趋势与观点 | 遭受网络攻击时的十要十不要
显然大多数组织将不可避免地遭受网络攻击。由于网络违法分子的手法越来越复杂,企业、政府和个人实施的网络安全措施则显得越来越过时。而一些违法分子肆无忌惮地将人工智能用于恶意目的更是加速了网络安全措施的过时。WormGPT是一种可用于网络犯罪的生成式AI工具,被称为网络犯罪分子发动复杂网络钓鱼和电子邮件攻击的一种方法。如今,对于那些希望保护数据安全的组织来说,前景十分严峻。因此,我们有必要了解减少遭受攻击影响的实用方法。
当你被入侵时
如果一个组织不幸遭到黑客攻击,网络安全团队可以采取(或避免)某些行动,这些行动会对恢复时间和成本产生重大影响。第一个动作是向所有有关职能机构报告事件,就像在现实中发现犯罪报案一样。许多组织在法律上有义务报告此类事件,并通知有关职能机构,以帮助保护其他企业免受类似攻击。值得注意的是,有关职能机构和监管机构不会追究其责任。他们试图从攻击中吸取宝贵教训,并建立黑客档案,以帮助其他组织尽量减少可能面临的后果。此外,企业应向其网络保险提供商发出警告。这通常是提出索赔的前置条件,必须提供证据以获得赔偿。
在通知了有关有关职能机构后,IT团队就要放慢速度,避免仓促犯下代价高昂的错误。当前,采取预防措施为时已晚。组织的第一反应往往是迅速恢复受影响的IT系统并立即解决任何遗留问题。相反,IT团队应当集中精力控制局势。
勒索软件攻击后的响应
每次攻击都是不同的,特别是在勒索软件的情况下。但是,在发生勒索软件事件时,可以采取一些有用的措施:
-
隔离受影响的设备,但不要关闭它们。如果系统关闭,可能对调查至关重要的证据可能会丢失,从而导致调查不完整。
-
隔离受影响的用户帐户并终止活动会话。威胁行为者很可能知道帐户密码,因此,禁用受影响的帐户并终止会话会移出一种访问方法,特别是在使用Azure Active Directory (AD)或任何其他基于云的用户管理平台的情况下。
-
隔离网段以防止攻击扩散。特定勒索软件变体有可能自我传播。隔离网段可确保任何尚未受影响的系统保持不变。随着AI驱动的勒索软件的威胁即将到来,这一步比以往任何时候都更重要。
-
使备份服务器离线。备份在恢复过程中至关重要,确保它们尽快得到保留非常重要。
-
关闭域控。除非域控受到勒索软件的影响(在这种情况下,它应该保持通电,但没有网络连接),否则关闭域控将停止网络上的任何进一步身份验证。
-
将网络共享文件更改为只读设置。这可以防止勒索软件对环境中的任何关键文件共享造成进一步损害。
保持冷静,记录日志
被黑客攻击会产生压力和混乱。保持冷静并听取可靠来源的建议非常重要。应指定一名网络事件负责人,他可以在日志中记录所做的行动和决定,并为进一步的网络保护和数据恢复建立优先级列表。
最重要的是,避免将攻击甩锅他人。网络攻击非常复杂,聪明的网络钓鱼企图可以欺骗任何人。甩锅他人既没有成效,也不能解决问题。
十要十不要
成为网络攻击的受害者后,应遵循10个战略步骤,以帮助加快组织的恢复。组织应采取的行动包括:
1. 报告事件。
2. 联系您的网络保险提供商。他们可能会为您指出可以提供帮助的公司,这可能也是您保单的条件。
3. 寻求帮助。不要独自行动。你的网络保险提供商可能会向你介绍事故响应、公共关系(PR)或律师事务所,他们有处理攻击的经验,可以帮助你以正确的方式应对攻击。不要害怕联系行业合作伙伴,他们可能也经历过这种情况。
4. 指定网络事件负责人。这应该是能够根据事件类型做出关键决策的高级人员。对于严重的勒索软件攻击,这可能是首席信息安全官(CISO)、首席信息官(CIO)或首席技术官(CTO)。
5. 在日志中记录行动和决策。这使您能够进行事件后审查,从长远来看,这有助于提高整体网络弹性。
6. 集中精力遏制。确保系统和网络尽快隔离。这可以确保损害不会变得更严重,并可以避免将来出现更多麻烦。
7. 聆听。您可能已经与第三方合作以帮助应对事件,他们的建议可能看起来违反直觉。相信他们的专业知识。他们已经看到许多组织经历过同样的经历,并且有丰富的经验可以学习。
8. 耐心。避免仓促决策或下意识反应。快速修复最终可能会使组织更容易受到攻击,并从长远来看造成更多伤害。
