规划、桌面推演以及恰当的技能与培训,对于应对最常见的业务连续性噩梦之一而言至关重要。
勒索软件攻击持续困扰着各企业,且通过双重勒索、多重勒索等策略,以及利用AI发动更精细的攻击,还有勒索软件即服务模式的兴起,其手段愈发复杂。
CISO和CSO需将制定应对此类攻击的应急预案作为优先事项。
显然,勒索软件仍是网络安全的一大威胁。安全公司CrowdStrike在其最新的《勒索软件现状调查》报告中指出,随着网络犯罪分子“在整个攻击链中运用AI,加速入侵、加密和勒索”,勒索软件应对准备不足。
该报告基于对全球1100名IT和网络安全决策者的调查,显示76%的企业难以应对AI辅助攻击的速度和复杂性,约半数受访者认为,借助AI的攻击链是当今最大的勒索软件威胁,85%的受访者表示,传统检测手段在面对AI增强的攻击时已逐渐失效。
安全公司TrustNet的CISO Trevor Horwitz表示:“对于勒索软件,大多数公司仍将其视为遥远的威胁,直到遭受攻击才如梦初醒,那时便是一片混乱。一份优秀的勒索软件应急预案不仅仅是文档,它应成为肌肉记忆,你必须像实战一样训练。”
以下是制定有效勒索软件应对策略需考虑的关键要素。
规划与桌面推演:以演练开启应对准备
任何没有制定应对勒索软件威胁统一计划的企业,都是在自找麻烦。制定涵盖工具、流程和人员的整体战略,对于维持业务连续性和最小化财务损失至关重要。
若没有计划,企业面对攻击时可能会做出混乱且无效的应对,导致数据丢失、系统长时间停机、合规问题,以及品牌或声誉受损。
规划过程中的一个关键环节是开展网络安全桌面推演,模拟团队在实际勒索软件攻击中的表现,这使企业能够在无风险环境中测试和改进其事件响应计划,重点关注决策制定、沟通以及明确角色分工。
Horwitz表示:“桌面推演是一切的开端,如果你的高管团队没有围坐在一起,共同应对模拟的勒索软件攻击,那就从这里开始。你不想在实际发生泄露时,才弄清楚谁有权支付赎金或发布公开声明。你要了解法律、IT和通信部门能多快协同工作。压力巨大,决策迅速。因此,应急预案应指导这些决策,而非束之高阁。”
技术咨询公司Resultant的高级安全顾问John Otte表示,这些推演使企业能够“制定并维护一份针对勒索软件的特定事件响应预案,明确角色、遏制流程、取证收集程序和通信模板”。
Otte说:“至少每年与法律、通信、IT和高管等利益相关者进行一次逼真的桌面推演,以测试决策制定能力。”
安全公司Bedrock Data的CSO、研究咨询公司IANS Research的教员George Gerchow表示,桌面推演需模拟真实的业务中断场景,而非仅技术故障。“有效的勒索软件应对准备始于演练,而非恐慌,”他说,“最有价值的推演包括运营、法律、财务、人力资源和通信部门的负责人,因为这些团队在压力下要面临最艰难的决策。”
人员配置、技能与培训
许多企业仍面临网络安全专家短缺的问题,因此组建团队颇具挑战,这对于勒索软件策略而言可能存在问题。公司需具备多种技能,包括事件检测与预防、事件响应、防火墙配置及其他领域的专业知识。
他们还需具备对所有员工进行如何帮助预防勒索软件攻击培训的能力,这包括教导他们如何识别、应对和报告网络钓鱼邮件、可疑链接和可疑附件等威胁。
Horwitz表示:“在人员配置方面,你需要专业人员。”“不仅是网络安全人员,还包括法律、公关和领导层的人员,而且不仅是人数,你需要做好准备,指定一名事件指挥官,配备具备取证技能的人员,了解业务风险并知道何时升级问题的人员。”
Gerchow表示,企业常在投资人员之前先投资工具,这是本末倒置。“韧性依赖于跨职能的准备,员工不仅要了解该做什么,还要明白为何重要。”他说。
企业需针对用户,包括业务领导、IT团队、财务部门等,开展符合其角色的安全培训,内容涵盖社会工程和恶意附件等现实威胁。
