無(wú)論什么季節(jié)，勒索軟件都是一個(gè)嚴(yán)重的威脅。正如美國(guó)IBM Security X-Force 威脅情報(bào)指數(shù)2022指出的那樣，三年多來(lái)，勒索軟件一直是最流行的網(wǎng)絡(luò)安全攻擊類(lèi)型。根據(jù)數(shù)據(jù)泄露成本報(bào)告，勒索軟件泄露的平均成本為462萬(wàn)美元，包括收入損失和響應(yīng)費(fèi)用。該金額不包括贖金本身，贖金可能高達(dá)數(shù)百萬(wàn)美元。

雖然專(zhuān)注于預(yù)防至關(guān)重要，但公司還需要針對(duì)可能的攻擊提前制定策略。

德貝克說(shuō)：“許多組織都有應(yīng)對(duì)計(jì)劃，但這些計(jì)劃的質(zhì)量以及是否經(jīng)過(guò)適當(dāng)測(cè)試存在很大差異”。對(duì)攻擊做出快速而果斷的反應(yīng)可以對(duì)造成的損害產(chǎn)生巨大的影響。

今年的威脅情報(bào)指數(shù)分解了有效勒索軟件響應(yīng)計(jì)劃中的五個(gè)關(guān)鍵步驟。來(lái)看看IBM的三位安全專(zhuān)家在美國(guó)的場(chǎng)景的看法。

第一步：緊急行動(dòng)項(xiàng)目清單

最有效的應(yīng)對(duì)計(jì)劃包括在危機(jī)中立即采取的一系列步驟。制定包含攻擊的分步任務(wù)手冊(cè)，例如隔離硬件和關(guān)閉服務(wù)。包括聯(lián)系管理層和執(zhí)法部門(mén)（例如 FBI）的步驟。

X-Force全球補(bǔ)救負(fù)責(zé)人Andrew Gorecki說(shuō)道：“網(wǎng)絡(luò)攻擊通常是由有組織的網(wǎng)絡(luò)犯罪和民族國(guó)家支持的威脅行為者發(fā)起的。因此，將針對(duì)您的組織的犯罪行為通知執(zhí)法部門(mén)非常重要。受害者組織與執(zhí)法機(jī)構(gòu)和政府機(jī)構(gòu)分享情報(bào)對(duì)于幫助打擊網(wǎng)絡(luò)犯罪和加強(qiáng)私營(yíng)和公共部門(mén)組織之間的合作至關(guān)重要?！?/p>

快速遏制攻擊是關(guān)鍵。假設(shè)攻擊已經(jīng)加密了數(shù)據(jù)，則必須制定一個(gè)安全地從備份恢復(fù)數(shù)據(jù)的計(jì)劃。等待的時(shí)間越長(zhǎng)，對(duì)運(yùn)營(yíng)的影響就越大。經(jīng)常備份數(shù)據(jù)并經(jīng)常測(cè)試恢復(fù)過(guò)程。

第二步：假設(shè)數(shù)據(jù)被盜和數(shù)據(jù)泄露

勒索軟件攻擊過(guò)去相當(dāng)簡(jiǎn)單。攻擊者通過(guò)加密使您的數(shù)據(jù)變得無(wú)用，然后承諾如果您付款，就會(huì)交出解密密鑰。當(dāng)今的攻擊者旨在通過(guò)威脅泄露被盜數(shù)據(jù)來(lái)提高支付金額，例如：

• 商業(yè)競(jìng)爭(zhēng)對(duì)手可以使用的敏感材料
• 可能使高管難堪或損害公司聲譽(yù)的機(jī)密信息
• 受保護(hù)的數(shù)據(jù)，例如客戶的信用卡信息，如果泄露可能會(huì)導(dǎo)致法律責(zé)任或監(jiān)管罰款。

X-Force 網(wǎng)絡(luò)靶場(chǎng)技術(shù)團(tuán)隊(duì)經(jīng)理卡米爾·辛格爾頓 (Camille Singleton) 表示：“勒索軟件攻擊者發(fā)現(xiàn)這種‘雙重勒索’策略非常有效，我們現(xiàn)在幾乎在每次攻擊中都能看到這種策略?！?/p>

如果公司持有屬于其他人（例如業(yè)務(wù)合作伙伴）的數(shù)據(jù)，那么問(wèn)題可能會(huì)變得更糟。

辛格爾頓說(shuō)：“攻擊者知道，如果他們竊取的數(shù)據(jù)屬于與他們所攻擊的組織不同的組織，那么他們就會(huì)獲得更大的優(yōu)勢(shì)”。來(lái)自受害者伴侶的壓力和違反合同的威脅增加了風(fēng)險(xiǎn)。

