企业需要按照必要的勒索软件恢复步骤为勒索软件攻击事件的“之前”和“期间”做好准备。本文将讨论企业如何恢复数据、减少声誉损失和降低安全风险,以及如何最大限度地降低总体成本。
对于任何一个勒索软件攻击事件或安全事件,都会有之前、期间和之后这三个阶段。人们需要了解如何在每个阶段保护其所在的企业,并了解勒索软件是如何实施的。
企业需要按照必要的勒索软件恢复步骤为勒索软件攻击事件的“之前”和“期间”做好准备。本文将讨论企业如何恢复数据、减少声誉损失和降低安全风险,以及如何最大限度地降低总体成本。
一旦勒索软件攻击结束,可能将会发生以下一些事情:
- 如果文件被加密,遭遇攻击的企业将了解勒索攻击者的勒索要求。
- 企业将面临支付赎金的选择——受害者将在域名为.onion的网站上与勒索软件攻击者进行谈判,可以商定赎金并通过加密货币支付给勒索攻击者。收到赎金之后,勒索软件攻击者可能会提供解密/恢复文件所需的私钥,但并不会提供任何保证。
- 勒索攻击者可能解密或恢复数据,也可能在二次攻击中使用这些泄露的数据,要求受害方支付费用,否则将这些文件发布到互联网上。
在这一方面,受害方需要将损害降到最低,重新上线运营并提醒相关人员。
勒索软件恢复工作将取决于企业自身情况、数据和安全事件的性质。在勒索软件攻击发生之后,企业依循以下5个步骤对企业是有帮助的。
(1)根据响应计划对系统进行恢复和确定恢复工作的优先级
在勒索软件攻击期间,企业需要获得一份干净的数据副本,以便迁移到分阶段恢复运行环境,并重新上线。这些是企业重新上线运营所需的最低限度的关键任务操作。现在,企业将要开始优先考虑恢复数据。
企业IT主管要与其他高管合作,确保与其他利益相关者就恢复层级达成一致。应该明确定义应用程序恢复优先级或层级,以便业务部门了解恢复应用程序的时间表,并且不会出现意外。其规划还应包括关键基础设施,例如Active Directory和DNS。如果没有完成这些工作,其他业务应用程序可能无法重新联机或正常运行。
(2)继续开展取证工作,并与有关部门、企业的网络保险提供商和任何监管机构合作
企业与其取证专家合作以发现更多细节,例如:
- 泄露发生时是否启用了加密措施?
- 备份或保留数据的状态如何?
- 查看日志以确定在违规时谁有权访问数据,谁目前拥有访问权限,他们是否仍然需要其访问权限,或者他们的访问权限是否可以被限制/撤销?
- 哪些类型的数据遭到破坏?谁受到了影响,有他们的联系方式吗?
在收集取证报告时,需要与执法机构(如FBI)和监管机构以及企业的保险提供商合作,这一点很重要。
(3)通过恢复离线沙盒环境开始恢复工作,允许团队识别和根除恶意软件感染
建议利用分层安全架构和“数据掩体”。这种方法可以帮助企业保留和保护大量数据,并使其立即可用。
当企业开始恢复数据时,需要检查网络分段。在设置网络时,可能会对其进行分段,以便一台服务器或一个站点上的漏洞不会导致另一台服务器或站点出现漏洞。企业与其取证专家合作,分析细分计划是否有效地遏制了违规行为。如果进行任何更改,需要立即进行。
(4)始终如一地进行沟通,让业务部门随时了解恢复工作的进展情况
企业需要制定一个全面的计划,让所有受影响的受众、员工、客户、投资者、业务合作伙伴和其他利益相关者都能受益。不要对勒索攻击行为做出误导性的陈述;预测人们会问的问题是有帮助的;解决主要的问题,并提供清晰明了的回答。这有助于减少客户的担忧和沮丧,从而节省企业的时间和费用。
此外,不要公开分享可能使消费者或企业面临更大风险的信息。
(5)调查服务商的角度
企业需要了解勒索攻击行为是否涉及任何服务提供商、合作伙伴或供应商?检查他们可以访问哪些个人信息,并决定是否需要更改他们的访问权限。现在是确保服务提供商自己采取必要措施以防止再次遭遇网络攻击的好时机。如果企业的服务提供商表示已经修复了漏洞,则需要进行验证。