关于勒索软件的警示与恢复策略
关键要点
- 勒索软件问题加剧 :勒索软件攻击的情况持续恶化,专业人士建议重要事项的处理方式。
- 合作与专业化 :在处理勒索软件攻击时,专业团队的介入至关重要,不应自行联系攻击者。
- 业务韧性与身份安全 :企业需关注如何保持业务韧性,以及身份安全在未来的重要性。
新奥尔良——勒索软件的情况不会改善!
这个大胆的声明是Semperis’混合身份保护(HIP)会议第二天主题演讲的开场白。Semperis的事件响应总监杰夫·维奇曼(JeffWichman)根据数据、经验以及对多年来勒索软件攻击幕后黑手的了解,做了此陈述。
维奇曼是一位资深的勒索软件谈判专家,他表示,最初他与攻击者谈判时,攻击者往往会随意提出一个赎金金额。但这种情况已经改变。
(注:上方视频为Semperis首席执行官共同创始人米奇·布雷斯曼(Mickey Bresman)接受SC媒体的保罗·瓦根塞尔(Paul
Wagenseil)采访,内容是在Semperis 2024混合身份保护(HIP)会议期间)
在他的职业谈判生涯结束时,攻击者的信息掌握得越来越精确。他们已阅读了目标公司的财务报表,清楚知道该公司能支付多少赎金。
维奇曼指出:“当你第一次得知自己遭遇勒索软件攻击时,不要联系或威胁攻击者。让专业人士来处理。通常情况下,我们能进行约50%的赎金谈判妥协,但前提是你不能激怒攻击者。”
卫士提醒
Semperis的Ready1总经理兼执行副总裁马蒂·蒙吉安(MartyMomdjian)与维奇曼同台,提醒IT安全专业人士在勒索软件攻击的紧急情况下务必保持冷静。
蒙吉安表示:“当你联系法律团队时,仅因为他们在场并不会自动获得保密特权。一切都是可被发现的——特别是重大过失的证据,因此务必小心。”
他还警告不要在恢复过程中试图改善安全措施。“事件响应团队、法律团队和IT员工的目标都集中在一个方向上:将所有事情恢复原样。”他说,“不要试图更改任何事情。”
维奇曼补充道:“在恢复期间不要做评估,因为保险公司可能会因此认定这不再是事件响应案例。”蒙吉安解释说,评估和改善的工作可以稍后进行。
“要准备好长期停工,即使恢复后仍会如此。”他说,“在这时你需要重新审视,避免相同情况再次发生。保险公司也会要求做到这一点。”
维奇曼对刚刚发现勒索软件攻击证据的组织提供了一些建议。“保护你所剩的可用资源。”他说。“记住,恢复和事件响应公司想要帮助你,但他们也是按时间收费,所以可能会拖延进程。联系你的保险公司——确保保险信息存放在一个安全的地方,防止被勒索软件访问。”
“要尽早与事件响应或取证公司建立联系。”蒙吉安补充说。“不要试图恢复得过于迅速,因为那样你可能会毁灭证据。”
“再强调一次,雇佣专业谈判人员非常重要,”维奇曼说。“但请一定不要联系攻击者,那样会让谈判变得困难万倍。”
重返商业
在关于勒索软件的讨论之后,主舞台上进行了一场关于业务韧性()的讨论,探讨其含义及网络安全防御者应给予其多大优先级。
“韧性应该是目标吗?”主持人,Allan Alford Consulting的总裁兼首席信息安全官艾伦·阿尔福德(Allan Alford)问道。
“应该是一个目标,但也许不是_唯一的_目标。”Alchemy Technology Group的首席信息安全官约翰尼·布里斯特(JohnnyBrister)回复。
“我不认为韧性意味着放弃任何东西。”梅奥诊所的技术韧性主任希瑟