信息化觀察網(wǎng)

2021年5月7日，美國最大的燃油管道商Colonial Pipeline遭到勒索軟件攻擊，由于Colonial Pipeline負(fù)責(zé)美國東岸多達(dá)45%的燃料供應(yīng)，因此該攻擊事件導(dǎo)致該公司暫停了所有的管道作業(yè)網(wǎng)絡(luò)，并于晚間關(guān)閉一條主要的燃料傳輸管道。

5月底，美國最大的牛肉生產(chǎn)商JBS USA也遭到了網(wǎng)絡(luò)勒索攻擊，致使美國和全球的相關(guān)企業(yè)工廠都被迫關(guān)閉。

本月初，勒索軟件團(tuán)伙通過遠(yuǎn)程補(bǔ)丁管理和監(jiān)控軟件Kaseya VSA對托管服務(wù)提供商（MSP）及其客戶發(fā)起大規(guī)模供應(yīng)鏈攻擊，影響了全球一千多家企業(yè)，瑞典連鎖超市Coop也被迫關(guān)閉了大約500家商店。

可以說，近幾個(gè)月來，勒索軟件攻擊對于企業(yè)而言簡直就像一場揮之不去的夢魘，也引起了公眾的關(guān)注甚至立法者的注意。

美國一些政府官員就開始呼吁國會和政府禁止受害組織向威脅行為者支付贖金。此類禁令旨在將FBI的建議——不要向勒索軟件攻擊者付款，以免變相鼓勵更多的此類行為——編成法典。

事實(shí)上，支付或不支付贖金一直是一個(gè)爭論不休的問題。雖然大多數(shù)安全專家反對支付贖金，認(rèn)為這等于是變相鼓勵勒索犯罪的行為，但在某些情況下，支付贖金對于企業(yè)來說可能利大于弊。

Eze Castle Integration公司安全咨詢主管Steven Schwartz表示，

每個(gè)人都知道應(yīng)該對勒索說‘不’，但具體怎么做還要取決于現(xiàn)實(shí)情況。歸根結(jié)底，企業(yè)需要業(yè)務(wù)恢復(fù)正常運(yùn)行。Colonial最終支付了近500萬美元的贖金來解密其計(jì)算機(jī)。這實(shí)際上更像一個(gè)商業(yè)決策——他們需要讓自己的管道恢復(fù)運(yùn)行，不然帶來的損失和后果都不堪設(shè)想。

遺憾的是，付款還只是在勒索軟件攻擊的脅迫下需要解決的眾多問題之一。以下是組織在勒索軟件響應(yīng)方面常犯的一些錯(cuò)誤：

錯(cuò)誤1：未能遏制惡意軟件

許多組織開始關(guān)注如何在采取必要步驟確保惡意軟件不會進(jìn)一步傳播之前恢復(fù)加密數(shù)據(jù)。

Schwartz表示，

企業(yè)組織做錯(cuò)的第一件事就是沒有確保他們完全根除原始攻擊媒介，并對其開始的根本原因進(jìn)行分析及確認(rèn)其沒有進(jìn)一步擴(kuò)散。您必須確保清理了自己的系統(tǒng)環(huán)境，以免二次淪為同一攻擊的受害者并面臨支付雙重贖金的風(fēng)險(xiǎn)。

錯(cuò)誤2：缺乏可靠的響應(yīng)計(jì)劃

企業(yè)組織應(yīng)該在攻擊發(fā)生之前盡早制定事件響應(yīng)計(jì)劃，并涵蓋安全團(tuán)隊(duì)在發(fā)現(xiàn)攻擊后應(yīng)該立即采取的步驟。它也應(yīng)該召集需要聯(lián)系的必要利益相關(guān)者。

Digital Guardian公司CISO兼托管安全服務(wù)副總裁Tim Bandos稱，

缺乏正式的事件響應(yīng)流程會導(dǎo)致安全團(tuán)隊(duì)做出很多下意識的決定，這會讓事情變得更糟。沒有任何組織可以免受勒索軟件攻擊，因此做好準(zhǔn)備至關(guān)重要。

