網絡攻擊發生后應立馬采取的五個步驟

為了制造社會或政治混亂，網絡攻擊的流行程度、嚴重程度和破壞性都在與日俱增。據比特梵德的《2020年威脅形勢報告》聲稱，全球報告的勒索軟件總數比上一年猛增了485%。

正如企業擴大規模一樣，黑客們也在提高攻擊效率，設計新方法以實施更嚴重的攻擊。泄露軟件帶來了一種新的恐嚇，犯罪分子威脅在網上公布高度敏感的數據。

政府撐腰的攻擊正在加大通過軟件漏洞部署數據擦除惡意軟件的力度。2017年的NotPetya攻擊影響了60個國家的數千家跨企業，包括全球物流巨頭馬士基。

近期勒索軟件攻擊

提到最常見的網絡攻擊形式：勒索軟件，贖金動輒數百萬美元。應對的平均成本翻了一番，2021年增加了185萬美元。在金額最大的一次攻擊中，網絡犯罪分子索要5000萬美元的贖金，才能提供解密密鑰。

2021年5月，Colonial燃料管道攻擊導致完全停運六天，影響美國六個州。由于這條輸油管向東海岸供應近50%的燃料，勒索軟件攻擊導致加油站燃油告急，恐慌的買家排起了長隊，油價漲到七年來的最高水平。美國聯邦調查局（FBI）證實，Darkside軟件曾被用于訪問行政和財務系統。為了盡快恢復運營，Colonial支付了75個比特幣的贖金（相當于500萬美元）。

黑客逐漸青睞大獵殺：畢竟大公司已投保、有能力支付更高的贖金。2020年7月，佳明（Garmin）遭到了一種新型勒索軟件：WastedLocker的攻擊。它加密了內部系統，關閉了面向消費者的服務，包括Garmin Connect和Strava。佳明最后向俄羅斯的Evil Corp支付了1000萬美元的贖金，這個網絡犯罪組織專門以《財富》500強公司和金融機構為目標。

但受害者不全是已投保、有預算的大公司。醫療保健領部門常常資金和資源不足，面臨高風險，不僅僅關乎錢財。伺機下手的攻擊者知道，受害者寧愿支付較低的贖金，也不愿置生命于險境中。2020年，85%得逞的勒索軟件攻擊針對有更重大問題要處理的醫療保健部門!

據Sophos聲稱，2020年48%的英國組織遭到過勒索軟件攻擊。連那些安裝了反惡意軟件的軟件也未能幸免。據估計，75%的受害者在受感染的機器上運行最新的終端保護系統。

關于網絡攻擊的許多報道強調預防的重要性。然而隨著更復雜的攻擊越來越頻繁，發現網絡攻擊后知道立馬做什么非常重要。

檢測、保護和恢復

1. 隔離

如果的電腦屏幕突然變紅，你可能會本能地去按電源鍵，然而這么做會毀掉重要的證據。報告事件有助于執法機構了解犯罪活動，還可以幫助處于同樣困境的其他組織。報告不僅是法律要求，執法機構還可以提供切實指導。英國信息專員辦公室的職責不僅僅是開罰單。

最重要的做法是將設備立馬從網絡上斷開。拔掉網線，記得關閉Wi-Fi。這可以防止信息被反饋給犯罪分子、部署進一步的惡意代碼。這可以阻止橫向移動：NotPetya等行動神速的蠕蟲尋找與其他設備的連接，迅速傳播，破壞數據。

確保將所有受感染的設備、共享存儲、外置硬盤和云存儲與網絡隔離開來。在遏制攻擊時，IT技術和運營技術相隔離很關鍵。

2. 識別

限定警報，為此應該詢問誰、什么、何地、何時、為何及如何。

如果不清楚攻擊是如何發生的，恢復的機會就比較小。這是什么類型的攻擊？是感染嗎？還是竊取數據的黑客活動？會不會是惡意的內部人員所為？

是否有多個入口點？如果報告了網絡釣魚攻擊，其他人是否打開了附件？這真的是一起孤立事件嗎？誰都不希望最終面臨的是不必要的全面性關閉。

記錄發生的情況，使用勒索軟件標識符工具對病毒進行分類。它是如何傳播的？它加密了什么文件？惡意代碼是否可能駐留在系統上的多個位置？始終確保在未受感染的網絡上開展研究工作。

一旦確切知道了自己在處理什么，就可以協調采取適當的響應。

3. 溝通

坦誠的溝通在任何網絡事件中都很重要。雖說攻擊不是告訴高級管理層的好消息，但讓他們意識到攻擊的規模，并一起制定關鍵的行動方案至關重要。

黑客在傳輸數據或安裝惡意代碼之前通常花30天至90天的時間來探究被攻擊的系統。因此，不要讓犯罪分子知道你發現了其活動。他們可能在監視你的網絡或電信系統，尋找被發現和緩解的跡象，所以應使用采用端到端加密的帶外通信網絡工具，比如個人郵件或WhatsApp。

坦誠相待是如今客戶很看重的價值觀；要意識到危機發生后，坦誠的溝通實際上可以鞏固聲譽。

4 . 確定優先級，制定計劃

最初24小時內做出的決策決定著恢復的成敗。緊迫的情形可能導致本能反應和規劃不充分，這可能帶來進一步的問題。

應根據影響、緊迫性和業務優先級，認真規劃響應行動。哪些機密數據需要迅速被保護起來？哪些系統需要先重建，以確保業務可以安全恢復？

給每個人分配任務，逐一解決問題。盡量不要讓整個團隊都參加例會，這樣他們才有足夠的時間和空間來有效地重建系統。面對壓力，人難免會出錯，因此團隊的福祉最重要。團隊是迅速作出有效響應的最重要資源。

5. 恢復

那么，遭到勒索軟件攻擊后恢復選項有哪些？

• 支付贖金。

執法機構和惡意軟件專家不建議支付贖金，因為眾所周知這會增加攻擊的頻率。Coreware的2021年第一季度勒索軟件季度報告顯示，銷毀數據和清除數據的攻擊顯著增加，即使在支付贖金之后。

• 用惡意軟件清除軟件清除感染。

雖然刪除軟件對已知的威脅有一定的成效，但完全依賴這種方法是最大的信息技術資產處置（ITAD）錯誤之一。越來越復雜的勒索軟件層出不窮，所以軟件刪除服務不可能保證貴公司完全不用擔心被再次感染。

• 進行全面的ITAD數據銷毀。

好消息是不需要支付贖金或購買昂貴的軟件。IT資產處置服務提供全面的數據清除，以確保沒有惡意軟件殘留。ITAD合作伙伴可以提供快速響應，清理被感染的系統，重新格式化硬盤，銷毀任何臨近報廢的IT資產。數據清除服務了解網絡攻擊后銷毀數據的重要性，甚至可以執行安全的現場數據清除，以縮短停運時間。

有的犯罪分子絕不罷休；一旦識別到威脅，就不應該魯莽行事。專業的數據銷毀服務可保證所有設備全面消毒。為每一個單獨的設備或存儲介質設備提供IT資產處置認證，以表明ITAD監管鏈。

企業再也不一定被勒索。不僅可以恢復，外包ITAD供應商還可以幫助快速恢復業務。本地備份也極有可能被加密，但只要在攻擊期間從網絡完全斷開，就可以使用異地備份。有了更多的資源幫助從來源可信的介質重新安裝操作系統和軟件應用程序，可以盡快恢復業務運行，減少中斷和業務損失，并將恢復成本降至最低。