2021年5月7日，美國最大的燃油管道商Colonial Pipeline遭到勒索軟件攻擊，由于Colonial Pipeline負責(zé)美國東岸多達45%的燃料供應(yīng)，因此該攻擊事件導(dǎo)致該公司暫停了所有的管道作業(yè)網(wǎng)絡(luò)，并于晚間關(guān)閉一條主要的燃料傳輸管道。

　　5月底，美國最大的牛肉生產(chǎn)商JBS USA也遭到了網(wǎng)絡(luò)勒索攻擊，致使美國和全球的相關(guān)企業(yè)工廠都被迫關(guān)閉。

　　本月初，勒索軟件團伙通過遠程補丁管理和監(jiān)控軟件 Kaseya VSA 對托管服務(wù)提供商（MSP）及其客戶發(fā)起大規(guī)模供應(yīng)鏈攻擊，影響了全球一千多家企業(yè)，瑞典連鎖超市Coop也被迫關(guān)閉了大約500家商店。

　　可以說，近幾個月來，勒索軟件攻擊對于企業(yè)而言簡直就像一場揮之不去的夢魘，也引起了公眾的關(guān)注甚至立法者的注意。

　　美國一些政府官員就開始呼吁國會和政府禁止受害組織向威脅行為者支付贖金。此類禁令旨在將FBI的建議——不要向勒索軟件攻擊者付款，以免變相鼓勵更多的此類行為——編成法典。

　　事實上，支付或不支付贖金一直是一個爭論不休的問題。雖然大多數(shù)安全專家反對支付贖金，認為這等于是變相鼓勵勒索犯罪的行為，但在某些情況下，支付贖金對于企業(yè)來說可能利大于弊。

　　Eze Castle Integration公司安全咨詢主管Steven Schwartz表示，

　　每個人都知道應(yīng)該對勒索說‘不’，但具體怎么做還要取決于現(xiàn)實情況。歸根結(jié)底，企業(yè)需要業(yè)務(wù)恢復(fù)正常運行。Colonial 最終支付了近 500 萬美元的贖金來解密其計算機。這實際上更像一個商業(yè)決策——他們需要讓自己的管道恢復(fù)運行，不然帶來的損失和后果都不堪設(shè)想。

　　遺憾的是，付款還只是在勒索軟件攻擊的脅迫下需要解決的眾多問題之一。以下是組織在勒索軟件響應(yīng)方面常犯的一些錯誤：

　　錯誤1：未能遏制惡意軟件

　　許多組織開始關(guān)注如何在采取必要步驟確保惡意軟件不會進一步傳播之前恢復(fù)加密數(shù)據(jù)。

　　Schwartz表示，

　　企業(yè)組織做錯的第一件事就是沒有確保他們完全根除原始攻擊媒介，并對其開始的根本原因進行分析及確認其沒有進一步擴散。您必須確保清理了自己的系統(tǒng)環(huán)境，以免二次淪為同一攻擊的受害者并面臨支付雙重贖金的風(fēng)險。

　　錯誤2：缺乏可靠的響應(yīng)計劃

　　企業(yè)組織應(yīng)該在攻擊發(fā)生之前盡早制定事件響應(yīng)計劃，并涵蓋安全團隊在發(fā)現(xiàn)攻擊后應(yīng)該立即采取的步驟。它也應(yīng)該召集需要聯(lián)系的必要利益相關(guān)者。

　　Digital Guardian公司CISO兼托管安全服務(wù)副總裁Tim Bandos稱，

　　缺乏正式的事件響應(yīng)流程會導(dǎo)致安全團隊做出很多下意識的決定，這會讓事情變得更糟。沒有任何組織可以免受勒索軟件攻擊，因此做好準備至關(guān)重要。

　　錯誤3：備份位置不當(dāng)

　　勒索軟件團伙越來越多地在網(wǎng)絡(luò)中移動，以在部署惡意軟件之前查找備份并銷毀它們。如果您的備份存儲不當(dāng)，那幾乎可以等同于沒有備份。

　　Bando表示，企業(yè)組織自信地認為，他們可以從備份中恢復(fù)所有數(shù)據(jù)而無需支付高額贖金?？紤]到備份需要在異地存儲且不連接到網(wǎng)絡(luò)，所以不會受到感染，但不幸的是，情況并非總是如此。由于備份位置不當(dāng)而無法恢復(fù)數(shù)據(jù)的案例比比皆是。除此之外，即便是備份完好無損，想要恢復(fù)所有數(shù)據(jù)也可能需要花費很長時間，由此造成的經(jīng)濟損失同樣不容小覷。

　　錯誤4：談判失誤

　　與是否支付贖金一樣，是否協(xié)商贖金的費用也是一個爭論點。

　　NTT Data Services安全服務(wù)副總裁Sushila Nair表示，如果一個組織決定支付贖金，那么他們絕對應(yīng)該去協(xié)商價格。情報公司Intel471數(shù)據(jù)顯示，Darkside勒索軟件受害者就曾將勒索贖金從3000萬美元談到了1400萬美元。

　　然而，Digital Guardian公司的Bandos并不提倡談判。他說，

　　我們在歷史上已經(jīng)看到，試圖就解密密鑰的支付價格進行談判會適得其反。這可能導(dǎo)致勒索軟件運營商將其價格提高至初始金額的兩倍。我建議避免談判或至少聘請專門處理此類情況的第三方公司，畢竟專業(yè)人做專業(yè)事。

