遭遇勒索軟件攻擊之后需要采取的五個恢復步驟
對于任何一個勒索軟件攻擊事件或安全事件,都會有之前、期間和之后這三個階段。人們需要了解如何在每個階段保護其所在的企業(yè),并了解勒索軟件是如何實施的。
企業(yè)需要按照必要的勒索軟件恢復步驟為勒索軟件攻擊事件的“之前”和“期間”做好準備。本文將討論企業(yè)如何恢復數(shù)據(jù)、減少聲譽損失和降低安全風險,以及如何最大限度地降低總體成本。
一旦勒索軟件攻擊結(jié)束,可能將會發(fā)生以下一些事情:
- 如果文件被加密,遭遇攻擊的企業(yè)將了解勒索攻擊者的勒索要求。
- 企業(yè)將面臨支付贖金的選擇——受害者將在域名為.onion的網(wǎng)站上與勒索軟件攻擊者進行談判,可以商定贖金并通過加密貨幣支付給勒索攻擊者。收到贖金之后,勒索軟件攻擊者可能會提供解密/恢復文件所需的私鑰,但并不會提供任何保證。
- 勒索攻擊者可能解密或恢復數(shù)據(jù),也可能在二次攻擊中使用這些泄露的數(shù)據(jù),要求受害方支付費用,否則將這些文件發(fā)布到互聯(lián)網(wǎng)上。
在這一方面,受害方需要將損害降到最低,重新上線運營并提醒相關(guān)人員。
企業(yè)在勒索軟件攻擊之后恢復數(shù)據(jù)的5個步驟
勒索軟件恢復工作將取決于企業(yè)自身情況、數(shù)據(jù)和安全事件的性質(zhì)。在勒索軟件攻擊發(fā)生之后,企業(yè)依循以下5個步驟對企業(yè)是有幫助的。
(1)根據(jù)響應計劃對系統(tǒng)進行恢復和確定恢復工作的優(yōu)先級
在勒索軟件攻擊期間,企業(yè)需要獲得一份干凈的數(shù)據(jù)副本,以便遷移到分階段恢復運行環(huán)境,并重新上線。這些是企業(yè)重新上線運營所需的最低限度的關(guān)鍵任務操作。現(xiàn)在,企業(yè)將要開始優(yōu)先考慮恢復數(shù)據(jù)。
企業(yè)IT主管要與其他高管合作,確保與其他利益相關(guān)者就恢復層級達成一致。應該明確定義應用程序恢復優(yōu)先級或?qū)蛹墸员銟I(yè)務部門了解恢復應用程序的時間表,并且不會出現(xiàn)意外。其規(guī)劃還應包括關(guān)鍵基礎設施,例如Active Directory和DNS。如果沒有完成這些工作,其他業(yè)務應用程序可能無法重新聯(lián)機或正常運行。
(2)繼續(xù)開展取證工作,并與有關(guān)部門、企業(yè)的網(wǎng)絡保險提供商和任何監(jiān)管機構(gòu)合作
企業(yè)與其取證專家合作以發(fā)現(xiàn)更多細節(jié),例如:
- 泄露發(fā)生時是否啟用了加密措施?
- 備份或保留數(shù)據(jù)的狀態(tài)如何?
- 查看日志以確定在違規(guī)時誰有權(quán)訪問數(shù)據(jù),誰目前擁有訪問權(quán)限,他們是否仍然需要其訪問權(quán)限,或者他們的訪問權(quán)限是否可以被限制/撤銷?
- 哪些類型的數(shù)據(jù)遭到破壞?誰受到了影響,有他們的聯(lián)系方式嗎?
在收集取證報告時,需要與執(zhí)法機構(gòu)(如FBI)和監(jiān)管機構(gòu)以及企業(yè)的保險提供商合作,這一點很重要。
(3)通過恢復離線沙盒環(huán)境開始恢復工作,允許團隊識別和根除惡意軟件感染
建議利用分層安全架構(gòu)和“數(shù)據(jù)掩體”。這種方法可以幫助企業(yè)保留和保護大量數(shù)據(jù),并使其立即可用。
當企業(yè)開始恢復數(shù)據(jù)時,需要檢查網(wǎng)絡分段。在設置網(wǎng)絡時,可能會對其進行分段,以便一臺服務器或一個站點上的漏洞不會導致另一臺服務器或站點出現(xiàn)漏洞。企業(yè)與其取證專家合作,分析細分計劃是否有效地遏制了違規(guī)行為。如果進行任何更改,需要立即進行。
(4)始終如一地進行溝通,讓業(yè)務部門隨時了解恢復工作的進展情況
企業(yè)需要制定一個全面的計劃,讓所有受影響的受眾、員工、客戶、投資者、業(yè)務合作伙伴和其他利益相關(guān)者都能受益。不要對勒索攻擊行為做出誤導性的陳述;預測人們會問的問題是有幫助的;解決主要的問題,并提供清晰明了的回答。這有助于減少客戶的擔憂和沮喪,從而節(jié)省企業(yè)的時間和費用。
此外,不要公開分享可能使消費者或企業(yè)面臨更大風險的信息。
(5)調(diào)查服務商的角度
企業(yè)需要了解勒索攻擊行為是否涉及任何服務提供商、合作伙伴或供應商?檢查他們可以訪問哪些個人信息,并決定是否需要更改他們的訪問權(quán)限。現(xiàn)在是確保服務提供商自己采取必要措施以防止再次遭遇網(wǎng)絡攻擊的好時機。如果企業(yè)的服務提供商表示已經(jīng)修復了漏洞,則需要進行驗證。
