無論什么季節(jié)，勒索軟件都是一個嚴(yán)重的威脅。正如美國IBM Security X-Force 威脅情報指數(shù)2022指出的那樣，三年多來，勒索軟件一直是最流行的網(wǎng)絡(luò)安全攻擊類型。根據(jù)數(shù)據(jù)泄露成本報告，勒索軟件泄露的平均成本為462萬美元，包括收入損失和響應(yīng)費(fèi)用。該金額不包括贖金本身，贖金可能高達(dá)數(shù)百萬美元。

雖然專注于預(yù)防至關(guān)重要，但公司還需要針對可能的攻擊提前制定策略。

德貝克說：“許多組織都有應(yīng)對計劃，但這些計劃的質(zhì)量以及是否經(jīng)過適當(dāng)測試存在很大差異”。對攻擊做出快速而果斷的反應(yīng)可以對造成的損害產(chǎn)生巨大的影響。

今年的威脅情報指數(shù)分解了有效勒索軟件響應(yīng)計劃中的五個關(guān)鍵步驟。來看看IBM的三位安全專家在美國的場景的看法。

第一步：緊急行動項(xiàng)目清單

最有效的應(yīng)對計劃包括在危機(jī)中立即采取的一系列步驟。制定包含攻擊的分步任務(wù)手冊，例如隔離硬件和關(guān)閉服務(wù)。包括聯(lián)系管理層和執(zhí)法部門（例如 FBI）的步驟。

X-Force全球補(bǔ)救負(fù)責(zé)人Andrew Gorecki說道：“網(wǎng)絡(luò)攻擊通常是由有組織的網(wǎng)絡(luò)犯罪和民族國家支持的威脅行為者發(fā)起的。因此，將針對您的組織的犯罪行為通知執(zhí)法部門非常重要。受害者組織與執(zhí)法機(jī)構(gòu)和政府機(jī)構(gòu)分享情報對于幫助打擊網(wǎng)絡(luò)犯罪和加強(qiáng)私營和公共部門組織之間的合作至關(guān)重要。”

快速遏制攻擊是關(guān)鍵。假設(shè)攻擊已經(jīng)加密了數(shù)據(jù)，則必須制定一個安全地從備份恢復(fù)數(shù)據(jù)的計劃。等待的時間越長，對運(yùn)營的影響就越大。經(jīng)常備份數(shù)據(jù)并經(jīng)常測試恢復(fù)過程。

第二步：假設(shè)數(shù)據(jù)被盜和數(shù)據(jù)泄露

勒索軟件攻擊過去相當(dāng)簡單。攻擊者通過加密使您的數(shù)據(jù)變得無用，然后承諾如果您付款，就會交出解密密鑰。當(dāng)今的攻擊者旨在通過威脅泄露被盜數(shù)據(jù)來提高支付金額，例如：

• 商業(yè)競爭對手可以使用的敏感材料
• 可能使高管難堪或損害公司聲譽(yù)的機(jī)密信息
• 受保護(hù)的數(shù)據(jù)，例如客戶的信用卡信息，如果泄露可能會導(dǎo)致法律責(zé)任或監(jiān)管罰款。

X-Force 網(wǎng)絡(luò)靶場技術(shù)團(tuán)隊(duì)經(jīng)理卡米爾·辛格爾頓 (Camille Singleton) 表示：“勒索軟件攻擊者發(fā)現(xiàn)這種‘雙重勒索’策略非常有效，我們現(xiàn)在幾乎在每次攻擊中都能看到這種策略?！?/p>

如果公司持有屬于其他人（例如業(yè)務(wù)合作伙伴）的數(shù)據(jù)，那么問題可能會變得更糟。

辛格爾頓說：“攻擊者知道，如果他們竊取的數(shù)據(jù)屬于與他們所攻擊的組織不同的組織，那么他們就會獲得更大的優(yōu)勢”。來自受害者伴侶的壓力和違反合同的威脅增加了風(fēng)險。

