從勒索軟件危機(jī)中學(xué)到的五點經(jīng)驗
從亞特蘭大和紐約的恢復(fù)經(jīng)驗中,我們可以學(xué)到很多經(jīng)驗教訓(xùn)。這些經(jīng)驗教訓(xùn)可以在處理其他地方機(jī)構(gòu)面臨的勒索軟件威脅時帶來幫助。
2018 年 3 月,亞特蘭大市正陷入勒索軟件危機(jī)當(dāng)中。當(dāng)時該市遭遇了大規(guī)模勒索軟件攻擊,破壞了多個關(guān)鍵部門與系統(tǒng),也成為了新聞媒體的頭版頭條。不幸的是,自從紐約州的奧爾巴尼遭受攻擊以來,勒索軟件已經(jīng)席卷美國,從馬里蘭的巴爾的摩到佛羅里達(dá)的萊克蘭比比皆是。勒索軟件在 2019 年已經(jīng)波及七十余個州與地方政府。
無論如何,想要從如此大規(guī)模的攻擊中恢復(fù)可不是件容易的事情。紐約市在新任 CIO Gary Brantley 的帶領(lǐng)下正在努力恢復(fù),他的職責(zé)就是要確保此類事件不再發(fā)生。
要不要支付贖金
在勒索軟件攻擊案例中,是否支付贖金是核心問題之一。一方面,付錢會讓攻擊者在未來更愿意攻擊這個肯支付贖金的受害者。另一方面,付錢也無法保證攻擊者能夠兌現(xiàn)解密數(shù)據(jù)的承諾。更不用說,支付贖金也無法保證攻擊者不在環(huán)境中潛伏下來發(fā)起另一次攻擊。但是,不支付贖金意味著恢復(fù)速度會比較慢而且成本更為高昂。
亞特蘭大市沒有支付總計約 5 萬美元的贖金,最終的恢復(fù)工作耗時一年花費超過 700 萬美元。Brantley 堅持認(rèn)為不支付贖金是這座城市做出的最佳選擇之一。最終,這為該市提供了建立穩(wěn)固基礎(chǔ)的機(jī)會,在此基礎(chǔ)上重建的企業(yè)與團(tuán)隊比以往任何時刻都更加強(qiáng)大。
事件響應(yīng)很關(guān)鍵
攻擊發(fā)生之前就有一個準(zhǔn)備就緒的事件響應(yīng)團(tuán)隊很關(guān)鍵。攻擊之前,亞特蘭大已經(jīng)組建了一個團(tuán)隊,包括軟件和服務(wù)供應(yīng)商以及國土安全部的人員。在攻擊發(fā)生的全過程,這些團(tuán)隊都在共同努力。這種統(tǒng)一的響應(yīng)管理有助于確保在攻擊發(fā)生時,團(tuán)隊能夠更快地遏制攻擊的擴(kuò)散并恢復(fù)服務(wù)。沒有組件該團(tuán)隊的公司、機(jī)構(gòu)、城市都應(yīng)該考慮自己的事件響應(yīng)策略。
夯實基礎(chǔ)
Brantley 作為 CIO 關(guān)注的第一件事就是夯實基礎(chǔ)。他最近在舊金山舉辦的 RSA 大會的演講上表示“主要的工作之一是夯實基礎(chǔ),正確并始終如一地完成核心工作”。為此,他的團(tuán)隊接受并開始遵循 NIST 網(wǎng)絡(luò)安全框架(CSF)。最重要的是,由于該市不得不從頭開始構(gòu)建許多系統(tǒng),因此能夠用更快、更新、更安全的技術(shù)構(gòu)建新系統(tǒng)。
對于亞特蘭大這行的技術(shù)創(chuàng)新城市來說,這一點尤為重要。亞特拉大擁有世界上最繁忙的客運機(jī)場、擁有享譽全球的公共交通系統(tǒng),而且是智慧城市的領(lǐng)導(dǎo)者。所有這些功能都依賴于堅實的基礎(chǔ)架構(gòu),而 Brantley 一直在努力建設(shè)一個強(qiáng)大的網(wǎng)絡(luò)安全基礎(chǔ)架構(gòu)。
不只是技術(shù)
技術(shù)是勒索軟件恢復(fù)過程中的重要組成部分呢,但 Brantley 還是將精力集中在團(tuán)隊、文化和人員的組建上。他在 RSA 上表示:“從第一天開始,我就花了很多時間來了解團(tuán)隊,進(jìn)行傾聽和學(xué)習(xí)”。首要的任務(wù)是確保合適的人承擔(dān)合適的工作,然后使用不同技能的新員工來擴(kuò)展這些工作。
Brantley 知道,只有合適的團(tuán)隊才能進(jìn)行城市技術(shù)改造升級。任何企業(yè)、組織都可以從中吸取教訓(xùn):團(tuán)隊合作的力量永遠(yuǎn)是復(fù)興總最強(qiáng)大的部分之一。
永遠(yuǎn)向前看
亞特蘭大市利用這場行動刺激了整個城市的技術(shù)創(chuàng)新,圍繞人臉識別、無人機(jī)主動出擊,甚至探索利用 5G 的新技術(shù),將這些技術(shù)創(chuàng)新與安全性結(jié)合起來。
Brantley 補(bǔ)充說道:“這場戰(zhàn)役是艱難的,我們遭受攻擊卻不能反擊。我們只能不斷向前邁進(jìn),永不停歇。”
