勒索软件回应:时间不只是金钱

作者:北京神州绿盟科技有限公司广州办事处 | 国际 2020/11/19 21:04:33 21
文章来源:https://securityintelligence.com/posts/ransomware-response-time-more-than-money/

组织在发现勒索软件攻击后立即采取的初步行动可能会对攻击的结束方式产生深远的影响。

几乎每位安全专家都会告诉您,基于勒索软件的攻击正迅速成为数字时代的祸根,但这可能无法转化为首席信息安全官(CISO),因为某些员工知道如何发现勒索软件活动以及如何举报勒索软件活动做。

对于任何攻击(尤其是勒索软件),只有有条理,预先计划和理想的演练后的响应才能对目标组织及其最终从攻击中恢复产生最终影响。这并不是说即使采取了这些措施,也可以保证恢复。勒索软件攻击可能会对业务运营造成巨大损害,以致在某些情况下,公司会受到使用勒索软件的网络犯罪分子的打击。

迅速采取正确的行动

发现勒索软件攻击后,每一秒都很重要。时间越长,加密的数据和文件越多,受感染的设备越多,影响越大。必须立即采取行动,并且必须是找到破坏过程的根源并开始对其进行遏制的正确行动。最初的勒索软件响应正在使IT安全团队参与其中,使他们能够启动在这种情况下已准备好的事件响应步骤。

如果公司与第三方提供商签订了将现场响应者合同的合同,则此时应与他们联系。

根据您的情况,根据组织所在地区的要求,其他联系方是联邦执法人员和监管人员

不要重启那个僵尸!

勒索软件以几种方式进入组织:电子邮件,偷渡式下载和漏洞利用。员工在自己的设备上尝试访问共享位置上的文件时通常也会发现该漏洞,或者在超过文件修改阈值后,公司安全运营中心会发出警告。

一旦发现,安全团队应识别恶意软件家族,定义攻击的根本原因,然后开始列出正在本地和共享网络文件夹上加密文件的受感染设备。这些设备必须被隔离。

如果已检测到加密文件,则可能正在进行更大的过程。必要的措施之一是在运行勒索软件的受感染设备与其可以访问的网络之间建立网络联系。

重新启动受感染的系统是受害者常见的第一反应-但这是错误的。重新启动受感染的设备只会重新加载恶意软件,并使加密继续进行。首选方法是使用端点检测和响应(EDR)解决方案隔离系统。如果未部署,则另一种方法是使受影响的设备处于休眠状态,这既可以阻止恶意进程,又可以保存取证供以后检查。如果设备关闭,则应在网络外部对其进行清洁,然后再重新插入。

同样,也不需要删除已经加密的文件。他们可能会在以后被抢救,或者向勒索软件袭击组织的恶意软件研究人员提供更多信息。

修补,还原和恢复

现在已经包含了攻击,下一步是什么?确保感染的根本原因已得到纠正。如果原因是缺少补丁程序,请应用它们,因为不部署它们可能导致另一次攻击。如果是被主动利用的漏洞的原因并且无法修补,则计划进行新的风险评估以隔离易受攻击的系统,并进行补偿性控制。返回正常操作后,计划将这些应用程序升级或移动到云中。

使用已加密的数据,将需要清理和重新调试系统,并还原数据。您的IT部门可能有可以帮助还原文件的备份,但是该过程本身并不短,也没有潜在的问题。当心被感染的备份,这些备份可能使恶意软件复活并继续存在,从而在网络的不同部分造成严重的破坏。

许多受感染的设备可能需要擦除并重新映像,因此可能已经受到影响的存储也会如此。还原系统后,请对其进行测试,然后再将其返回网络。同样,该过程可能很漫长,但是有必要确保清除了该恶意软件的所有痕迹。

某些数据无法恢复;我们应该付给进攻者吗?

