被勒索病毒攻擊後,我做了5件事
勒索軟體已被許多人視為組織面臨的最具威脅性的網路安全風險,2019年,超過50%的企業受到勒索軟體攻擊,估計損失了115億美元。
僅在去年12月,包括佳能、Garmin、柯尼卡美能達和嘉年華在內的主要消費者公司就成為主要勒索軟體攻擊的受害者,從而導致支付數百萬美元以換取檔案訪問權。
那麼,遭遇勒索軟體攻擊後該怎麼辦?採取哪些步驟有效地恢復?以下是一些技巧分享。
意識到被攻擊了!檢測到感染
最具挑戰性的步驟就是,意識到出了問題。
越早檢測到勒索軟體攻擊,受影響的資料就越少。這也直接影響恢復環境所需的時間。不過現實往往是企業看到了贖金檔案後才認識到自己中招了,但損害已經造成。因此,擁有可以識別異常行為(例如異常檔案共享)的網路安全解決方案,可以幫助快速隔離勒索軟體感染並在其進一步蔓延之前將其阻止。
與基於簽名或基於網路流量的檢測相比,異常檔案行為檢測是檢測勒索軟體攻擊的最有效方法之一,並且有著最少的誤報。
“基於簽名”的檢測方法有一定作用,但需要勒索軟體是已知的。如果有可用的程式碼,則可以訓練軟體查詢該程式碼。但是,複雜的勒索軟體攻擊正在使用新的、未知的勒索軟體形式,因此訓練效果也不理想。建議使用基於AI / ML的方法,通過查詢行為來確定是否存在攻擊,例如檔案的快速連續加密。
此外,由於勒索軟體通常通過網路釣魚電子郵件攻擊——帶有危險檔案附件或超連結的電子郵件來影響組織。電子郵件等業務關鍵系統的良好防禦機制也是必須的。
及時止損
檢測到感染後,就可以隔離勒索軟體程序並阻止其進一步傳播。如果是在雲環境中,這些攻擊通常源自遠端檔案同步或由執行勒索軟體加密過程的第三方應用程式或瀏覽器外掛驅動的其他程序。只要挖掘並隔離勒索軟體攻擊的來源就能幫助我們遏制感染,從而減輕對資料的破壞。
為了快速有效,這個過程必須自動化。在識別出感染後,自動化程式會通過刪除可執行檔案或副檔名來阻止攻擊,並將受感染的檔案與環境的其餘部分隔離。
另外一種止損的方法是購買網路責任保險,保護企業(以及企業中的個人)免受基於網際網路的風險(如勒索軟體攻擊)以及與資訊科技基礎架構,資訊隱私,資訊治理責任以及其他相關風險相關的風險。
恢復受影響的資料
在大多數情況下,即使快速檢測到並遏制了勒索軟體攻擊,仍然會有一部分資料需要還原。這需要對資料進行良好的備份才能恢復到生產狀態。
一般來說,按照3-2-1備份最佳實踐,且必須將備份資料與生產環境分開。
- 保留所有重要檔案的3個副本,即一個主要檔案和兩個備份檔案
- 將檔案保留在2種不同的媒介型別上
- 異地維護1份副本
如果備份是在雲SaaS環境中進行的,則可以使用雲到雲的備份來進行“異地”儲存,減少備份資料與生產資料同時受到影響的概率。
資料備份,是從勒索軟體攻擊中恢復的救命稻草。
上報通知
當今大多陣列織需要遵循的許多合規性法規,都要求組織將違規行為通知監管機構,接下來則應通知當地執法部門。如果是關鍵領域的企事業單位,則在通知上報方面有著更加嚴格的準則。
再次檢查!測試訪問許可權
恢復資料後,需要測試對資料和任何受影響的關鍵業務系統的訪問許可權,以確保成功恢復資料和服務,一定要解決所有遺留的問題,然後再將整個系統重新投入生產。
如果在檢查過程中發現IT環境中的一些響應時間比平常慢,或者檔案大小大於正常大小,則可能表明資料庫或儲存中仍存在一些未被處理的威脅。
最後
有時最好的進攻才是好的防守。對於勒索軟體攻擊和重新獲得對關鍵檔案的訪問權,只有兩種選擇:對抗或乖乖支付贖金。
鑑於針對企業的勒索軟體攻擊的數量不斷增加,如果沒有適當的安全備份和檢測系統,後果將是災難性的。