(guān)閉一條主要的燃料傳輸管道。

5月底，美國(guó)最大的牛肉生產(chǎn)商JBS USA也遭到了網(wǎng)絡(luò)勒索攻擊，致使美國(guó)和全球的相關(guān)企業(yè)工廠都被迫關(guān)閉。

本月初，勒索軟件團(tuán)伙通過(guò)遠(yuǎn)程補(bǔ)丁管理和監(jiān)控軟件 Kaseya VSA 對(duì)托管服務(wù)提供商(MSP)及其客戶發(fā)起大規(guī)模供應(yīng)鏈攻擊，影響了全球一千多家企業(yè)，瑞典連鎖超市Coop也被迫關(guān)閉了大約500家商店。

可以說(shuō)，近幾個(gè)月來(lái)，勒索軟件攻擊對(duì)于企業(yè)而言簡(jiǎn)直就像一場(chǎng)揮之不去的夢(mèng)魘，也引起了公眾的關(guān)注甚至立法者的注意。

美國(guó)一些政府官員就開(kāi)始呼吁國(guó)會(huì)和政府禁止受害組織向威脅行為者支付贖金。此類禁令旨在將FBI的建議——不要向勒索軟件攻擊者付款，以免變相鼓勵(lì)更多的此類行為——編成法典。

事實(shí)上，支付或不支付贖金一直是一個(gè)爭(zhēng)論不休的問(wèn)題。雖然大多數(shù)安全專家反對(duì)支付贖金，認(rèn)為這等于是變相鼓勵(lì)勒索犯罪的行為，但在某些情況下，支付贖金對(duì)于企業(yè)來(lái)說(shuō)可能利大于弊。

Eze Castle Integration公司安全咨詢主管Steven Schwartz表示，

• 每個(gè)人都知道應(yīng)該對(duì)勒索說(shuō)‘不’，但具體怎么做還要取決于現(xiàn)實(shí)情況。歸根結(jié)底，企業(yè)需要業(yè)務(wù)恢復(fù)正常運(yùn)行。Colonial 最終支付了近 500 萬(wàn)美元的贖金來(lái)解密其計(jì)算機(jī)。這實(shí)際上更像一個(gè)商業(yè)決策——他們需要讓自己的管道恢復(fù)運(yùn)行，不然帶來(lái)的損失和后果都不堪設(shè)想。

遺憾的是，付款還只是在勒索軟件攻擊的脅迫下需要解決的眾多問(wèn)題之一。以下是組織在勒索軟件響應(yīng)方面常犯的一些錯(cuò)誤：

錯(cuò)誤1：未能遏制惡意軟件

許多組織開(kāi)始關(guān)注如何在采取必要步驟確保惡意軟件不會(huì)進(jìn)一步傳播之前恢復(fù)加密數(shù)據(jù)。

Schwartz表示，

• 企業(yè)組織做錯(cuò)的第一件事就是沒(méi)有確保他們完全根除原始攻擊媒介，并對(duì)其開(kāi)始的根本原因進(jìn)行分析及確認(rèn)其沒(méi)有進(jìn)一步擴(kuò)散。您必須確保清理了自己的系統(tǒng)環(huán)境，以免二次淪為同一攻擊的受害者并面臨支付雙重贖金的風(fēng)險(xiǎn)。

錯(cuò)誤2：缺乏可靠的響應(yīng)計(jì)劃

企業(yè)組織應(yīng)該在攻擊發(fā)生之前盡早制定事件響應(yīng)計(jì)劃，并涵蓋安全團(tuán)隊(duì)在發(fā)現(xiàn)攻擊后應(yīng)該立即采取的步驟。它也應(yīng)該召集需要聯(lián)系的必要利益相關(guān)者。

Digital Guardian公司CISO兼托管安全服務(wù)副總裁Tim Bandos稱，

• 缺乏正式的事件響應(yīng)流程會(huì)導(dǎo)致安全團(tuán)隊(duì)做出很多下意識(shí)的決定，這會(huì)讓事情變得更糟。沒(méi)有任何組織可以免受勒索軟件攻擊，因此做好準(zhǔn)備至關(guān)重要。

錯(cuò)誤3：備份位置不當(dāng)

勒索軟件團(tuán)伙越來(lái)越多地在網(wǎng)絡(luò)中移動(dòng)，以在部署惡意軟件之前查找備份并銷毀它們。如果您的備份存儲(chǔ)不當(dāng)，那幾乎可以等同于沒(méi)有備份。