第三步：準(zhǔn)備應(yīng)對(duì)云相關(guān)攻擊

攻擊者知道企業(yè)越來(lái)越依賴云環(huán)境，因此開(kāi)發(fā)了專(zhuān)門(mén)用于利用常見(jiàn)的基于云的操作系統(tǒng)和應(yīng)用程序編程接口的特定工具。根據(jù)威脅情報(bào)指數(shù)，近四分之一的安全事件源于威脅參與者從本地網(wǎng)絡(luò)轉(zhuǎn)移到云中。

事實(shí)上，如今的攻擊者正在利用新版本的基于 Linux 的勒索軟件將攻擊重點(diǎn)放在云環(huán)境上。根據(jù) X-Force 威脅情報(bào)合作伙伴 Intezer 的分析，2021 年大約 14% 的 Linux 勒索軟件包含新代碼。

企業(yè)需要加強(qiáng)基于云的系統(tǒng)并確保密碼符合策略。零信任方法（假設(shè)發(fā)生了違規(guī)行為并使用網(wǎng)絡(luò)驗(yàn)證措施來(lái)阻止攻擊者的內(nèi)部活動(dòng)）使云攻擊者更難獲得立足點(diǎn)。

第四步：及時(shí)了解最佳備份實(shí)踐

老式磁帶驅(qū)動(dòng)器的傳統(tǒng)備份是抵御勒索軟件的一種可能的防線，但由于其機(jī)械特性，備份速度可能非常慢。磁帶也會(huì)磨損，這會(huì)增加數(shù)據(jù)丟失的風(fēng)險(xiǎn)。

戈雷茨基建議重新考慮如何進(jìn)行網(wǎng)絡(luò)恢復(fù)。災(zāi)難恢復(fù) (DR) 策略在勒索軟件恢復(fù)中效果不佳。相反，請(qǐng)考慮創(chuàng)建主存儲(chǔ)的邏輯氣隙快照，提供不可變、不會(huì)損壞的數(shù)據(jù)副本。現(xiàn)代、有效的網(wǎng)絡(luò)保險(xiǎn)庫(kù)解決方案可提供數(shù)據(jù)驗(yàn)證和驗(yàn)證。這種新的備份方法可以讓受害者更快地從勒索軟件攻擊中恢復(fù)。

第五步：決定是否支付贖金

人們普遍認(rèn)為——執(zhí)法部門(mén)也同意——組織永遠(yuǎn)不應(yīng)該支付贖金。然而，一些受害者確實(shí)付出了代價(jià)，特別是在生命面臨危險(xiǎn)的情況下，例如在醫(yī)院環(huán)境中，或者如果系統(tǒng)長(zhǎng)時(shí)間停機(jī)威脅到企業(yè)的生存能力。每個(gè)組織都應(yīng)該進(jìn)行練習(xí)，以考慮在困難的情況下他們會(huì)做什么。

企業(yè)在支付贖金之前需要權(quán)衡以下因素：

• 丟失數(shù)據(jù)的價(jià)值
• 數(shù)據(jù)泄露的潛在后果
• 備份的質(zhì)量
• 恢復(fù)備份的便利性。

支付贖金并不能保證您能取回?cái)?shù)據(jù)，也不能保證加密數(shù)據(jù)可以在不損壞的情況下恢復(fù)。即使事情按計(jì)劃進(jìn)行，解密也可能是一個(gè)漫長(zhǎng)的過(guò)程。據(jù)報(bào)道，一家在 2021 年向攻擊者支付了數(shù)百萬(wàn)美元贖金的公司決定無(wú)論如何都從自己的備份中恢復(fù)數(shù)據(jù)。攻擊者的解密工具太慢。

戈雷茨基說(shuō)：“是否付費(fèi)最終是一個(gè)商業(yè)決定，付費(fèi)可以防止你的品牌受損，還是可以幫助你更快地恢復(fù)過(guò)來(lái)？如果你能用財(cái)務(wù)術(shù)語(yǔ)來(lái)量化潛在的損失，你就可以將其與贖金的價(jià)格進(jìn)行比較。”

最后一點(diǎn)：保護(hù)自己免受勒索軟件侵害是一場(chǎng)漫長(zhǎng)的游戲，需要不斷關(guān)注基礎(chǔ)設(shè)施和行業(yè)趨勢(shì)。攻擊者的工具和策略將不斷演變，公司需要應(yīng)對(duì)挑戰(zhàn)。無(wú)論勒索軟件攻擊是否會(huì)像近年來(lái)那樣加劇，現(xiàn)在始終是提前計(jì)劃的最佳時(shí)機(jī)。