勒索病毒仍舊肆虐橫行
2017年,“WannaCry”勒索病毒在全球爆發,給多個國家地區的計算機用戶造成了災難性損失。兩年過去了,不同種類的勒索病毒及變種仍舊在全球肆虐橫行,所到之處哀鴻遍野。
以美國為例,美國地方政府的信息系統一直是勒索病毒感染的重災區,自2013年以來,至少有170個縣、市或州政府系統遭遇了勒索軟件攻擊,僅2019年就已發生了22起攻擊,攻擊數量仍持續激增。
據德克薩斯州信息資源部(DIR)消息,8月16日,德克薩斯州23個小城鎮的計算機系統遭到勒索病毒攻擊,具體受攻擊城鎮的名單未公開,攻擊者要求250萬美元的比特幣贖金。
然而,DIR在聲明中表示,并未向攻擊者支付任何贖金。國家運營中心在襲擊當日已啟動應急響應工作,到8月23日,所有受影響的關鍵業務已恢復正常。
無獨有偶,馬薩諸塞州東南部港口城市新貝德福德市市長9月4日透露,該市在今年7月5日曾遭到Ryuk勒索軟件攻擊。當時黑客開出530萬美元的解密贖金,該市曾嘗試與黑客砍價,表示愿意支付保險賠付金40萬美元,但遭到黑客拒絕,隨后該市決定自行恢復被加密的系統。
下面匯總了美國近年一些典型的勒索軟件攻擊事件的損失情況 :
? 2018年3月,佐治亞州,亞特蘭大市,拒絕支付贖金,花費超過950萬美元恢復系統。
? 2018年10月,康涅狄格州,West Haven,支付2000美元贖金。
? 2019年3月,佐治亞州,杰克遜縣,支付40萬美元贖金。
? 2019年5月,馬里蘭州,巴爾的摩市,拒絕支付贖金,花費超過1800萬美元恢復系統。
? 2019年6月,佛羅里達州,里維埃拉海灘,支付60萬美元贖金。
? 2019年6月,佛羅里達州,萊克城,支付46萬美元贖金。
? 2019年7月,印第安納州,拉波特縣,支付超過13萬美元贖金。
? 2019年7月,馬薩諸塞州,新貝德福德市,討價還價后遭拒,恢復成本未知。
? 2019年8月,德克薩斯州,23個城鎮,拒絕支付贖金,恢復成本未知。
理想很豐滿,現實很骨感
頻發的勒索攻擊令美國各州市長們焦頭爛額,苦不堪言,他們決定團結起來,面對外部威脅統一陣線。2019年7月10日,1400多位市長在第87屆美國市長會議上一致通過了一項決議,承諾不再為勒索攻擊支付贖金。
議案表示,盡管勒索攻擊可能導致數百萬美元的經濟損失和數月的數據修復工作。但向攻擊者支付贖金,讓其獲取經濟利益,實際上是助長了他們的攻擊行為。因此,市長會議決議不向發起勒索攻擊的黑客支付任何贖金。
這也與FBI網絡安全專家的立場一致,他們通常建議除非沒有其他方法可以恢復數據,否則不要支付贖金,并敦促市政當局建立基本的數據備份程序。
有趣的是,就在該項決議通過后幾天,印第安納州拉波特縣遭遇勒索軟件攻擊,卻向黑客支付了超過13萬美元贖金用以解密數據。看來,理想很豐滿,現實很骨感,任何不基于現實情況的口號都是空談。
當遭遇勒索攻擊,業務系統崩潰癱瘓,上億級數據危在旦夕,絕對不是一條非黑即白的邏輯可以指導決策的。需要經過細節的周密考量、成本的精密計算,得出最優解決方案。只有事前通過模擬真實情境進行推演,協商各個環節各種情形下的應對策略,制定一個完備的應急響應計劃,才能打一場有準備的戰。
勒索攻擊應急響應計劃應避免哪些陷阱?