　　錯誤5：單獨行動

　　正如Digital Guardian的Baldos 所說，尋求幫助總是最好的。雖然一些組織可能具備獨立處理攻擊的能力，但大多數(shù)組織應(yīng)該選擇與第三方事件響應(yīng)提供商合作。

　　Secureworks公司情報總監(jiān)Mike McLellan補充道，

　　除非您擁有非常成熟的響應(yīng)流程和龐大的安全團隊，否則應(yīng)對攻擊可能會非常困難。我們始終建議您與經(jīng)驗豐富的事件響應(yīng)提供商合作，因為這些提供商可能已經(jīng)處理過數(shù)十甚至數(shù)百起此類事件，能夠更好、更快地幫您應(yīng)對危機。

　　布朗大學(xué)計算機科學(xué)教授Ernesto Zaldivar 表示，勒索軟件攻擊需要專門的幫助——尤其是為了防止未來的攻擊。攻擊者很可能帶著不同的勒索軟件和更高的贖金要求再次攻擊您的企業(yè)系統(tǒng)。訪問您的數(shù)據(jù)也許并沒有你想象中困難。從長遠來看，修復(fù)您的系統(tǒng)并增強防御能力是成功克服勒索軟件攻擊必不可缺的步驟。

　　錯誤6：忽略執(zhí)法部門

　　除了引入專門的事件響應(yīng)提供商外，組織還應(yīng)該尋求執(zhí)法部門和相關(guān)機構(gòu)的幫助。

　　Vigilante情報總監(jiān)Adam Darrah表示，這些調(diào)查人員不僅可以協(xié)助對受感染機器進行成像，而且他們還可以使用解密工具、必要的加密貨幣來促進支付，或使用其他技術(shù)和資源來恢復(fù)加密信息。企業(yè)組織通過與執(zhí)法部門合作，可能能夠幫助他們追蹤勒索軟件運營商的蹤跡，并最終將其繩之以法。

　　錯誤7：等待太久才給保險公司打電話

　　事件發(fā)生后，請務(wù)必第一時間就讓您的保險公司參與其中。Aiven 公司CISO James Arlen稱，“如果您買了網(wǎng)絡(luò)保險并且在事件發(fā)生后又沒有打電話讓他們參與其中，但是后來又找他們理賠，很顯然，您違反了保險政策，最終可能一分錢也得不到。讓您的保險提供商第一時間參與其中，他們可能會優(yōu)先選擇由誰對事件進行處理以及如何處理，而此時您只需要跟隨他們的指示。”

　　錯誤8：屈服于害怕和恐慌情緒

　　雖然在處理勒索軟件攻擊后果的過程中，必然會有一段腎上腺素飆升的時期，但盡可能保持冷靜將會有所幫助。

　　德勤風(fēng)險與財務(wù)咨詢公司網(wǎng)絡(luò)事件響應(yīng)團隊的咨詢高級經(jīng)理Wayne Johnson表示，

　　當(dāng)組織響應(yīng)勒索軟件攻擊時，我們看到的最常見的錯誤可能就是在事件發(fā)生時屈服于恐懼情緒，而不是堅持計劃好的事件響應(yīng)流程。遵循組織準備好的事件響應(yīng)計劃并限制臨時反應(yīng)，有助于組織更有效地做出響應(yīng)，進而恢復(fù)正常的業(yè)務(wù)運營。

　　錯誤 9：花費寶貴的時間尋找解密密鑰

　　很多安全專家認為，在網(wǎng)上尋找解密密鑰完全是在浪費事件。還有一部分人則認為找到有用信息的機會并非不存在，只是很小。

　　Cyberbit公司網(wǎng)絡(luò)靶場技術(shù)培訓(xùn)師Wayne Pruitt表示，

　　網(wǎng)上有一些解密工具，例如‘No More Ransomware Project’，但是這些都適用于密鑰可用的已知勒索軟件。大多數(shù)勒索軟件攻擊都使用帶有公鑰或私鑰的非對稱加密。這些密鑰通常是特定于目標而設(shè)置的，并且一個組織的解密密鑰與另一個組織不同。找到貴組織需要的解密密鑰的機會可以說微乎其微。如果您使用錯誤的密鑰嘗試解密工具，還可能會損壞文件導(dǎo)致無法恢復(fù)。

　　錯誤10：沒有從事件中吸取經(jīng)驗

　　一旦經(jīng)歷過攻擊，回過頭來找出您的安全漏洞所在是至關(guān)重要的。您是否已經(jīng)制定了合適的響應(yīng)計劃？如果沒有，請從經(jīng)驗中學(xué)習(xí)并制定一個。這有助于高管和IT審查響應(yīng)并為此類事件做好準備。

　　企業(yè)組織可以通過模擬演練，不斷改進自身響應(yīng)計劃，這樣一來，當(dāng)不可思議的事情發(fā)生時，組織才能做好更萬全的準備。相反地，忽視確定攻擊的根本原因或入口向量將在未來繼續(xù)為攻擊者提供后門。

　　Eze Castle Integration公司的Schwartz表示，

　　確定您是否擁有易受攻擊的遠程桌面服務(wù)器或特權(quán)帳戶憑據(jù)是否已泄露非常重要。如果您想阻止攻擊者在網(wǎng)絡(luò)中的存在，這些項目必須成為您補救計劃的一部分。