信息化觀察網(wǎng)

本文來自嘶吼網(wǎng)，作者/布加迪。

為了制造社會或政治混亂，網(wǎng)絡(luò)攻擊的流行程度、嚴(yán)重程度和破壞性都在與日俱增。據(jù)比特梵德的《2020年威脅形勢報告》聲稱，全球報告的勒索軟件總數(shù)比上一年猛增了485%。

正如企業(yè)擴(kuò)大規(guī)模一樣，黑客們也在提高攻擊效率，設(shè)計新方法以實(shí)施更嚴(yán)重的攻擊。泄露軟件帶來了一種新的恐嚇，犯罪分子威脅在網(wǎng)上公布高度敏感的數(shù)據(jù)。

政府撐腰的攻擊正在加大通過軟件漏洞部署數(shù)據(jù)擦除惡意軟件的力度。2017年的NotPetya攻擊影響了60個國家的數(shù)千家跨企業(yè)，包括全球物流巨頭馬士基。

近期勒索軟件攻擊

提到最常見的網(wǎng)絡(luò)攻擊形式：勒索軟件，贖金動輒數(shù)百萬美元。應(yīng)對的平均成本翻了一番，2021年增加了185萬美元。在金額最大的一次攻擊中，網(wǎng)絡(luò)犯罪分子索要5000萬美元的贖金，才能提供解密密鑰。

2021年5月，Colonial燃料管道攻擊導(dǎo)致完全停運(yùn)六天，影響美國六個州。由于這條輸油管向東海岸供應(yīng)近50%的燃料，勒索軟件攻擊導(dǎo)致加油站燃油告急，恐慌的買家排起了長隊(duì)，油價漲到七年來的最高水平。美國聯(lián)邦調(diào)查局（FBI）證實(shí)，Darkside軟件曾被用于訪問行政和財務(wù)系統(tǒng)。為了盡快恢復(fù)運(yùn)營，Colonial支付了75個比特幣的贖金（相當(dāng)于500萬美元）。

黑客逐漸青睞大獵殺：畢竟大公司已投保、有能力支付更高的贖金。2020年7月，佳明（Garmin）遭到了一種新型勒索軟件：WastedLocker的攻擊。它加密了內(nèi)部系統(tǒng)，關(guān)閉了面向消費(fèi)者的服務(wù)，包括Garmin Connect和Strava。佳明最后向俄羅斯的Evil Corp支付了1000萬美元的贖金，這個網(wǎng)絡(luò)犯罪組織專門以《財富》500強(qiáng)公司和金融機(jī)構(gòu)為目標(biāo)。

但受害者不全是已投保、有預(yù)算的大公司。醫(yī)療保健領(lǐng)部門常常資金和資源不足，面臨高風(fēng)險，不僅僅關(guān)乎錢財。伺機(jī)下手的攻擊者知道，受害者寧愿支付較低的贖金，也不愿置生命于險境中。2020年，85%得逞的勒索軟件攻擊針對有更重大問題要處理的醫(yī)療保健部門!

據(jù)Sophos聲稱，2020年48%的英國組織遭到過勒索軟件攻擊。連那些安裝了反惡意軟件的軟件也未能幸免。據(jù)估計，75%的受害者在受感染的機(jī)器上運(yùn)行最新的終端保護(hù)系統(tǒng)。

關(guān)于網(wǎng)絡(luò)攻擊的許多報道強(qiáng)調(diào)預(yù)防的重要性。然而隨著更復(fù)雜的攻擊越來越頻繁，發(fā)現(xiàn)網(wǎng)絡(luò)攻擊后知道立馬做什么非常重要。

檢測、保護(hù)和恢復(fù)

1.隔離

如果的電腦屏幕突然變紅，你可能會本能地去按電源鍵，然而這么做會毀掉重要的證據(jù)。報告事件有助于執(zhí)法機(jī)構(gòu)了解犯罪活動，還可以幫助處于同樣困境的其他組織。報告不僅是法律要求，執(zhí)法機(jī)構(gòu)還可以提供切實(shí)指導(dǎo)。英國信息專員辦公室的職責(zé)不僅僅是開罰單。

最重要的做法是將設(shè)備立馬從網(wǎng)絡(luò)上斷開。拔掉網(wǎng)線，記得關(guān)閉Wi-Fi。這可以防止信息被反饋給犯罪分子、部署進(jìn)一步的惡意代碼。這可以阻止橫向移動：NotPetya等行動神速的蠕蟲尋找與其他設(shè)備的連接，迅速傳播，破壞數(shù)據(jù)。

確保將所有受感染的設(shè)備、共享存儲、外置硬盤和云存儲與網(wǎng)絡(luò)隔離開來。在遏制攻擊時，IT技術(shù)和運(yùn)營技術(shù)相隔離很關(guān)鍵。

2.識別

限定警報，為此應(yīng)該詢問誰、什么、何地、何時、為何及如何。

如果不清楚攻擊是如何發(fā)生的，恢復(fù)的機(jī)會就比較小。這是什么類型的攻擊？是感染嗎？還是竊取數(shù)據(jù)的黑客活動？會不會是惡意的內(nèi)部人員所為？

是否有多個入口點(diǎn)？如果報告了網(wǎng)絡(luò)釣魚攻擊，其他人是否打開了附件？這真的是一起孤立事件嗎？誰都不希望最終面臨的是不必要的全面性關(guān)閉。

