关于勒索软件的警示与恢复策略

关键要点

新奥尔良——勒索软件的情况不会改善！

这个大胆的声明是Semperis’混合身份保护（HIP）会议第二天主题演讲的开场白。Semperis的事件响应总监杰夫·维奇曼（JeffWichman）根据数据、经验以及对多年来勒索软件攻击幕后黑手的了解，做了此陈述。

维奇曼是一位资深的勒索软件谈判专家，他表示，最初他与攻击者谈判时，攻击者往往会随意提出一个赎金金额。但这种情况已经改变。

(注：上方视频为Semperis首席执行官共同创始人米奇·布雷斯曼（Mickey Bresman）接受SC媒体的保罗·瓦根塞尔（Paul
Wagenseil）采访，内容是在Semperis 2024混合身份保护（HIP）会议期间)

在他的职业谈判生涯结束时，攻击者的信息掌握得越来越精确。他们已阅读了目标公司的财务报表，清楚知道该公司能支付多少赎金。

维奇曼指出：“当你第一次得知自己遭遇勒索软件攻击时，不要联系或威胁攻击者。让专业人士来处理。通常情况下，我们能进行约50%的赎金谈判妥协，但前提是你不能激怒攻击者。”

Semperis的Ready1总经理兼执行副总裁马蒂·蒙吉安（MartyMomdjian）与维奇曼同台，提醒IT安全专业人士在勒索软件攻击的紧急情况下务必保持冷静。

蒙吉安表示：“当你联系法律团队时，仅因为他们在场并不会自动获得保密特权。一切都是可被发现的——特别是重大过失的证据，因此务必小心。”

他还警告不要在恢复过程中试图改善安全措施。“事件响应团队、法律团队和IT员工的目标都集中在一个方向上：将所有事情恢复原样。”他说，“不要试图更改任何事情。”

维奇曼补充道：“在恢复期间不要做评估，因为保险公司可能会因此认定这不再是事件响应案例。”蒙吉安解释说，评估和改善的工作可以稍后进行。

“要准备好长期停工，即使恢复后仍会如此。”他说，“在这时你需要重新审视，避免相同情况再次发生。保险公司也会要求做到这一点。”

维奇曼对刚刚发现勒索软件攻击证据的组织提供了一些建议。“保护你所剩的可用资源。”他说。“记住，恢复和事件响应公司想要帮助你，但他们也是按时间收费，所以可能会拖延进程。联系你的保险公司——确保保险信息存放在一个安全的地方，防止被勒索软件访问。”

“要尽早与事件响应或取证公司建立联系。”蒙吉安补充说。“不要试图恢复得过于迅速，因为那样你可能会毁灭证据。”

“再强调一次，雇佣专业谈判人员非常重要，”维奇曼说。“但请一定不要联系攻击者，那样会让谈判变得困难万倍。”

在关于勒索软件的讨论之后，主舞台上进行了一场关于业务韧性（）的讨论，探讨其含义及网络安全防御者应给予其多大优先级。

“韧性应该是目标吗？”主持人，Allan Alford Consulting的总裁兼首席信息安全官艾伦·阿尔福德（Allan Alford）问道。

“应该是一个目标，但也许不是_唯一的_目标。”Alchemy Technology Group的首席信息安全官约翰尼·布里斯特（JohnnyBrister）回复。

“我不认为韧性意味着放弃任何东西。”梅奥诊所的技术韧性主任希瑟