錯(cuò)誤3：備份位置不當(dāng)

勒索軟件團(tuán)伙越來越多地在網(wǎng)絡(luò)中移動，以在部署惡意軟件之前查找備份并銷毀它們。如果您的備份存儲不當(dāng)，那幾乎可以等同于沒有備份。

Bando表示，企業(yè)組織自信地認(rèn)為，他們可以從備份中恢復(fù)所有數(shù)據(jù)而無需支付高額贖金?？紤]到備份需要在異地存儲且不連接到網(wǎng)絡(luò)，所以不會受到感染，但不幸的是，情況并非總是如此。由于備份位置不當(dāng)而無法恢復(fù)數(shù)據(jù)的案例比比皆是。除此之外，即便是備份完好無損，想要恢復(fù)所有數(shù)據(jù)也可能需要花費(fèi)很長時(shí)間，由此造成的經(jīng)濟(jì)損失同樣不容小覷。

錯(cuò)誤4：談判失誤

與是否支付贖金一樣，是否協(xié)商贖金的費(fèi)用也是一個(gè)爭論點(diǎn)。

NTT Data Services安全服務(wù)副總裁Sushila Nair表示，如果一個(gè)組織決定支付贖金，那么他們絕對應(yīng)該去協(xié)商價(jià)格。情報(bào)公司Intel471數(shù)據(jù)顯示，Darkside勒索軟件受害者就曾將勒索贖金從3000萬美元談到了1400萬美元。

然而，Digital Guardian公司的Bandos并不提倡談判。他說，

我們在歷史上已經(jīng)看到，試圖就解密密鑰的支付價(jià)格進(jìn)行談判會適得其反。這可能導(dǎo)致勒索軟件運(yùn)營商將其價(jià)格提高至初始金額的兩倍。我建議避免談判或至少聘請專門處理此類情況的第三方公司，畢竟專業(yè)人做專業(yè)事。

錯(cuò)誤5：單獨(dú)行動

正如Digital Guardian的Baldos所說，尋求幫助總是最好的。雖然一些組織可能具備獨(dú)立處理攻擊的能力，但大多數(shù)組織應(yīng)該選擇與第三方事件響應(yīng)提供商合作。

Secureworks公司情報(bào)總監(jiān)Mike McLellan補(bǔ)充道，

除非您擁有非常成熟的響應(yīng)流程和龐大的安全團(tuán)隊(duì)，否則應(yīng)對攻擊可能會非常困難。我們始終建議您與經(jīng)驗(yàn)豐富的事件響應(yīng)提供商合作，因?yàn)檫@些提供商可能已經(jīng)處理過數(shù)十甚至數(shù)百起此類事件，能夠更好、更快地幫您應(yīng)對危機(jī)。

布朗大學(xué)計(jì)算機(jī)科學(xué)教授Ernesto Zaldivar表示，勒索軟件攻擊需要專門的幫助——尤其是為了防止未來的攻擊。攻擊者很可能帶著不同的勒索軟件和更高的贖金要求再次攻擊您的企業(yè)系統(tǒng)。訪問您的數(shù)據(jù)也許并沒有你想象中困難。從長遠(yuǎn)來看，修復(fù)您的系統(tǒng)并增強(qiáng)防御能力是成功克服勒索軟件攻擊必不可缺的步驟。

錯(cuò)誤6：忽略執(zhí)法部門

除了引入專門的事件響應(yīng)提供商外，組織還應(yīng)該尋求執(zhí)法部門和相關(guān)機(jī)構(gòu)的幫助。

Vigilante情報(bào)總監(jiān)Adam Darrah表示，這些調(diào)查人員不僅可以協(xié)助對受感染機(jī)器進(jìn)行成像，而且他們還可以使用解密工具、必要的加密貨幣來促進(jìn)支付，或使用其他技術(shù)和資源來恢復(fù)加密信息。企業(yè)組織通過與執(zhí)法部門合作，可能能夠幫助他們追蹤勒索軟件運(yùn)營商的蹤跡，并最終將其繩之以法。