Gerchow表示,业务领导应鼓励持续培训,将网络安全风险与业务连续性和声誉联系起来。“这关乎建立一种文化,让从帮助台到董事会室的每个人,都明白自己在维护运营完整性中的角色,”他说,“定期的宣传计划、针对特定角色的响应演练和高管简报,有助于将技术风险转化为商业术语。”
预防措施
企业可投资一系列技术解决方案,既用于防范勒索软件攻击,也用于事件发生后的修复。勒索软件预防需采取分层方法,包括定期软件更新和补丁修复、有效的数据和系统备份,以及防火墙、多因素身份验证(MFA)和防病毒软件等其他网络安全工具。
补丁管理和漏洞修复是勒索软件防御中至关重要的环节,因为勒索软件攻击者常利用安全漏洞——且越来越多地利用安全设备本身的漏洞。通过解决这两个领域的问题,公司可主动防御勒索软件威胁。
Otte表示:“制定一个可优先处理且可追踪的补丁修复计划,将可利用的暴露风险降至最低。将补丁的自动化部署与对高风险系统的人工验证相结合,并定期运行扫描以识别配置偏差或跳过的补丁。”
Otte表示,终端检测与响应(EDR)、防病毒(AV)软件、电子邮件安全和网络钓鱼防御,以及身份和访问管理/多因素身份验证,也是任何勒索软件策略的重要组成部分。“使用具备基于行为的检测、回滚和隔离能力的现代EDR,而非仅依赖签名防病毒软件,”他建议道。
勒索软件攻击者执行任务的主要途径之一是通过电子邮件,数据擦除和移动生命周期诊断产品提供商Blancco的CTO Russ Ernst表示:“从IT安全角度看,首要攻击媒介是电子邮件系统,必须在整个企业内实施电子邮件安全最佳实践。”
Otte表示,电子邮件安全可包括高级网络钓鱼过滤器,以防止常见的勒索软件传播机制,复杂的访问管理有助于最小化威胁。
Otte说:“在可能的情况下实施多因素身份验证,特别是对于特权账户和远程访问,并实施最小权限原则,以限制攻击者横向移动的机会。将管理员凭据保存在集中管理的密钥存储中,定期轮换,且不共享本地管理员账户,在提升任何权限前坚持使用多因素身份验证,跟踪异常凭据使用情况,并针对使用特权凭据的暴力破解或横向移动应用检测。
恢复与修复
若公司遭受勒索软件攻击,需尽快进入恢复和修复模式,以最小化损失,这包括恢复系统和数据,以及修复对员工、客户和企业品牌造成的任何损害。
Otte表示:“制定全面的恢复预案,明确系统恢复顺序的优先级,并制定针对客户、监管机构和执法部门的公共沟通策略。提前与法律顾问、网络保险联系人及取证响应人员沟通,以便做出明智、及时且符合通知要求的决策。”
Horwitz表示,勒索软件攻击发生时,“修复需迅速且精准,你必须立即隔离系统,阻止传播,切断恶意软件的通信路径,引入取证分析以查明入侵方式,因为如果你不了解入侵点,从备份恢复可能只是重新引入威胁。”
Horwitz表示,企业在使用备份前需进行验证。“我见过公司恢复看似干净的数据,结果却发现恶意软件已潜伏数周。”他说。
Ernst表示,他们还需确保定期备份流程到位。“定期备份数据并定期测试这些备份非常重要,”他说,“在离线环境中定期备份的数据不会受到直接勒索软件攻击的影响。”
Ernst表示,访问这些存储的数据应有助于最小化停机时间。“备份还能帮助你重建基础设施,如果你选择支付赎金获取加密密钥,结果却发现数据已被损坏且无法使用。如果企业了解从备份重建所需的时间,那么它就能推断出勒索软件攻击导致的预计停机时间。”他说。
考虑与勒索软件团伙就赎金支付进行谈判的企业,也应紧跟最新建议和策略。
Horwitz表示,恢复过程不仅是技术性的,也是声誉性的。“如果客户信任受到动摇,你必须迅速重建,”他说,“这意味着沟通清晰,承担责任,并解释正在采取的措施,必须通知执法部门,监管机构也是,且那次攻击的教训需立即融入应急预案,哪些措施有效?哪些无效?团队在何处陷入僵局?这种反馈循环能强化你的计划。”
制定有效的内部和外部勒索软件沟通计划至关重要,Ernst表示:“勒索软件攻击沟通策略应成为企业与安全漏洞相关的一般公司应急预案的一部分,它应明确必须通知的人员——员工、客户、投资者、其他利益相关者——以及通知方式、时间、内容,以及由谁进行通知。”
