勒索病毒仍旧肆虐横行
2017年,“WannaCry”勒索病毒在全球爆发,给多个国家地区的计算机用户造成了灾难性损失。两年过去了,不同种类的勒索病毒及变种仍旧在全球肆虐横行,所到之处哀鸿遍野。
以美国为例,美国地方政府的信息系统一直是勒索病毒感染的重灾区,自2013年以来,至少有170个县、市或州政府系统遭遇了勒索软件攻击,仅2019年就已发生了22起攻击,攻击数量仍持续激增。
据德克萨斯州信息资源部(DIR)消息,8月16日,德克萨斯州23个小城镇的计算机系统遭到勒索病毒攻击,具体受攻击城镇的名单未公开,攻击者要求250万美元的比特币赎金。
然而,DIR在声明中表示,并未向攻击者支付任何赎金。国家运营中心在袭击当日已启动应急响应工作,到8月23日,所有受影响的关键业务已恢复正常。
无独有偶,马萨诸塞州东南部港口城市新贝德福德市市长9月4日透露,该市在今年7月5日曾遭到Ryuk勒索软件攻击。当时黑客开出530万美元的解密赎金,该市曾尝试与黑客砍价,表示愿意支付保险赔付金40万美元,但遭到黑客拒绝,随后该市决定自行恢复被加密的系统。
下面汇总了美国近年一些典型的勒索软件攻击事件的损失情况 :
2018年3月,佐治亚州,亚特兰大市,拒绝支付赎金,花费超过950万美元恢复系统。
2018年10月,康涅狄格州,West Haven,支付2000美元赎金。
2019年3月,佐治亚州,杰克逊县,支付40万美元赎金。
2019年5月,马里兰州,巴尔的摩市,拒绝支付赎金,花费超过1800万美元恢复系统。
2019年6月,佛罗里达州,里维埃拉海滩,支付60万美元赎金。
2019年6月,佛罗里达州,莱克城,支付46万美元赎金。
2019年7月,印第安纳州,拉波特县,支付超过13万美元赎金。
2019年7月,马萨诸塞州,新贝德福德市,讨价还价后遭拒,恢复成本未知。
2019年8月,德克萨斯州,23个城镇,拒绝支付赎金,恢复成本未知。
理想很丰满,现实很骨感
频发的勒索攻击令美国各州市长们焦头烂额,苦不堪言,他们决定团结起来,面对外部威胁统一阵线。2019年7月10日,1400多位市长在第87届美国市长会议上一致通过了一项决议,承诺不再为勒索攻击支付赎金。
议案表示,尽管勒索攻击可能导致数百万美元的经济损失和数月的数据修复工作。但向攻击者支付赎金,让其获取经济利益,实际上是助长了他们的攻击行为。因此,市长会议决议不向发起勒索攻击的黑客支付任何赎金。
这也与FBI网络安全专家的立场一致,他们通常建议除非没有其他方法可以恢复数据,否则不要支付赎金,并敦促市政当局建立基本的数据备份程序。
有趣的是,就在该项决议通过后几天,印第安纳州拉波特县遭遇勒索软件攻击,却向黑客支付了超过13万美元赎金用以解密数据。看来,理想很丰满,现实很骨感,任何不基于现实情况的口号都是空谈。
当遭遇勒索攻击,业务系统崩溃瘫痪,上亿级数据危在旦夕,绝对不是一条非黑即白的逻辑可以指导决策的。需要经过细节的周密考量、成本的精密计算,得出最优解决方案。只有事前通过模拟真实情境进行推演,协商各个环节各种情形下的应对策略,制定一个完备的应急响应计划,才能打一场有准备的战。
勒索攻击应急响应计划应避免哪些陷阱?