錯(cuò)誤7：等待太久才給保險(xiǎn)公司打電話

事件發(fā)生后，請務(wù)必第一時(shí)間就讓您的保險(xiǎn)公司參與其中。Aiven公司CISO James Arlen稱，“如果您買了網(wǎng)絡(luò)保險(xiǎn)并且在事件發(fā)生后又沒有打電話讓他們參與其中，但是后來又找他們理賠，很顯然，您違反了保險(xiǎn)政策，最終可能一分錢也得不到。讓您的保險(xiǎn)提供商第一時(shí)間參與其中，他們可能會優(yōu)先選擇由誰對事件進(jìn)行處理以及如何處理，而此時(shí)您只需要跟隨他們的指示。”

錯(cuò)誤8：屈服于害怕和恐慌情緒

雖然在處理勒索軟件攻擊后果的過程中，必然會有一段腎上腺素飆升的時(shí)期，但盡可能保持冷靜將會有所幫助。

德勤風(fēng)險(xiǎn)與財(cái)務(wù)咨詢公司網(wǎng)絡(luò)事件響應(yīng)團(tuán)隊(duì)的咨詢高級經(jīng)理Wayne Johnson表示，

當(dāng)組織響應(yīng)勒索軟件攻擊時(shí)，我們看到的最常見的錯(cuò)誤可能就是在事件發(fā)生時(shí)屈服于恐懼情緒，而不是堅(jiān)持計(jì)劃好的事件響應(yīng)流程。遵循組織準(zhǔn)備好的事件響應(yīng)計(jì)劃并限制臨時(shí)反應(yīng)，有助于組織更有效地做出響應(yīng)，進(jìn)而恢復(fù)正常的業(yè)務(wù)運(yùn)營。

錯(cuò)誤9：花費(fèi)寶貴的時(shí)間尋找解密密鑰

很多安全專家認(rèn)為，在網(wǎng)上尋找解密密鑰完全是在浪費(fèi)事件。還有一部分人則認(rèn)為找到有用信息的機(jī)會并非不存在，只是很小。

Cyberbit公司網(wǎng)絡(luò)靶場技術(shù)培訓(xùn)師Wayne Pruitt表示，

網(wǎng)上有一些解密工具，例如‘No More Ransomware Project’，但是這些都適用于密鑰可用的已知勒索軟件。大多數(shù)勒索軟件攻擊都使用帶有公鑰或私鑰的非對稱加密。這些密鑰通常是特定于目標(biāo)而設(shè)置的，并且一個(gè)組織的解密密鑰與另一個(gè)組織不同。找到貴組織需要的解密密鑰的機(jī)會可以說微乎其微。如果您使用錯(cuò)誤的密鑰嘗試解密工具，還可能會損壞文件導(dǎo)致無法恢復(fù)。

錯(cuò)誤10：沒有從事件中吸取經(jīng)驗(yàn)

一旦經(jīng)歷過攻擊，回過頭來找出您的安全漏洞所在是至關(guān)重要的。您是否已經(jīng)制定了合適的響應(yīng)計(jì)劃？如果沒有，請從經(jīng)驗(yàn)中學(xué)習(xí)并制定一個(gè)。這有助于高管和IT審查響應(yīng)并為此類事件做好準(zhǔn)備。

企業(yè)組織可以通過模擬演練，不斷改進(jìn)自身響應(yīng)計(jì)劃，這樣一來，當(dāng)不可思議的事情發(fā)生時(shí)，組織才能做好更萬全的準(zhǔn)備。相反地，忽視確定攻擊的根本原因或入口向量將在未來繼續(xù)為攻擊者提供后門。

Eze Castle Integration公司的Schwartz表示，

確定您是否擁有易受攻擊的遠(yuǎn)程桌面服務(wù)器或特權(quán)帳戶憑據(jù)是否已泄露非常重要。如果您想阻止攻擊者在網(wǎng)絡(luò)中的存在，這些項(xiàng)目必須成為您補(bǔ)救計(jì)劃的一部分。

本文翻譯自：https://www.darkreading.com/edge/theedge/10-mistakes-companies-make-in-their-ransomware-responses/b/d-id/1341508?page_number=11