Bando表示，企業(yè)組織自信地認(rèn)為，他們可以從備份中恢復(fù)所有數(shù)據(jù)而無(wú)需支付高額贖金?？紤]到備份需要在異地存儲(chǔ)且不連接到網(wǎng)絡(luò)，所以不會(huì)受到感染，但不幸的是，情況并非總是如此。由于備份位置不當(dāng)而無(wú)法恢復(fù)數(shù)據(jù)的案例比比皆是。除此之外，即便是備份完好無(wú)損，想要恢復(fù)所有數(shù)據(jù)也可能需要花費(fèi)很長(zhǎng)時(shí)間，由此造成的經(jīng)濟(jì)損失同樣不容小覷。

錯(cuò)誤4：談判失誤

與是否支付贖金一樣，是否協(xié)商贖金的費(fèi)用也是一個(gè)爭(zhēng)論點(diǎn)。

NTT Data Services安全服務(wù)副總裁Sushila Nair表示，如果一個(gè)組織決定支付贖金，那么他們絕對(duì)應(yīng)該去協(xié)商價(jià)格。情報(bào)公司Intel471數(shù)據(jù)顯示，Darkside勒索軟件受害者就曾將勒索贖金從3000萬(wàn)美元談到了1400萬(wàn)美元。

然而，Digital Guardian公司的Bandos并不提倡談判。他說(shuō)，

• 我們?cè)跉v史上已經(jīng)看到，試圖就解密密鑰的支付價(jià)格進(jìn)行談判會(huì)適得其反。這可能導(dǎo)致勒索軟件運(yùn)營(yíng)商將其價(jià)格提高至初始金額的兩倍。我建議避免談判或至少聘請(qǐng)專門處理此類情況的第三方公司，畢竟專業(yè)人做專業(yè)事。

錯(cuò)誤5：?jiǎn)为?dú)行動(dòng)

正如Digital Guardian的Baldos 所說(shuō)，尋求幫助總是最好的。雖然一些組織可能具備獨(dú)立處理攻擊的能力，但大多數(shù)組織應(yīng)該選擇與第三方事件響應(yīng)提供商合作。

Secureworks公司情報(bào)總監(jiān)Mike McLellan補(bǔ)充道，

• 除非您擁有非常成熟的響應(yīng)流程和龐大的安全團(tuán)隊(duì)，否則應(yīng)對(duì)攻擊可能會(huì)非常困難。我們始終建議您與經(jīng)驗(yàn)豐富的事件響應(yīng)提供商合作，因?yàn)檫@些提供商可能已經(jīng)處理過(guò)數(shù)十甚至數(shù)百起此類事件，能夠更好、更快地幫您應(yīng)對(duì)危機(jī)。

布朗大學(xué)計(jì)算機(jī)科學(xué)教授Ernesto Zaldivar 表示，勒索軟件攻擊需要專門的幫助——尤其是為了防止未來(lái)的攻擊。攻擊者很可能帶著不同的勒索軟件和更高的贖金要求再次攻擊您的企業(yè)系統(tǒng)。訪問(wèn)您的數(shù)據(jù)也許并沒(méi)有你想象中困難。從長(zhǎng)遠(yuǎn)來(lái)看，修復(fù)您的系統(tǒng)并增強(qiáng)防御能力是成功克服勒索軟件攻擊必不可缺的步驟。

錯(cuò)誤6：忽略執(zhí)法部門

除了引入專門的事件響應(yīng)提供商外，組織還應(yīng)該尋求執(zhí)法部門和相關(guān)機(jī)構(gòu)的幫助。

Vigilante情報(bào)總監(jiān)Adam Darrah表示，這些調(diào)查人員不僅可以協(xié)助對(duì)受感染機(jī)器進(jìn)行成像，而且他們還可以使用解密工具、必要的加密貨幣來(lái)促進(jìn)支付，或使用其他技術(shù)和資源來(lái)恢復(fù)加密信息。企業(yè)組織通過(guò)與執(zhí)法部門合作，可能能夠幫助他們追蹤勒索軟件運(yùn)營(yíng)商的蹤跡，并最終將其繩之以法。