9. 尽可能地配合有关职能机构和监管机构。他们可能有很多问题,但他们并不想追究责任。向他们提供信息可以防止其他企业遭受同样的攻击。
10. 反应迅速。仔细思考决策,但不要犹豫。这种攻击可能是快节奏的,以快速而周到的方式对其做出反应对于成功恢复至关重要。
相反,企业一旦成为网络事件的受害者,应避免10种反应:
1. 避免向所有人同时寻求帮助。如果一家企业遭到攻击的消息传出,很可能会收到大量支持请求。重要的是要选择谁来提供帮助,以确保没有相互冲突的优先事项,并且只有一小群值得信赖的顾问。
2. 避免向网络犯罪分子支付赎金。这是他们的动机,企业不断支付赎金只会助长他们在未来进行更多攻击。在某些情况下,它还可能违反国际社会对已知犯罪集团的制裁。
3. 避免对外沟通。只有当组织知道如何沟通以及沟通什么时,才应该开始对外沟通。
4. 避免撒谎或低估事件的严重性。这会迅速损害企业在客户、供应商和公众中的声誉,因为真相迟早会暴露。对于勒索软件案件尤其如此,因为勒索软件组织会公开公布受害者名单。
5. 避免过早恢复常态。在不重新考虑网络基础设施和安全规定的情况下进行恢复,会增加企业未来再次受到攻击的可能性。利用这个机会重新设计基础设施,将安全放在首位。
6. 避免只关注根本原因分析。根据组织情况,广泛的勒索软件攻击可能会影响业务运营。优先事项应该是让企业以安全可靠的方式运行,重要的是不要让调查妨碍这一过程。然而,可能需要一些调查来告知恢复过程。
7. 避免在没有充分考虑的情况下购买更多的安全工具。突然投资安全工具来解决问题可能是很诱人的,但是市场上有很多不同的选择,因此仔细考虑哪些工具最适合您的组织是很重要的。
8. 避免指责或归责他人。你是犯罪的不幸受害者,除了罪犯自己,没有人有过错。特别是随着AI的发展,攻击变得越来越复杂,任何人都有可能陷入聪明的社会工程攻击。网络攻击是生活中的现实,每天每时每刻都在世界各地发生。归责于他人并不能解决问题,只有你的团队努力工作和奉献精神才能解决问题。
9. 在事实尚未得到证实之前,避免否认任何事情。控制信息很重要,但不要否认任何你没有事实依据的事情。随着调查的进展,故事会逐渐展开,而推翻你之前说过的话会无可挽回地损害你的声誉。
10. 避免试图掩盖事实。在当今世界,任何发生重大服务事件的人都会受到供应商和公众的无数质疑,询问是否涉及勒索软件。掩盖事情只会让不可避免的承认事实更加难以承受,重要的是要为猜测留出一点空间。
结论
组织可以从对数据安全现实的深入了解中受益,尤其是在勒索软件攻击的背景下。黑客更有组织性,资金更充足,能够利用许多网络安全专业人员需要的工具来跟上步伐。勒索软件行为者有经济动机,因此,任何迅速支付其要求的组织都只会火上浇油,鼓励犯罪分子进一步努力,攻击更多企业。企业可以采取许多行之有效的步骤,避免有风险的反应,冷静有效地管理网络事件,包括与第三方接触,帮助应对情况,并向正确的有关职能机构报告事件。这些步骤本身就有很大的帮助,然而,在事件应对计划中可能很难体现文化的因素。无论是对受影响的组织,还是任何其他潜在受害者,清晰、合理的决策都将是重要的,这可以保证组织作出成功应对,谨慎管理风险,避免放大风险。
编者按:本文于2023年12月5日首次发表于ISACA官网News and Trends/Industry News。尾注略。文章内容仅代表作者本人观点。
作者:JAMES ALLMAN-TALBOT是 Quorum Cyber的事件响应和威胁情报负责人,在网络安全领域拥有超过15年的工作经验。
翻译:杨皓然(AdySec),CISSP,CISM,CISA,CDPSE,CRISC,CGEIT,PMP,CCSK,CZTP,CDSP,CCSSP,RHCA,CCNP,ISO27001 Auditor,ISACA微信公众号特邀通讯员,CSA高级会员,ISC2北京分会会员,致力于云安全、零信任、数据安全、安全运营等方向。
校对:王亮(Lionel Wang),CISA,ISACA微信公众号特邀通讯员,致力于网络安全、数据安全、个人信息保护、工控安全以及IT审计方向的研究。