檢測、隔離和談判：改進對勒索軟件的威脅準備和響應

勒索軟件攻擊和網絡攻擊事件帶來的風險可能已經成為企業安全團隊討論的主要話題，這是很自然的，因為勒索軟件攻擊事件在過去十年激增。這些數字令人震驚，并且非常清楚地表明，對于各行業各種規模的企業來說，勒索軟件攻擊都是難以忽視的威脅。

因此，積極保護公司資產和降低網絡風險是當今企業的一項必要投資。如果沒有制定威脅準備和應對計劃，勒索軟件或網絡勒索攻擊事件造成的破壞可能會對企業的業務產生重大的影響，將導致數據丟失、無法提供服務、運營中斷、信任和競爭市場優勢的喪失，以及其他代價高昂且持久的影響。 

改進威脅準備

當企業遭到網絡勒索攻擊時，必須快速確定其攻擊的性質和程度，然后執行響應和減輕攻擊的計劃。因為勒索軟件攻擊持續的時間越長，對企業開展業務的能力造成的潛在損害就越大。 

雖然很多企業的最終目標是全面預防攻擊，但緩解攻擊是一個更有可能(或許也更合理)的目標，而且企業應該優先考慮準備和預防。預防措施包括實施最佳實踐和措施，以阻止勒索攻擊事件的發生，同時也使企業在遭受攻擊時盡可能少地承受損害。 

勒索軟件的準備工作可以分為三個主要部分：準備、檢測和隔離。 

(1)準備 

企業對勒索軟件事件的響應能力直接受到其隨時可以使用的工具的影響，這使得企業的準備工作成為其成功應對勒索軟件攻擊的關鍵部分。良好的準備工作有兩方面的作用：一是培訓員工如何防止攻擊，二是為了萬一成為攻擊目標時應該采取什么行動而提供指導。 

以下是企業在制定針對網絡勒索攻擊的計劃時可能希望包括的一些內容： 

• 創建事件響應劇本，其中包含與響應勒索軟件攻擊相關的所有相關信息。 
• 定期對員工進行強制性培訓，教育他們如何防止網絡攻擊者侵入企業系統實施網絡攻擊。所涵蓋的主題可能包括密碼安全的重要性、電子郵件釣魚的警告標志以及在線安全的最佳實踐。 
• 為員工提供報告可疑活動的協議和資源，并在他們認為存在需要解決的風險時表達擔憂，從而幫助他們防止勒索軟件攻擊。 

(2)檢測 

檢測是指用于注意正在發生或已經發生勒索軟件攻擊的工具、技術、人員和流程，并在網絡中識別其來源。具體檢測子組件包括： 

• 擁有一個強大的平臺系統，可以監控網絡，并在發生可疑活動時發出警報，例如出現已知勒索軟件文件擴展名或快速重命名大量文件，這可能表明這些文件正在被加密。 
• 利用有關特定勒索軟件行為者/團體以及戰術、技術和程序(TTP)的易于獲取和更新的知識，為企業的威脅情報計劃提供支持，包括技術情報，以更好地預測潛在的風險漏洞和攻擊。 
• 實現多因素身份驗證，以減少勒索者獲得未經授權訪問企業系統的可能性。 

(3)隔離 

為了限制其傳播，在企業意識到成為勒索軟件攻擊的目標之后，隔離應該成為其首要任務。當每一秒都很重要時，以一種分離不同網絡的方式設計系統會非常有效。隔離的具體措施包括： 

• 限制每個員工只能訪問他們工作中必須使用的文件和數據。 
• 盡快關閉受感染的系統，并完全斷開與企業網絡的連接。 
• 禁止在設備之間傳播潛在有害數據的方式，其中包括VPN、NAC和AD-user。 

響應勒索軟件攻擊 

一旦企業成功地捕獲并阻止了勒索軟件攻擊的進程，有一個適當的響應計劃是至關重要的，以幫助節省決策時間，并控制情緒反應，這在潛在的緊急情況下可能會發生。通常很難確定勒索軟件攻擊的范圍，被加密的數據越多，了解攻擊的性質所需的時間可能就越長。 

良好的響應計劃通常是經過充分演練的，在需要時很容易實施，并且基于企業可用的資源。它有幾個部分，其中包括指定處理每個步驟的各方;將直接與勒索攻擊者溝通和談判的各方聯系信息;以及與處理贖金支付的法律合規性相關的最新協議。但在這些問題中，企業的計劃中需要解決的最關鍵的問題之一是談判的處理。 

談判 

談判包括與威脅行為者的接觸，并要求達成任何形式的妥協，無論是否涉及支付贖金。建議使用熟悉威脅行為者參與、勒索軟件攻擊和勒索軟件受害者法律義務的專業人員;了解當前的網絡勒索趨勢、威脅行為者和威脅行為者群體也很重要。如果在整個過程中保持透明并有可以幫助客戶達成目標的談判者，將極大地促進談判的順利進行，并且更有可能以受害方滿意的方式解決問題。 

當然，并沒有一個萬能的談判方法。然而，如果企業發現自己處于這種最糟糕的情況，那么必須做好一些基本準備。 

• 對所有與勒索軟件行為者的聊天和通信進行保密，并限制內部訪問者與威脅行為者的通信記錄。如果企業不確定威脅參與者是否有權訪問其電子郵件通信，則建議切換到非基于網絡的通信。 
• 為尋求專業的談判人員做好準備。在這里強調的是，企業內部具有自己的專業談判人員的重要性，需要注意的是，許多勒索軟件攻擊者都有自己的具有談判背景的專業人員，以使被攻擊的企業遵守勒索要求。 
• 建議盡早讓執法部門參與勒索軟件攻擊的調查。這不僅可以幫助企業確保在法律范圍內處理勒索軟件攻擊事件，而且執法部門有時還可以洞察特定的威脅行為者的行為，幫助企業進行談判并改善其所處的困境。

更大的壓力 

除了勒索軟件攻擊本身之外，威脅行為者還會使用其他手段來對談判施加壓力，其中包括： 

• 實施DDoS攻擊。 
• 直接向員工發送有關攻擊的電子郵件。 
• 聲稱擁有實際上并沒有被竊取的數據，以讓情況看起來更加糟糕。 
• 聯系受到攻擊的企業高管或客戶，讓他們意識到已經遭到勒索軟件攻擊。 
• 在面向公眾的論壇或社交媒體上發布敏感的個人身份信息(PII)。 
• 留下后門，使勒索軟件攻擊者有可能對同一企業進行第二次攻擊。 

成為網絡勒索攻擊的受害者既有壓力又有挑戰性。為了減輕對企業的業務和客戶的影響，必須準備好應對任何潛在的額外因素，這些因素可能會加劇勒索軟件攻擊，并長期損害受害方的聲譽和收入。