網絡事件發生在節假日，這并不罕見。通常，惡意行為者計劃在假期前或假期期間或許多員工休假的周末發動攻擊。因此，公司需要更長的時間才能發現問題并采取行動——這正是這里發生的情況。 

出了什么問題 

問題始于有關失敗的備份過程和防病毒警報的通知。幾小時內，服務器停止工作，所有數據都被加密。隨著時間的推移，一個已知的勒索軟件組織顯然是這次攻擊的幕后黑手，他們成功竊取了敏感數據并對公司的大部分計算機和系統進行了加密。客戶無法在線支付賬單或查看他們的賬戶狀態，員工也完全被系統拒之門外。  

后來，人們發現惡意行為者通過利用電話系統中未公開的弱點然后在網絡上植入后門來滲透系統。與此同時，公司發現了漏洞并進行了修補，但為時已晚：這群人在公司網絡上悄悄停留了五個月，等待時機發動攻擊。  

此外，CISO 不了解專業團隊和網絡團隊的做法。例如，電話系統、打印機和照相機（可能會顯著增加攻擊面）沒有得到充分保護。 

真正出了什么問題 

該公司糟糕的網絡衛生狀況加劇了這一事件：存在一個 Excel 文件，其中包含數百個系統和服務器的憑據，并且該公司未能擁有其客戶端系統的日志。此外，員工可以自由下載，這增加了將惡意軟件引入端點的風險，包括每天連接到網絡的筆記本電腦。  

然而，主要問題是該公司及其 IT 合作伙伴并不清楚如何有效應對。這意味著最初的幾個小時——這對事件響應來說是最關鍵的——用來確定發生了什么，誰是主要參與者，以及需要做什么來恢復和開始搜索工件以允許 IR 調查。浪費了寶貴的時間，用了將近十天的時間才讓系統恢復正常。  

從這次事件響應中可以學到什么？這里有 6 個重要的要點。 

1.準備計劃

在事件響應方面，公司必須采取“不是如果，而是何時”的態度。盡管我們寧愿不這么想，但您的公司很有可能成為網絡攻擊的受害者，因此做好準備很重要。 這意味著擁有SIEM 系統和日志，可以盡可能遠地回溯，并擁有指定TTP （技術、技術和人員）的事件響應手冊。應該定期檢查劇本，并且應該對流程進行內部認證。這也意味著進行IR 參與準備和c 危機管理準備。 做好準備意味著一旦發生網絡事件，您的公司將能夠迅速做出反應。  

2.建立溝通和責任

事件響應發生的速度可以在限制損害方面產生巨大差異。前幾個小時很關鍵，但可能會很混亂，因為它們涉及執法、公共關系和法律團隊、您的網絡保險提供商以及 IT 和取證團隊。顯然，這應該不是這些團隊的第一次會面。如果已經制定了明確的溝通渠道和責任的計劃，那么這將對流程有很大幫助。  

3. 執行定期備份

這似乎是顯而易見的，但許多公司未能理解經常備份系統的重要性。是否有可用的備份可以區分快速恢復還是長時間恢復。

4.實行網絡衛生

除了備份之外，組織還可以通過保持良好的網絡衛生來顯著加強其安全態勢。這包括，例如，啟用多因素身份驗證和使用密碼管理器、通過訪問控制限制用戶權限、定期打補丁、加密敏感數據以及安全遠程訪問。定期進行 網絡風險評估以發現網絡漏洞和計劃緩解。 這些都是可以最大限度地降低操作中斷、數據泄露和數據丟失 風險的最佳實踐示例。  

5.盡可能隔離網絡

網絡隔離可以使威脅行為者更難通過系統，從而極大地幫助組織限制來自大多數行為者的網絡攻擊造成的損害 。它限制了攻擊在網絡中傳播的距離并隔離了易受攻擊的端點，從而限制了暴露的風險。然而，訣竅是確保在網絡事件發生之前將網絡分開，以便控制損害。   

6.安全培訓

安全意識培訓可以通過對員工進行有關他們面臨的威脅以及如何應對威脅的教育來幫助降低網絡事件的風險。例如，應指示他們避免下載惡意軟件和可疑網站，識別釣魚企圖而不響應。這會對確保您的公司安全產生重大影響。   

如何提供幫助 

識別潛在的攻擊者及其動機、組織內的可能目標以及此類攻擊造成的潛在風險。提供事件響應和危機管理服務，以幫助公司從網絡攻擊中恢復。  防止此類事件發生，與紅隊活動相結合，以提供最全面的組織安全評估以及相關風險分析和見解。企業可以評估、量化和減輕網絡風險，以便可以做出更好的安全決策并投資于有效的補救措施。