以下是制定勒索攻击应急响应计划时的一些常见陷阱:
1.使用传统的安全事件应急响应计划,而不是为勒索攻击量身定制的应急响应计划
传统的安全事件应急响应计划与勒索攻击专用应急响应计划是无法匹敌。勒索攻击事件与其他类型的网络安全事件不同,遭遇攻击后要恢复业务连续性不仅仅是重新映射受感染的计算机、阻止恶意软件的横向传播、以及修补被利用的漏洞那么简单。即使你已经根除了恶意软件和持久性机制的所有痕迹,系统仍然会残留损坏。这种损害不仅仅是服务器崩溃,还有可能导致关键文件和系统永远无法访问。
2.认为拥有备份就可以不用支付赎金
在大多数情况下,要从这种严重的损坏中恢复过来,最简单最迅速的方法就是在不连接网络的状态下还原最近的安全备份。但也必须认识到,拥有这样的备份并不能百分百保证你能够重新获得对加密数据的访问权限,除非支付赎金。尽管这种概率非常低,但即使是最安全的备份也可能失败,并且也不总是对勒索软件免疫。许多备份并没有像理想状态要求的那样频繁更新。无论你备份数据的方式或频率如何,在勒索攻击应急响应计划中考虑到这点是至关重要的。
3.对是否支付赎金以及如何支付等问题未达成共识
如果你所在单位遭受勒索攻击,并且无法恢复备份,你可能需要考虑支付赎金是否可行。由于这不是一个轻率的决定,通常需要高层管理人员或董事会参与决策,因此未雨绸缪的主动规划至关重要。
关键利益相关者应提前召开会议,以确定单位对支付赎金的立场。如果付款并非不可行,那么利益相关方应该就付款需要考虑的标准和情境达成共识,例如:与攻击有关的可用证据、不付款的潜在影响、赎金金额和攻击者索款的有效性评估等。
确定付款方式也至关重要。谁负责采购加密货币?通过什么方式采购?谁负责和恐吓者谈判?在实际的攻击中,这些问题可能非常难以解答,这就是为什么必须在勒索攻击应急响应计划中事先考虑并协商这些问题。
4.忽略内部利益相关方和外部相关方
尽管传统安全及IT相关职能之外的关键利益相关者是任何成功的应急响应计划不可或缺的因素,但由于许多单位孤立的组织架构,他们往往被忽视。例如,公关部门的决策者是非常重要的角色,他们需要处理与披露企业、机构事务、维护品牌声誉、以及在攻击期间和攻击之后跟进媒体和客户的质询。
此外,法律与合规部门的决策者,以及执法联络官也是必不可少的。他们不仅可以帮助确保组织机构不会无意中触犯法律——例如,如果选择支付赎金,需要特别规避反洗钱法——而且还可以协助处理网络安全相关保险的索赔。在许多情况下,执法部门还可以协助调查和确定攻击的原因,并防止未来再发生类似的攻击事件。
除执法部门之外,其他需要考虑的外部相关方是专门从事勒索攻击响应的供应商或顾问。某些供应商可以处理由攻击产生的一系列事务,包括与勒索者进行接触和谈判、验证攻击的合法性、获取加密货币以及代表你进行支付解密。主动与此类供应商建立联系,然后在勒索攻击应急响应计划中罗列相关供应商的联系信息和业务范围,有助于在发生攻击时提升响应速度,优化补救措施。
5.不在模拟场景中验证应急响应计划
许多组织直到真正遭遇勒索攻击时才意识到他们有多么措手不及。毫无疑问,一次攻击所带来的混乱和压力会使人头脑空白,更不用说沟通和执行计划了。
勒索攻击应急演练与消防演练或其他公共安全演练非常相似,与主要利益相关者一起进行现场模拟桌面演练是评估勒索攻击应急响应计划有效性的最佳方法。桌面演练的另一个重要好处是,它们可以检验各利益相关方是否掌握自己在应急响应计划中所扮演的角色。显然,在模拟场景中主动发现缺点加以改进,比在真实的攻击中暴露缺点更好。
最后,必须意识到,即使拥有最强大的安全能力,仍然可能成为勒索攻击的受害者。没有谁是完全免疫的,这就是为什么要做最坏的打算。当真正面对攻击时,拥有一个全面且验证良好的应急响应计划将为你带来巨大的优势。
本文由安数网络原创,转载请注明出处。
及时掌握网络安全态势 尽在傻蛋网络安全监测系统
本文来源:
如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。
电话:400-869-9193 负责人:张明
工商执照