第三步：準(zhǔn)備應(yīng)對云相關(guān)攻擊

攻擊者知道企業(yè)越來越依賴云環(huán)境，因此開發(fā)了專門用于利用常見的基于云的操作系統(tǒng)和應(yīng)用程序編程接口的特定工具。根據(jù)威脅情報指數(shù)，近四分之一的安全事件源于威脅參與者從本地網(wǎng)絡(luò)轉(zhuǎn)移到云中。

事實(shí)上，如今的攻擊者正在利用新版本的基于 Linux 的勒索軟件將攻擊重點(diǎn)放在云環(huán)境上。根據(jù) X-Force 威脅情報合作伙伴 Intezer 的分析，2021 年大約 14% 的 Linux 勒索軟件包含新代碼。

企業(yè)需要加強(qiáng)基于云的系統(tǒng)并確保密碼符合策略。零信任方法（假設(shè)發(fā)生了違規(guī)行為并使用網(wǎng)絡(luò)驗(yàn)證措施來阻止攻擊者的內(nèi)部活動）使云攻擊者更難獲得立足點(diǎn)。

第四步：及時了解最佳備份實(shí)踐

老式磁帶驅(qū)動器的傳統(tǒng)備份是抵御勒索軟件的一種可能的防線，但由于其機(jī)械特性，備份速度可能非常慢。磁帶也會磨損，這會增加數(shù)據(jù)丟失的風(fēng)險。

戈雷茨基建議重新考慮如何進(jìn)行網(wǎng)絡(luò)恢復(fù)。災(zāi)難恢復(fù) (DR) 策略在勒索軟件恢復(fù)中效果不佳。相反，請考慮創(chuàng)建主存儲的邏輯氣隙快照，提供不可變、不會損壞的數(shù)據(jù)副本?，F(xiàn)代、有效的網(wǎng)絡(luò)保險庫解決方案可提供數(shù)據(jù)驗(yàn)證和驗(yàn)證。這種新的備份方法可以讓受害者更快地從勒索軟件攻擊中恢復(fù)。

第五步：決定是否支付贖金

人們普遍認(rèn)為——執(zhí)法部門也同意——組織永遠(yuǎn)不應(yīng)該支付贖金。然而，一些受害者確實(shí)付出了代價，特別是在生命面臨危險的情況下，例如在醫(yī)院環(huán)境中，或者如果系統(tǒng)長時間停機(jī)威脅到企業(yè)的生存能力。每個組織都應(yīng)該進(jìn)行練習(xí)，以考慮在困難的情況下他們會做什么。

企業(yè)在支付贖金之前需要權(quán)衡以下因素：

• 丟失數(shù)據(jù)的價值
• 數(shù)據(jù)泄露的潛在后果
• 備份的質(zhì)量
• 恢復(fù)備份的便利性。

支付贖金并不能保證您能取回數(shù)據(jù)，也不能保證加密數(shù)據(jù)可以在不損壞的情況下恢復(fù)。即使事情按計劃進(jìn)行，解密也可能是一個漫長的過程。據(jù)報道，一家在 2021 年向攻擊者支付了數(shù)百萬美元贖金的公司決定無論如何都從自己的備份中恢復(fù)數(shù)據(jù)。攻擊者的解密工具太慢。

戈雷茨基說：“是否付費(fèi)最終是一個商業(yè)決定，付費(fèi)可以防止你的品牌受損，還是可以幫助你更快地恢復(fù)過來？如果你能用財務(wù)術(shù)語來量化潛在的損失，你就可以將其與贖金的價格進(jìn)行比較?！?/p>

最后一點(diǎn)：保護(hù)自己免受勒索軟件侵害是一場漫長的游戲，需要不斷關(guān)注基礎(chǔ)設(shè)施和行業(yè)趨勢。攻擊者的工具和策略將不斷演變，公司需要應(yīng)對挑戰(zhàn)。無論勒索軟件攻擊是否會像近年來那樣加劇，現(xiàn)在始終是提前計劃的最佳時機(jī)。