錯(cuò)誤7：等待太久才給保險(xiǎn)公司打電話

事件發(fā)生后，請(qǐng)務(wù)必第一時(shí)間就讓您的保險(xiǎn)公司參與其中。Aiven 公司CISO James Arlen稱，“如果您買了網(wǎng)絡(luò)保險(xiǎn)并且在事件發(fā)生后又沒(méi)有打電話讓他們參與其中，但是后來(lái)又找他們理賠，很顯然，您違反了保險(xiǎn)政策，最終可能一分錢也得不到。讓您的保險(xiǎn)提供商第一時(shí)間參與其中，他們可能會(huì)優(yōu)先選擇由誰(shuí)對(duì)事件進(jìn)行處理以及如何處理，而此時(shí)您只需要跟隨他們的指示。”

錯(cuò)誤8：屈服于害怕和恐慌情緒

雖然在處理勒索軟件攻擊后果的過(guò)程中，必然會(huì)有一段腎上腺素飆升的時(shí)期，但盡可能保持冷靜將會(huì)有所幫助。

德勤風(fēng)險(xiǎn)與財(cái)務(wù)咨詢公司網(wǎng)絡(luò)事件響應(yīng)團(tuán)隊(duì)的咨詢高級(jí)經(jīng)理Wayne Johnson表示，

• 當(dāng)組織響應(yīng)勒索軟件攻擊時(shí)，我們看到的最常見(jiàn)的錯(cuò)誤可能就是在事件發(fā)生時(shí)屈服于恐懼情緒，而不是堅(jiān)持計(jì)劃好的事件響應(yīng)流程。遵循組織準(zhǔn)備好的事件響應(yīng)計(jì)劃并限制臨時(shí)反應(yīng)，有助于組織更有效地做出響應(yīng)，進(jìn)而恢復(fù)正常的業(yè)務(wù)運(yùn)營(yíng)。

錯(cuò)誤 9：花費(fèi)寶貴的時(shí)間尋找解密密鑰

很多安全專家認(rèn)為，在網(wǎng)上尋找解密密鑰完全是在浪費(fèi)事件。還有一部分人則認(rèn)為找到有用信息的機(jī)會(huì)并非不存在，只是很小。

Cyberbit公司網(wǎng)絡(luò)靶場(chǎng)技術(shù)培訓(xùn)師Wayne Pruitt表示，

• 網(wǎng)上有一些解密工具，例如‘No More Ransomware Project’，但是這些都適用于密鑰可用的已知勒索軟件。大多數(shù)勒索軟件攻擊都使用帶有公鑰或私鑰的非對(duì)稱加密。這些密鑰通常是特定于目標(biāo)而設(shè)置的，并且一個(gè)組織的解密密鑰與另一個(gè)組織不同。找到貴組織需要的解密密鑰的機(jī)會(huì)可以說(shuō)微乎其微。如果您使用錯(cuò)誤的密鑰嘗試解密工具，還可能會(huì)損壞文件導(dǎo)致無(wú)法恢復(fù)。

錯(cuò)誤10：沒(méi)有從事件中吸取經(jīng)驗(yàn)

一旦經(jīng)歷過(guò)攻擊，回過(guò)頭來(lái)找出您的安全漏洞所在是至關(guān)重要的。您是否已經(jīng)制定了合適的響應(yīng)計(jì)劃?如果沒(méi)有，請(qǐng)從經(jīng)驗(yàn)中學(xué)習(xí)并制定一個(gè)。這有助于高管和IT審查響應(yīng)并為此類事件做好準(zhǔn)備。

企業(yè)組織可以通過(guò)模擬演練，不斷改進(jìn)自身響應(yīng)計(jì)劃，這樣一來(lái)，當(dāng)不可思議的事情發(fā)生時(shí)，組織才能做好更萬(wàn)全的準(zhǔn)備。相反地，忽視確定攻擊的根本原因或入口向量將在未來(lái)繼續(xù)為攻擊者提供后門。

Eze Castle Integration公司的Schwartz表示，

• 確定您是否擁有易受攻擊的遠(yuǎn)程桌面服務(wù)器或特權(quán)帳戶憑據(jù)是否已泄露非常重要。如果您想阻止攻擊者在網(wǎng)絡(luò)中的存在，這些項(xiàng)目必須成為您補(bǔ)救計(jì)劃的一部分。

本文翻譯自：https://www.darkreading.com/edge/theedge/10-mistakes-companies-make-in-their-ransomware-responses/b/d-id/1341508?page_number=11如若轉(zhuǎn)載，請(qǐng)注明原文地址。