企业在勒索软件响应中常犯的10大错误
从5月份影响Colonial Pipeline的头条新闻到本月对Kaseya的打击,近几个月来勒索软件攻击对企业来说简直就是一场瘟疫。虽然它们并不新鲜,但它们肯定会引起公众的注意并引起立法者的注意。
支付或不支付赎金是一个激烈争论的问题。虽然大多数安全专业人员反对付费,但在某些情况下,它可能最有意义。
“每个人都说‘不’,但这实际上取决于具体情况,”Eze Castle Integration的安全咨询主管Steven Schwartz说。“归根结底,你需要让业务恢复运行。Colonial支付了近500万美元的赎金来解密其计算机。这是一个商业决策——他们需要让他们的管道恢复运行。”
付款只是在勒索软件攻击的胁迫下需要解决的众多问题之一,以下GoUpSec总结了组织在勒索软件响应方面常犯的十大错误。
01
未能遏制恶意软件
许多组织开始关注如何在采取必要步骤确保恶意软件不会进一步传播之前恢复加密数据。
Eze Castle Integration的Schwartz说:“组织做错的第一件事就是没有确保他们完全根除原始攻击媒介,并对其开始的根本原因进行分析并确认它没有扩大。”“你必须确保清理你的环境,以消除两次成为同一攻击的受害者并支付双重赎金的风险。”
02
缺乏可靠的应对计划
应在攻击发生之前尽早制定事件响应计划,并涵盖安全团队在发现后应立即采取的步骤。它还应召集应联系的必要利益相关者。
“缺乏正式的事件响应流程会导致做出许多下意识的决定,这让事情变得更糟。”Digital Guardian的CISO和托管安全服务副总裁Tim Bandos说。“没有任何组织可以免受勒索软件攻击,因此做好准备至关重要。”
03
备份位置不当
勒索软件团伙越来越多地在网络中移动,以在部署恶意软件之前查找备份并销毁它们。如果备份存储不正确,您可能会发现自己根本没有备份。
“组织认为从备份中恢复将允许他们恢复所有数据而无需支付赎金,”Digital Guardian的Bandos说。“不幸的是,考虑到备份需要在异地存储且未连接到网络、不受感染,情况并非总是如此。这也可能需要很多时间,具体取决于有多少系统受到攻击恢复每个单独的设备。”
04
谈判失误
和支付赎金一样,是否协商赎金的费用也是另一个争议点。
NTT Data Services安全服务副总裁Sushila Nair说:“如果一个组织决定付费,那么他们绝对应该协商价格。”“情报公司Intel471观察到,Darkside与早期受害者的谈判,价格从3000万美元降至1400万美元。”
然而,Digital Guardian的Bandos并不提倡谈判。
“我们在历史上已经看到,试图就解密密钥的支付价格进行谈判会适得其反,”他说。“这导致勒索软件运营商将价格提高到初始金额的两倍。我建议避免谈判或至少聘请专门处理此类情况的外部公司。”
05
单独行动
正如Digital Guardian的Baldos所说,寻求帮助总是最好的。虽然一些组织可能具备独立处理攻击的能力,但许多组织应该有第三方事件响应提供商在需要时引入。
“除非您拥有非常成熟的流程和庞大的安全团队,否则应对攻击可能会非常困难,”Secureworks的情报总监Mike McLellan 补充道。“如果您遭受其中一种攻击,我们始终建议与经验丰富的IR提供商合作,因为这些提供商已经处理过数十或数百起此类事件。”
布朗大学计算机科学教授、布朗大学网络安全硕士项目副主任Ernesto Zaldivar表示,勒索软件攻击需要专门的帮助——尤其是为了防止未来的攻击。
“你的攻击者可能会带着不同的勒索软件和更高的赎金作为试图规避它们的惩罚,”他说。“访问您的数据只是难题的一部分。从长远来看,修复您的系统和增强防御是成功克服勒索软件攻击的一部分。”
06
忽略执法
除了引入专门的事件响应提供商外,组织还应寻求执法部门和当地FBI办公室的帮助。
Vigilante情报总监亚当·达拉(Adam Darrah)表示:“这些调查人员不仅可以协助对受感染机器进行成像,而且他们还可以使用解密工具、必要的加密货币以促进支付,或其他技术和资源来恢复加密信息。”“通过与执法部门合作,组织将来可能能够帮助他们追查运营商。”
07
等待太久才给保险公司打电话
让您的保险公司在一开始就参与其中,它应该是您拨打的第一个电话。
“如果你有网络保险,但不打电话给他们,但后来尝试收集,你可以预期你只是违反了你的政策,你不会看到一分钱。”Aiven CISO James Arlen 说。“您的保险提供商可能会优先选择由谁来处理以及如何处理,届时您将跟随他们的脚步。”
08
屈服于恐惧和恐慌
虽然在处理勒索软件攻击后果的过程中,这当然会是一段充满肾上腺素的时期,但保持冷静会有所帮助。
“在组织应对勒索软件攻击时,我们看到的最常见的错误可能是在事件发生时屈服于情绪,而不是坚持计划好的事件响应。”德勤风险与财务咨询公司网络事件响应团队的咨询高级经理韦恩约翰逊说。“遵循组织准备好的事件响应计划并限制临时反应有助于组织更有效地响应,进而恢复正常的业务运营。”
09
花费宝贵的时间寻找解密密钥
与我们交谈过的许多专家认为,在网上寻找解密密钥完全是在浪费时间。然而,其他人认为找到有用信息的机会很小。
“网上有一些解密工具,例如‘No More Ransomware Project’。”Cyberbit的网络靶场技术培训师韦恩·普鲁伊特(Wayne Pruitt)表示,这些将适用于已知的勒索软件,其中密钥可用。“大多数勒索软件攻击都使用带有公钥或私钥的非对称加密。这些密钥通常是特定于目标的,并且一个组织的解密密钥与另一个组织不同。找到您的组织需要的解密密钥的机会微乎其微。如果您尝试使用错误密钥的解密工具,您可能会损坏无法恢复的文件。”
10
没有从未来的经验中学习
一旦您经历了攻击,回过头来找出您的安全漏洞所在是至关重要的。您是否制定了应对计划?如果没有,请从您的经验中学习并创建一个,Eze Castle Integration的Schwartz说。
“这有助于高管和 IT 审查响应并为此类事件做好准备,”他说。“我们已经看到组织通过进行这些模拟得到了改进。你必须训练和练习,这样当不可思议的事情发生时,你就做好了准备。”
Digital Guardian的Baldos补充说,忽视确定攻击的根本原因或入口向量将在未来继续为攻击者提供后门。
“确定您是否拥有易受攻击的远程桌面服务器或特权账户凭据是否被盗是非常重要的,”他说。“如果你想阻止攻击者在网络中的存在,这些项目需要成为你的补救计划的一部分。”