被勒索軟件攻擊后,我做了5件事
勒索軟件已被許多人視為組織面臨的最具威脅性的網絡安全風險,2019年,超過50%的企業受到勒索軟件攻擊,估計損失了115億美元。
僅在去年12月,包括佳能、Garmin、柯尼卡美能達和嘉年華在內的主要消費者公司就成為主要勒索軟件攻擊的受害者,從而導致支付數百萬美元以換取文件訪問權。
那么,遭遇勒索軟件攻擊后該怎么辦?采取哪些步驟有效地恢復?以下是一些技巧分享。
意識到被攻擊了!檢測到感染
最具挑戰性的步驟就是,意識到出了問題。
越早檢測到勒索軟件攻擊,受影響的數據就越少。這也直接影響恢復環境所需的時間。不過現實往往是企業看到了贖金文件后才認識到自己中招了,但損害已經造成。因此,擁有可以識別異常行為(例如異常文件共享)的網絡安全解決方案,可以幫助快速隔離勒索軟件感染并在其進一步蔓延之前將其阻止。
與基于簽名或基于網絡流量的檢測相比,異常文件行為檢測是檢測勒索軟件攻擊的最有效方法之一,并且有著最少的誤報。
“基于簽名”的檢測方法有一定作用,但需要勒索軟件是已知的。如果有可用的代碼,則可以訓練軟件查找該代碼。但是,復雜的勒索軟件攻擊正在使用新的、未知的勒索軟件形式,因此訓練效果也不理想。建議使用基于AI / ML的方法,通過查找行為來確定是否存在攻擊,例如文件的快速連續加密。
此外,由于勒索軟件通常通過網絡釣魚電子郵件攻擊——帶有危險文件附件或超鏈接的電子郵件來影響組織。電子郵件等業務關鍵系統的良好防御機制也是必須的。
及時止損
檢測到感染后,就可以隔離勒索軟件進程并阻止其進一步傳播。如果是在云環境中,這些攻擊通常源自遠程文件同步或由運行勒索軟件加密過程的第三方應用程序或瀏覽器插件驅動的其他進程。只要挖掘并隔離勒索軟件攻擊的來源就能幫助我們遏制感染,從而減輕對數據的破壞。
為了快速有效,這個過程必須自動化。在識別出感染后,自動化程序會通過刪除可執行文件或擴展名來阻止攻擊,并將受感染的文件與環境的其余部分隔離。
另外一種止損的方法是購買網絡責任保險,保護企業(以及企業中的個人)免受基于互聯網的風險(如勒索軟件攻擊)以及與信息技術基礎架構,信息隱私,信息治理責任以及其他相關風險相關的風險。
恢復受影響的數據
在大多數情況下,即使快速檢測到并遏制了勒索軟件攻擊,仍然會有一部分數據需要還原。這需要對數據進行良好的備份才能恢復到生產狀態。
一般來說,按照3-2-1備份最佳實踐,且必須將備份數據與生產環境分開。
- 保留所有重要文件的3個副本,即一個主要文件和兩個備份文件
- 將文件保留在2種不同的媒介類型上
- 異地維護1份副本
如果備份是在云SaaS環境中進行的,則可以使用云到云的備份來進行“異地”存儲,減少備份數據與生產數據同時受到影響的概率。
數據備份,是從勒索軟件攻擊中恢復的救命稻草。
上報通知
當今大多數組織需要遵循的許多合規性法規,都要求組織將違規行為通知監管機構,接下來則應通知當地執法部門。如果是關鍵領域的企事業單位,則在通知上報方面有著更加嚴格的準則。
再次檢查!測試訪問權限
恢復數據后,需要測試對數據和任何受影響的關鍵業務系統的訪問權限,以確保成功恢復數據和服務,一定要解決所有遺留的問題,然后再將整個系統重新投入生產。
如果在檢查過程中發現IT環境中的一些響應時間比平常慢,或者文件大小大于正常大小,則可能表明數據庫或存儲中仍存在一些未被處理的威脅。
最后
有時最好的進攻才是好的防守。對于勒索軟件攻擊和重新獲得對關鍵文件的訪問權,只有兩種選擇:對抗或乖乖支付贖金。如果是后者,那么根據最近的一份報告,支付贖金的組織中約有42%的文件未被解密……
鑒于針對企業的勒索軟件攻擊的數量不斷增加,如果沒有適當的安全備份和檢測系統,后果將是災難性的。
參考來源:helpnetsecurity