大多数事件响应学说都依赖或受美国国家标准技术研究院(NIST)事件响应生命周期的指导。在主动攻击的范围内,采取的步骤包括:

  • 制备
  • 检测与分析
  • 遏制,根除和恢复
  • 事后活动

最终,一些组织感到不得不决定是否支付赎金。可能迫使该决定更快地进行的因素包括需要尽快恢复操作或重新获得对其他方法无法恢复的重要文件的访问。考虑付款的主要原因是潜在的生命损失或如果运营不立即恢复,公司可能倒闭。

无论如何,支付赎金都会带来后果。任何支付或放弃支付赎金的决定都与组织的风险管理,业务连续性目标,停机时间成本,监管考虑,法律影响以及犯罪分子不会提供解密所有文件或试图勒索更多信息的可能性密切相关。付完钱后。

通常,任何支付赎金的决定都必须涉及公司内部的相关利益相关者。同时,明智的做法是从事件响应主题专家那里寻求法律顾问,并了解公司网络保险提供商提供的条款和服务。如果赎金谈判者将成为该过程的一部分,他们可能能够提供来自同一网络犯罪集团以往案例的见解。

以下是公司在讨论支付赎金的决定时应考虑的主要考虑因素。

支付赎金不能保证恢复

付钱给罪犯恰恰是听上去-付钱给一个不受信任的政党。罪犯付款后可能会也可能不会履行交易的一部分,特别是因为一旦(不可逆转)付款,他们就可能消失。虽然不常见,但这是有可能的。

支付赎金不等于即时恢复

用解密密钥进行恢复很少是瞬时的。解密文件是一项手动任务,必须将它们分别解密,这是一项艰巨而耗时的工作。

在大多数情况下,即使罪犯已获得付款并提供了解密密钥,恢复工作也可能与重新映像机器一样复杂且费劲。这意味着恢复工作的成本可能与没有向对手付款一样昂贵。

支付赎金可能是联邦犯罪

一些国家/地区受到美国政府的制裁,因此,向这些国家/地区的网络犯罪分子支付赎金可能是联邦的罪行。2020年10月1日,美国财政部外国资产控制办公室(OFAC)的一名顾问发布了通知,通知所有与协助向受制裁国家(包括俄罗斯,朝鲜或伊朗)的攻击者付款有关的人,可能受到罚款。提供勒索软件协商服务的公司不受此通报的约束,它们所代表的组织也不例外。

尽管您的组织可能无法轻易地将攻击归因于特定的组或地理位置,但如果您决定支付赎金,您仍可能会受到OFAC的罚款。

付钱给网络犯罪分子加强他们的商业模式

付钱给网络犯罪分子可以巩固他们的商业模式,鼓励更多的犯罪分子参与同一活动,并不断为网络犯罪和该生态系统支持的其他犯罪提供资金。请记住,支付赎金最终会成为攻击者增加攻击频率和赎金本身价格的动力。

事后活动

事件后活动是响应计划的重要组成部分,不应忽略。在发生任何大小事件之后,建议您与相关的利益相关者见面,讨论行之有效的要素,并检查不起作用的要素。这种“经验教训”分析可以帮助您的组织随着时间的推移改进流程,并确保更有效地处理未来事件,从而最大程度地减少潜在影响。

您的分析还应包括用于帮助检测和保护基础结构的技术控制。分析技术的有效性可以阐明对安全技术的任何需要的体系结构修改,撤资或新投资,这可以使安全成熟度模型不断发展。

这里提出的建议本质上是一般性的。每个组织都是不同的,勒索软件的响应取决于每个公司所运营的部门和行业。它影响法规要求,通知时间表和对其他方的附带损害,仅举几例。

无论您的事件响应过程是内部操作还是作为服务收到的操作,请不要延迟启动它。在勒索软件攻击,影响运营,员工,声誉和客户诚信方面,时间远远超过金钱。大多数人很难赚钱,甚至更难重建。

推荐关注

指导单位
广东省公安厅网络警察总队 | 广东省信息安全等级保护协调小组办公室