以下是制定勒索攻擊應急響應計劃時的一些常見陷阱:
1.使用傳統的安全事件應急響應計劃,而不是為勒索攻擊量身定制的應急響應計劃
傳統的安全事件應急響應計劃與勒索攻擊專用應急響應計劃是無法匹敵。勒索攻擊事件與其他類型的網絡安全事件不同,遭遇攻擊后要恢復業務連續性不僅僅是重新映射受感染的計算機、阻止惡意軟件的橫向傳播、以及修補被利用的漏洞那么簡單。即使你已經根除了惡意軟件和持久性機制的所有痕跡,系統仍然會殘留損壞。這種損害不僅僅是服務器崩潰,還有可能導致關鍵文件和系統永遠無法訪問。
2.認為擁有備份就可以不用支付贖金
在大多數情況下,要從這種嚴重的損壞中恢復過來,最簡單最迅速的方法就是在不連接網絡的狀態下還原最近的安全備份。但也必須認識到,擁有這樣的備份并不能百分百保證你能夠重新獲得對加密數據的訪問權限,除非支付贖金。盡管這種概率非常低,但即使是最安全的備份也可能失敗,并且也不總是對勒索軟件免疫。許多備份并沒有像理想狀態要求的那樣頻繁更新。無論你備份數據的方式或頻率如何,在勒索攻擊應急響應計劃中考慮到這點是至關重要的。
3.對是否支付贖金以及如何支付等問題未達成共識
如果你所在單位遭受勒索攻擊,并且無法恢復備份,你可能需要考慮支付贖金是否可行。由于這不是一個輕率的決定,通常需要高層管理人員或董事會參與決策,因此未雨綢繆的主動規劃至關重要。
關鍵利益相關者應提前召開會議,以確定單位對支付贖金的立場。如果付款并非不可行,那么利益相關方應該就付款需要考慮的標準和情境達成共識,例如:與攻擊有關的可用證據、不付款的潛在影響、贖金金額和攻擊者索款的有效性評估等。
確定付款方式也至關重要。誰負責采購加密貨幣?通過什么方式采購?誰負責和恐嚇者談判?在實際的攻擊中,這些問題可能非常難以解答,這就是為什么必須在勒索攻擊應急響應計劃中事先考慮并協商這些問題。
4.忽略內部利益相關方和外部相關方
盡管傳統安全及IT相關職能之外的關鍵利益相關者是任何成功的應急響應計劃不可或缺的因素,但由于許多單位孤立的組織架構,他們往往被忽視。例如,公關部門的決策者是非常重要的角色,他們需要處理與披露企業、機構事務、維護品牌聲譽、以及在攻擊期間和攻擊之后跟進媒體和客戶的質詢。
此外,法律與合規部門的決策者,以及執法聯絡官也是必不可少的。他們不僅可以幫助確保組織機構不會無意中觸犯法律——例如,如果選擇支付贖金,需要特別規避反洗錢法——而且還可以協助處理網絡安全相關保險的索賠。在許多情況下,執法部門還可以協助調查和確定攻擊的原因,并防止未來再發生類似的攻擊事件。
除執法部門之外,其他需要考慮的外部相關方是專門從事勒索攻擊響應的供應商或顧問。某些供應商可以處理由攻擊產生的一系列事務,包括與勒索者進行接觸和談判、驗證攻擊的合法性、獲取加密貨幣以及代表你進行支付解密。主動與此類供應商建立聯系,然后在勒索攻擊應急響應計劃中羅列相關供應商的聯系信息和業務范圍,有助于在發生攻擊時提升響應速度,優化補救措施。
5.不在模擬場景中驗證應急響應計劃
許多組織直到真正遭遇勒索攻擊時才意識到他們有多么措手不及。毫無疑問,一次攻擊所帶來的混亂和壓力會使人頭腦空白,更不用說溝通和執行計劃了。
勒索攻擊應急演練與消防演練或其他公共安全演練非常相似,與主要利益相關者一起進行現場模擬桌面演練是評估勒索攻擊應急響應計劃有效性的最佳方法。桌面演練的另一個重要好處是,它們可以檢驗各利益相關方是否掌握自己在應急響應計劃中所扮演的角色。顯然,在模擬場景中主動發現缺點加以改進,比在真實的攻擊中暴露缺點更好。
最后,必須意識到,即使擁有最強大的安全能力,仍然可能成為勒索攻擊的受害者。沒有誰是完全免疫的,這就是為什么要做最壞的打算。當真正面對攻擊時,擁有一個全面且驗證良好的應急響應計劃將為你帶來巨大的優勢。
本文由安數網絡原創,轉載請注明出處。
及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統
本文來源:
如涉及侵權,請及時與我們聯系,我們會在第一時間刪除或處理侵權內容。
電話:400-869-9193 負責人:張明
工商執照