企業在勒索軟件響應中常犯的10個錯誤

2021年5月7日，美國最大的燃油管道商Colonial Pipeline遭到勒索軟件攻擊，由于Colonial Pipeline負責美國東岸多達45%的燃料供應，因此該攻擊事件導致該公司暫停了所有的管道作業網絡，并于晚間關閉一條主要的燃料傳輸管道。

5月底，美國最大的牛肉生產商JBS USA也遭到了網絡勒索攻擊，致使美國和全球的相關企業工廠都被迫關閉。

本月初，勒索軟件團伙通過遠程補丁管理和監控軟件 Kaseya VSA 對托管服務提供商(MSP)及其客戶發起大規模供應鏈攻擊，影響了全球一千多家企業，瑞典連鎖超市Coop也被迫關閉了大約500家商店。

可以說，近幾個月來，勒索軟件攻擊對于企業而言簡直就像一場揮之不去的夢魘，也引起了公眾的關注甚至立法者的注意。

美國一些政府官員就開始呼吁國會和政府禁止受害組織向威脅行為者支付贖金。此類禁令旨在將FBI的建議——不要向勒索軟件攻擊者付款，以免變相鼓勵更多的此類行為——編成法典。

事實上，支付或不支付贖金一直是一個爭論不休的問題。雖然大多數安全專家反對支付贖金，認為這等于是變相鼓勵勒索犯罪的行為，但在某些情況下，支付贖金對于企業來說可能利大于弊。

Eze Castle Integration公司安全咨詢主管Steven Schwartz表示，

“每個人都知道應該對勒索說‘不’，但具體怎么做還要取決于現實情況。歸根結底，企業需要業務恢復正常運行。Colonial 最終支付了近 500 萬美元的贖金來解密其計算機。這實際上更像一個商業決策——他們需要讓自己的管道恢復運行，不然帶來的損失和后果都不堪設想?！?/span>

遺憾的是，付款還只是在勒索軟件攻擊的脅迫下需要解決的眾多問題之一。以下是組織在勒索軟件響應方面常犯的一些錯誤：

錯誤1：未能遏制惡意軟件

許多組織開始關注如何在采取必要步驟確保惡意軟件不會進一步傳播之前恢復加密數據。

Schwartz表示，

“企業組織做錯的第一件事就是沒有確保他們完全根除原始攻擊媒介，并對其開始的根本原因進行分析及確認其沒有進一步擴散。您必須確保清理了自己的系統環境，以免二次淪為同一攻擊的受害者并面臨支付雙重贖金的風險。”

錯誤2：缺乏可靠的響應計劃

企業組織應該在攻擊發生之前盡早制定事件響應計劃，并涵蓋安全團隊在發現攻擊后應該立即采取的步驟。它也應該召集需要聯系的必要利益相關者。

Digital Guardian公司CISO兼托管安全服務副總裁Tim Bandos稱，

“缺乏正式的事件響應流程會導致安全團隊做出很多下意識的決定，這會讓事情變得更糟。沒有任何組織可以免受勒索軟件攻擊，因此做好準備至關重要?！?/span>

錯誤3：備份位置不當

勒索軟件團伙越來越多地在網絡中移動，以在部署惡意軟件之前查找備份并銷毀它們。如果您的備份存儲不當，那幾乎可以等同于沒有備份。

Bando表示，企業組織自信地認為，他們可以從備份中恢復所有數據而無需支付高額贖金?？紤]到備份需要在異地存儲且不連接到網絡，所以不會受到感染，但不幸的是，情況并非總是如此。由于備份位置不當而無法恢復數據的案例比比皆是。除此之外，即便是備份完好無損，想要恢復所有數據也可能需要花費很長時間，由此造成的經濟損失同樣不容小覷。

錯誤4：談判失誤

與是否支付贖金一樣，是否協商贖金的費用也是一個爭論點。

NTT Data Services安全服務副總裁Sushila Nair表示，如果一個組織決定支付贖金，那么他們絕對應該去協商價格。情報公司Intel471數據顯示，Darkside勒索軟件受害者就曾將勒索贖金從3000萬美元談到了1400萬美元。

然而，Digital Guardian公司的Bandos并不提倡談判。他說，

“我們在歷史上已經看到，試圖就解密密鑰的支付價格進行談判會適得其反。這可能導致勒索軟件運營商將其價格提高至初始金額的兩倍。我建議避免談判或至少聘請專門處理此類情況的第三方公司，畢竟專業人做專業事。”

