Blue Mantis本周早些時候在吉列體育場舉辦了首次網絡安全研討會，背景是新英格蘭愛國者隊的六面冠軍旗幟——這是一個合適的場地，因為正如人們所說，防守贏得冠軍。對于企業來說也是如此：強大的網絡防御可以最大限度地減少網絡攻擊的損害，而薄弱的防御可能導致毀滅性的損失。

研討會的主題是“揭示網絡攻擊的解剖學：深入探索嚴酷現實”，重點不是預防網絡攻擊，而是在被攻擊時的最佳實踐。一個安全專家小組討論了一個真實的網絡攻擊案例，重點是受害者的反應和汲取的教訓。

Blue Mantis的首席運營官Jay Pasteris指出，一些簡單的安全措施沒有到位：密碼從未要求更改，缺乏多因素認證(MFA)的要求，并且雖然在最初受損的設備上有擴展檢測和響應(XDR)，但XDR配置不當。

“最終，該代理的密碼被泄露并發布在暗網上，一個黑客組織能夠獲得該密碼，”他說。該黑客能夠提升在公司環境中的權限，并建立一個勒索軟件包。“所以在D-Day(決定性日子)，他們按下按鈕就關閉了整個組織。”

有一個計劃并遵循它

從這個網絡攻擊中應該學到什么教訓?

首先也是最重要的，波士頓學院網絡安全政策與治理碩士項目的創始人兼主任Kevin Powers認為，企業必須做好準備。類似于足球，企業將成為各種攻擊的目標，因此他們必須確保在攻擊發生后不會手忙腳亂地制定計劃，他們需要一個涵蓋所有場景的計劃。“當你考慮事件響應時，實際上應該考慮事件規劃、響應和管理。”他說。

遭遇網絡攻擊時，你做的第一件事是查看事件響應計劃。“如果你在攻擊中討論‘我們應該聯系FBI嗎?我們應該這樣做嗎?’那是個問題，”Powers說，“這是你應該已經計劃和討論過的事情……當你考慮事件響應時，你首先考慮的是計劃。”

Pasteris補充說，了解你的資產是至關重要的，因為事情往往會被忽視。你不僅應該知道你使用了哪些應用程序，還應該知道你如何保護這些應用程序。“很多組織不跟蹤他們的資產，”他說，“他們如何保護這些資產，如何圍繞這些應用進行深度防御。”

你還需要考慮網絡保險——不僅要將其作為計劃的一部分，還要理解它的覆蓋范圍。

“網絡保險的關鍵是回到事件規劃，”Powers說，“如果你說，‘天哪，我們的保險不包括這些!’那么，這是你的問題，因為你沒有合理地計劃，你將失去這場戰斗。”

重要的是要明白，保險是建立在條件基礎上的，Manatt, Phelps & Phillips, LLP的合伙人和隱私與網絡安全實踐的共同領導人Scott Lashway說。“我們依靠網絡保險來做一些網絡保險本身并未設計的事情，它是建立在條件基礎上的，所以有國家排除條款……有戰爭排除條款。”

何時聯系FBI

根據Blue Mantis的安全實踐負責人Jay Martin，另一個大問題是如果以及何時在網絡攻擊后應該聯系FBI，因為很多公司擔心會引起FBI的注意。“我們是否應該聯系FBI?不聯系FBI?當我們聯系他們時，他們會為我們做些什么?”

喬·博納沃倫塔(Joe Bonavolonta)，現任全球風險與情報咨詢公司Sentinel的管理合伙人，曾在FBI工作超過27年，其中包括擔任FBI反間諜計劃負責人，他表示，聯系FBI有其優勢。博納沃倫塔向聽眾保證，FBI在處理此類攻擊時采取的是以受害者為中心的方法，他們不會穿著突擊夾克，開著警笛和閃燈出現在你的辦公室。他說，絕大多數事件響應是通過電話、電子郵件或視頻會議進行的。

與FBI合作的一個大好處是，他們可能擁有大量的情報，可以幫助你的企業緩解威脅，并幫助其他公司避免成為相同攻擊的受害者，博納沃倫塔說。

此外，FBI可能擁有你公司所需的解密密鑰。“這就是為什么聯系FBI和我們的合作伙伴很重要，因為我們可能擁有那個解密密鑰，或者更重要的是，我們可能與擁有解密密鑰的私營部門實體有合作關系，因為他們之前也是受害者。”他說。

博納沃倫塔還表示，“如果支付贖金，在某些情況下我們有能力……在資金實際流出之前可能會停止并凍結這些資產或資金。” “然后還存在其他情況，基于FBI和我們的合作伙伴與云提供商的關系，我們實際上能夠從存儲在某些服務器上的公司中檢索被盜數據。”

回到全面的網絡安全計劃的重要性，博納沃倫塔建議組織主動與FBI建立關系。“在情況非常糟糕之前，先了解名字、電話號碼、電子郵件地址，并與對方見面，因為在重大危機期間，不是建立這些關系的時機。”他說。

是否支付勒索贖金?

也許遭遇勒索軟件攻擊的企業面臨的最大問題是是否應該支付贖金。

“這是一種巨大的風險，”波士頓學院網絡安全政策與治理碩士項目的創始人兼主任凱文·鮑爾斯(Kevin Powers)說，“你在與犯罪分子打交道。你可以與犯罪分子簽訂合同。這和一張廁紙的價值一樣。”

博納沃倫塔表示，FBI不建議支付贖金。他見過公司支付贖金后，壞人不僅不解密他們的文件，還聲稱他們也竊取了大量數據，除非公司再次支付贖金，否則他們將公開這些數據。“我們內部稱之為‘雙重勒索’”他說。

“我不喜歡支付贖金，我甚至不喜歡談判，”斯科特·拉什韋(Scott Lashway)說，“我們盡量使其機械化。”

拉什韋說，在支付勒索贖金之前，你必須做三件事：

1.通過法律審查，確定支付贖金是否可行

2.與FBI交談，因為你可能會給自己帶來大量法律犯罪風險

3.如果你決定支付贖金，請讓別人代你談判。“你在與非常壞的人打交道——非常壞的人，他們有做一些事情的傾向，比如‘我有你CEO的家庭平面圖’，”他提醒聽眾。

沒有借口……相反，要做好任何準備

拉什韋補充說，僅僅因為有“這不是‘是否’，而是‘何時’你公司將被攻擊”的敘述，不要把它當作借口。“我們都需要照鏡子，真正擺脫這種心態，”他說，“這已經成為一種借口。律師用它來為公司被攻擊辯解，這已經成為董事會在不為你的技術需求提供資金時的借口。”

換句話說，停止找借口，預料到意外，并做好準備——就像愛國者隊在第49屆超級碗中所做的那樣，盡管所有跡象都表明要跑球，他們也準備好了傳球，最終由馬爾科姆·巴特勒(Malcolm Butler)在門線處攔截傳球，這成為勝利與慘敗之間的關鍵。