在勒索软件袭击您的企业之前要问的问题

过去，勒索软件攻击会以一台电脑为目标，向受害者索要500美元. 但现在, 我们在自己的网络事件响应bet9平台游戏和公开报告的事件中所看到的, 攻击者愿意多花一点时间 完全破坏网络 在启动勒索软件之前.

为什么要到处索要500美元的赎金, 当攻击者能够破坏并加密整个网络时, 勒索受害者100万美元或更多? 话虽如此，人们可能会认为较小的组织是不那么诱人的目标. 事实是, 安全资源有限的组织是最容易攻击的目标，并且经常成为攻击者的目标. 在勒索软件或其他恶意软件攻击之前，组织应该问自己以下问题, 为什么.

如果攻击者具有与您的IT团队相同的网络访问级别, 他们能摧毁吗?, 覆盖或以其他方式损坏现有备份?

攻击者专门针对备份进行攻击的情况并不少见. 如果组织的所有备份都在网络上或可从网络访问, 他们是潜在的目标. 耐受勒索软件的备份解决方案应确保常规备份不能被覆盖, 即使攻击者已经获得了网络的所有管理员密码. 这可能意味着包括磁盘/磁带上的定期备份, 哪些是轮转的, 或者使用允许备份归档的技术，以防止任何人覆盖现有备份的可能性. 如果你的生产数据被勒索软件加密, 备份可能是恢复数据的唯一选择, 因此，安全备份对于任何规模的组织都极其重要.

您是否有定期测试的事件响应程序?

IT和安全团队总是面临时间和预算的挑战, 所以这是可以理解的, 缺乏事件响应程序, 未测试的, 很少更新, 或不存在. 如果你有一个事件响应程序, 定期用桌面练习测试它，并验证它的有效性.

如果事件超出了你的内部处理能力，你是否有可以求助的资源?

有限的事件响应程序可能和不存在的程序一样糟糕. 对于没有或有限的事件响应程序的组织, 你应该, 至少, 接触, 与两个或更多能够快速响应您所在地理区域内事件的事件响应提供商建立并维护关系. 这样，如果发生勒索软件之类的事件，你就有人可以打电话给你了. 即使你有应急程序, 你应该还有外界的帮助，你可以拨打紧急电话, 时间敏感的情况超出了你的控制, 勒索软件通常是什么情况.

您的业务可以在没有IT资源的情况下运行数天或数周吗?

这是我们在侵略性勒索软件攻击中看到的真实情况, 是否所有或几乎所有由IT提供的资源都不可用, 在某些情况下会持续几天, 甚至更久. 针对这种情况的规划应该是灾难恢复计划的一部分, 但正如我们之前讨论的，当涉及到事件响应和灾难恢复时, 许多组织没有一个健全的计划, 或者任何计划, 因为资源已经很紧张了.

组织范围内的勒索软件攻击就像龙卷风一样，影响计算机系统并袭击您拥有的每个位置.

没有IT系统(电子邮件, ERP, 数据库, 自定义应用程序, 电话系统, 等.)? 要多久?? 制定计划.

你的杀毒软件效果如何?

许多攻击者通过针对普通用户的网络钓鱼邮件进入, 哪些是经常被组织忽视的低价值目标. 这些低价值的目标是攻击者的一个很好的切入点. 事实上，我们大多数感染勒索软件的客户都安装了杀毒软件. 可悲的是, 杀毒软件, 尤其是传统的杀毒软件, 是攻击者容易克服的障碍吗. 这是一个应该考虑更新安全控制的领域.

经过适当测试和调优的端点检测和响应(EDR)解决方案可以提供比传统防病毒更高级别的攻击保护，以及更多的检测和日志记录功能. EDR解决方案并不完美. 尽管在端点保护方面有很大的改进, 配置不当的EDR解决方案可能不如传统的防病毒有效. 不管你用什么，都要测试它的有效性. 施耐德唐斯经常执行端点安全有效性测试，作为全面渗透测试的一部分, 其中包括测试防病毒和/或EDR解决方案.

如果你的整个网络都被破坏了, 包括你的备份, 为了解密这些数据，你愿意冒多大的风险?

我们一般不会就是否应该考虑支付赎金提供指导. 联邦调查局和其他机构通常建议不要支付赎金, 因为它鼓励攻击者继续他们的工作，并且不能保证您实际上能够解密数据, 即使你付钱. 如果组织没有备份, 或者备份已被攻击者加密, 一些组织会认为支付赎金是值得的. 这个问题现在值得向高级管理层或董事会提出.

如果你付了赎金并且能够解密你的数据, 注意:支付赎金并不能保证攻击者真的离开了你的网络, 而且这并没有解决导致这次成功攻击的任何安全问题. 因此，这些弱点可能会被同一个攻击者或新的攻击者再次利用. 不要在恢复数据时停止事件响应工作. 确保攻击者不在, 分析发生了什么，并解决导致攻击成功的问题.

您是否定期通过模拟攻击来评估安全控制的性能?

网络安全审计很棒, 但是不要向您展示如果攻击者获得对您的网络的访问权限会发生什么. 渗透测试, 紫队练习，红队评估 是否有方法对您的网络进行测试，看看它实际上如何抵御攻击. 从网络安全的角度来看，定期执行这些评估并修复发现的组织是我们合作过的最成熟的组织，也是最能抵御成功攻击的组织.

如果你必须这样做，你会如何重建你的整个网络?

这是一个可怕的想法, 但是，尽管一些妥协是有限的, 另一些则由于性质过于广泛，因此有必要对网络进行全面重建. 我想不出任何组织有内部能力快速重建其网络上的每个系统. 通常，它需要外界的帮助. 谁将提供这种帮助? 许多事件响应提供程序将帮助识别和阻止攻击, 但不提供重建网络所需的现场IT级支持. 施耐德唐斯的网络安全团队在帮助客户找出坏人在做什么方面有着丰富的经验, 把他们赶出去, 确定他们访问或泄露了什么, 并在需要时协助您的组织进行系统恢复.

这些都是任何组织在事件发生之前应该考虑的问题. 做好准备可以为企业节省数百万美元，并防止其他难以衡量的损失, 比如名誉受损以及对客户和董事会的影响. 施耐德唐斯风险咨询bet9平台游戏和网络安全团队 是否具有帮助解决本文中提出的所有问题的经验. 请随时与我们的团队联系，讨论您的安全咨询需求.