記錄發(fā)生的情況，使用勒索軟件標(biāo)識符工具對病毒進(jìn)行分類。它是如何傳播的？它加密了什么文件？惡意代碼是否可能駐留在系統(tǒng)上的多個位置？始終確保在未受感染的網(wǎng)絡(luò)上開展研究工作。

一旦確切知道了自己在處理什么，就可以協(xié)調(diào)采取適當(dāng)?shù)捻憫?yīng)。

3.溝通

坦誠的溝通在任何網(wǎng)絡(luò)事件中都很重要。雖說攻擊不是告訴高級管理層的好消息，但讓他們意識到攻擊的規(guī)模，并一起制定關(guān)鍵的行動方案至關(guān)重要。

黑客在傳輸數(shù)據(jù)或安裝惡意代碼之前通?；?0天至90天的時間來探究被攻擊的系統(tǒng)。因此，不要讓犯罪分子知道你發(fā)現(xiàn)了其活動。他們可能在監(jiān)視你的網(wǎng)絡(luò)或電信系統(tǒng)，尋找被發(fā)現(xiàn)和緩解的跡象，所以應(yīng)使用采用端到端加密的帶外通信網(wǎng)絡(luò)工具，比如個人郵件或WhatsApp。

坦誠相待是如今客戶很看重的價值觀；要意識到危機(jī)發(fā)生后，坦誠的溝通實(shí)際上可以鞏固聲譽(yù)。

4.確定優(yōu)先級，制定計劃

最初24小時內(nèi)做出的決策決定著恢復(fù)的成敗。緊迫的情形可能導(dǎo)致本能反應(yīng)和規(guī)劃不充分，這可能帶來進(jìn)一步的問題。

應(yīng)根據(jù)影響、緊迫性和業(yè)務(wù)優(yōu)先級，認(rèn)真規(guī)劃響應(yīng)行動。哪些機(jī)密數(shù)據(jù)需要迅速被保護(hù)起來？哪些系統(tǒng)需要先重建，以確保業(yè)務(wù)可以安全恢復(fù)？

給每個人分配任務(wù)，逐一解決問題。盡量不要讓整個團(tuán)隊(duì)都參加例會，這樣他們才有足夠的時間和空間來有效地重建系統(tǒng)。面對壓力，人難免會出錯，因此團(tuán)隊(duì)的福祉最重要。團(tuán)隊(duì)是迅速作出有效響應(yīng)的最重要資源。

5.恢復(fù)

那么，遭到勒索軟件攻擊后恢復(fù)選項(xiàng)有哪些？

•支付贖金。

執(zhí)法機(jī)構(gòu)和惡意軟件專家不建議支付贖金，因?yàn)楸娝苤@會增加攻擊的頻率。Coreware的2021年第一季度勒索軟件季度報告顯示，銷毀數(shù)據(jù)和清除數(shù)據(jù)的攻擊顯著增加，即使在支付贖金之后。

•用惡意軟件清除軟件清除感染。

雖然刪除軟件對已知的威脅有一定的成效，但完全依賴這種方法是最大的信息技術(shù)資產(chǎn)處置（ITAD）錯誤之一。越來越復(fù)雜的勒索軟件層出不窮，所以軟件刪除服務(wù)不可能保證貴公司完全不用擔(dān)心被再次感染。

•進(jìn)行全面的ITAD數(shù)據(jù)銷毀。

好消息是不需要支付贖金或購買昂貴的軟件。IT資產(chǎn)處置服務(wù)提供全面的數(shù)據(jù)清除，以確保沒有惡意軟件殘留。ITAD合作伙伴可以提供快速響應(yīng)，清理被感染的系統(tǒng)，重新格式化硬盤，銷毀任何臨近報廢的IT資產(chǎn)。數(shù)據(jù)清除服務(wù)了解網(wǎng)絡(luò)攻擊后銷毀數(shù)據(jù)的重要性，甚至可以執(zhí)行安全的現(xiàn)場數(shù)據(jù)清除，以縮短停運(yùn)時間。

有的犯罪分子絕不罷休；一旦識別到威脅，就不應(yīng)該魯莽行事。專業(yè)的數(shù)據(jù)銷毀服務(wù)可保證所有設(shè)備全面消毒。為每一個單獨(dú)的設(shè)備或存儲介質(zhì)設(shè)備提供IT資產(chǎn)處置認(rèn)證，以表明ITAD監(jiān)管鏈。

企業(yè)再也不一定被勒索。不僅可以恢復(fù)，外包ITAD供應(yīng)商還可以幫助快速恢復(fù)業(yè)務(wù)。本地備份也極有可能被加密，但只要在攻擊期間從網(wǎng)絡(luò)完全斷開，就可以使用異地備份。有了更多的資源幫助從來源可信的介質(zhì)重新安裝操作系統(tǒng)和軟件應(yīng)用程序，可以盡快恢復(fù)業(yè)務(wù)運(yùn)行，減少中斷和業(yè)務(wù)損失，并將恢復(fù)成本降至最低。

本文翻譯自：https://www.eolitservices.co.uk/2021/06/01/5-steps-to-take-in-the-immediate-aftermath-of-a-cyber-attack/