錯誤5：單獨行動

正如Digital Guardian的Baldos 所說，尋求幫助總是最好的。雖然一些組織可能具備獨立處理攻擊的能力，但大多數組織應該選擇與第三方事件響應提供商合作。

Secureworks公司情報總監Mike McLellan補充道，

“除非您擁有非常成熟的響應流程和龐大的安全團隊，否則應對攻擊可能會非常困難。我們始終建議您與經驗豐富的事件響應提供商合作，因為這些提供商可能已經處理過數十甚至數百起此類事件，能夠更好、更快地幫您應對危機?！?/span>

布朗大學計算機科學教授Ernesto Zaldivar 表示，勒索軟件攻擊需要專門的幫助——尤其是為了防止未來的攻擊。攻擊者很可能帶著不同的勒索軟件和更高的贖金要求再次攻擊您的企業系統。訪問您的數據也許并沒有你想象中困難。從長遠來看，修復您的系統并增強防御能力是成功克服勒索軟件攻擊必不可缺的步驟。

錯誤6：忽略執法部門

除了引入專門的事件響應提供商外，組織還應該尋求執法部門和相關機構的幫助。

Vigilante情報總監Adam Darrah表示，這些調查人員不僅可以協助對受感染機器進行成像，而且他們還可以使用解密工具、必要的加密貨幣來促進支付，或使用其他技術和資源來恢復加密信息。企業組織通過與執法部門合作，可能能夠幫助他們追蹤勒索軟件運營商的蹤跡，并最終將其繩之以法。

錯誤7：等待太久才給保險公司打電話

事件發生后，請務必第一時間就讓您的保險公司參與其中。Aiven 公司CISO James Arlen稱，“如果您買了網絡保險并且在事件發生后又沒有打電話讓他們參與其中，但是后來又找他們理賠，很顯然，您違反了保險政策，最終可能一分錢也得不到。讓您的保險提供商第一時間參與其中，他們可能會優先選擇由誰對事件進行處理以及如何處理，而此時您只需要跟隨他們的指示?！?/span>

錯誤8：屈服于害怕和恐慌情緒

雖然在處理勒索軟件攻擊后果的過程中，必然會有一段腎上腺素飆升的時期，但盡可能保持冷靜將會有所幫助。

德勤風險與財務咨詢公司網絡事件響應團隊的咨詢高級經理Wayne Johnson表示，

“當組織響應勒索軟件攻擊時，我們看到的最常見的錯誤可能就是在事件發生時屈服于恐懼情緒，而不是堅持計劃好的事件響應流程。遵循組織準備好的事件響應計劃并限制臨時反應，有助于組織更有效地做出響應，進而恢復正常的業務運營?！?/span>

錯誤 9：花費寶貴的時間尋找解密密鑰

很多安全專家認為，在網上尋找解密密鑰完全是在浪費事件。還有一部分人則認為找到有用信息的機會并非不存在，只是很小。

Cyberbit公司網絡靶場技術培訓師Wayne Pruitt表示，

“網上有一些解密工具，例如‘No More Ransomware Project’，但是這些都適用于密鑰可用的已知勒索軟件。大多數勒索軟件攻擊都使用帶有公鑰或私鑰的非對稱加密。這些密鑰通常是特定于目標而設置的，并且一個組織的解密密鑰與另一個組織不同。找到貴組織需要的解密密鑰的機會可以說微乎其微。如果您使用錯誤的密鑰嘗試解密工具，還可能會損壞文件導致無法恢復?！?/span>

錯誤10：沒有從事件中吸取經驗

一旦經歷過攻擊，回過頭來找出您的安全漏洞所在是至關重要的。您是否已經制定了合適的響應計劃?如果沒有，請從經驗中學習并制定一個。這有助于高管和IT審查響應并為此類事件做好準備。

企業組織可以通過模擬演練，不斷改進自身響應計劃，這樣一來，當不可思議的事情發生時，組織才能做好更萬全的準備。相反地，忽視確定攻擊的根本原因或入口向量將在未來繼續為攻擊者提供后門。

Eze Castle Integration公司的Schwartz表示，

“確定您是否擁有易受攻擊的遠程桌面服務器或特權帳戶憑據是否已泄露非常重要。如果您想阻止攻擊者在網絡中的存在，這些項目必須成為您補救計劃的一部分。”

參考及來源：https://www.darkreading.com/edge/theedge/10-mistakes-companies-make-in-their-ransomware-responses/b/d-id/1341508?page_number=11

來源：嘶吼專業版