網(wǎng)絡事件發(fā)生在節(jié)假日，這并不罕見。通常，惡意行為者計劃在假期前或假期期間或許多員工休假的周末發(fā)動攻擊。因此，公司需要更長的時間才能發(fā)現(xiàn)問題并采取行動——這正是這里發(fā)生的情況。 

出了什么問題 

問題始于有關失敗的備份過程和防病毒警報的通知。幾小時內(nèi)，服務器停止工作，所有數(shù)據(jù)都被加密。隨著時間的推移，一個已知的勒索軟件組織顯然是這次攻擊的幕后黑手，他們成功竊取了敏感數(shù)據(jù)并對公司的大部分計算機和系統(tǒng)進行了加密?？蛻魺o法在線支付賬單或查看他們的賬戶狀態(tài)，員工也完全被系統(tǒng)拒之門外。  

后來，人們發(fā)現(xiàn)惡意行為者通過利用電話系統(tǒng)中未公開的弱點然后在網(wǎng)絡上植入后門來滲透系統(tǒng)。與此同時，公司發(fā)現(xiàn)了漏洞并進行了修補，但為時已晚：這群人在公司網(wǎng)絡上悄悄停留了五個月，等待時機發(fā)動攻擊。  

此外，CISO 不了解專業(yè)團隊和網(wǎng)絡團隊的做法。例如，電話系統(tǒng)、打印機和照相機（可能會顯著增加攻擊面）沒有得到充分保護。 

真正出了什么問題 

該公司糟糕的網(wǎng)絡衛(wèi)生狀況加劇了這一事件：存在一個 Excel 文件，其中包含數(shù)百個系統(tǒng)和服務器的憑據(jù)，并且該公司未能擁有其客戶端系統(tǒng)的日志。此外，員工可以自由下載，這增加了將惡意軟件引入端點的風險，包括每天連接到網(wǎng)絡的筆記本電腦。  

然而，主要問題是該公司及其 IT 合作伙伴并不清楚如何有效應對。這意味著最初的幾個小時——這對事件響應來說是最關鍵的——用來確定發(fā)生了什么，誰是主要參與者，以及需要做什么來恢復和開始搜索工件以允許 IR 調(diào)查。浪費了寶貴的時間，用了將近十天的時間才讓系統(tǒng)恢復正常。  

從這次事件響應中可以學到什么？這里有 6 個重要的要點。 

1.準備計劃

在事件響應方面，公司必須采取“不是如果，而是何時”的態(tài)度。盡管我們寧愿不這么想，但您的公司很有可能成為網(wǎng)絡攻擊的受害者，因此做好準備很重要。 這意味著擁有SIEM 系統(tǒng)和日志，可以盡可能遠地回溯，并擁有指定TTP （技術(shù)、技術(shù)和人員）的事件響應手冊。應該定期檢查劇本，并且應該對流程進行內(nèi)部認證。這也意味著進行IR 參與準備和c 危機管理準備。 做好準備意味著一旦發(fā)生網(wǎng)絡事件，您的公司將能夠迅速做出反應。  

2.建立溝通和責任

事件響應發(fā)生的速度可以在限制損害方面產(chǎn)生巨大差異。前幾個小時很關鍵，但可能會很混亂，因為它們涉及執(zhí)法、公共關系和法律團隊、您的網(wǎng)絡保險提供商以及 IT 和取證團隊。顯然，這應該不是這些團隊的第一次會面。如果已經(jīng)制定了明確的溝通渠道和責任的計劃，那么這將對流程有很大幫助。  

3. 執(zhí)行定期備份

這似乎是顯而易見的，但許多公司未能理解經(jīng)常備份系統(tǒng)的重要性。是否有可用的備份可以區(qū)分快速恢復還是長時間恢復。

4.實行網(wǎng)絡衛(wèi)生

除了備份之外，組織還可以通過保持良好的網(wǎng)絡衛(wèi)生來顯著加強其安全態(tài)勢。這包括，例如，啟用多因素身份驗證和使用密碼管理器、通過訪問控制限制用戶權(quán)限、定期打補丁、加密敏感數(shù)據(jù)以及安全遠程訪問。定期進行 網(wǎng)絡風險評估以發(fā)現(xiàn)網(wǎng)絡漏洞和計劃緩解。 這些都是可以最大限度地降低操作中斷、數(shù)據(jù)泄露和數(shù)據(jù)丟失 風險的最佳實踐示例。  

5.盡可能隔離網(wǎng)絡

網(wǎng)絡隔離可以使威脅行為者更難通過系統(tǒng)，從而極大地幫助組織限制來自大多數(shù)行為者的網(wǎng)絡攻擊造成的損害 。它限制了攻擊在網(wǎng)絡中傳播的距離并隔離了易受攻擊的端點，從而限制了暴露的風險。然而，訣竅是確保在網(wǎng)絡事件發(fā)生之前將網(wǎng)絡分開，以便控制損害。   

6.安全培訓

安全意識培訓可以通過對員工進行有關他們面臨的威脅以及如何應對威脅的教育來幫助降低網(wǎng)絡事件的風險。例如，應指示他們避免下載惡意軟件和可疑網(wǎng)站，識別釣魚企圖而不響應。這會對確保您的公司安全產(chǎn)生重大影響。   

如何提供幫助 

識別潛在的攻擊者及其動機、組織內(nèi)的可能目標以及此類攻擊造成的潛在風險。提供事件響應和危機管理服務，以幫助公司從網(wǎng)絡攻擊中恢復。  防止此類事件發(fā)生，與紅隊活動相結(jié)合，以提供最全面的組織安全評估以及相關風險分析和見解。企業(yè)可以評估、量化和減輕網(wǎng)絡風險，以便可以做出更好的安全決策并投資于有效的補救措施。