聯(lián)邦調(diào)查局警告稱,部署定制數(shù)據(jù)竊取和雨刷工具的勒索軟件組織有所增加,以迫使受害者進行談判。
在很短的時間內(nèi)發(fā)生兩次勒索軟件攻擊,會推高損害和相關(guān)成本,并可能將公司推向毀滅的邊緣。最近針對米高梅的第一次黑客攻擊造成了1億美元的損失。后續(xù)的襲擊可能會產(chǎn)生更嚴重的后果。
CIO和CISO需要采取哪些不同的做法來打破無休止的攻擊和再次攻擊的循環(huán)?
在網(wǎng)絡(luò)攻擊期間,IT團隊成員在高壓下工作,將他們的企業(yè)從混亂中拉出來。重要系統(tǒng)應(yīng)迅速啟動并重新運行,并應(yīng)適當通知客戶和合作伙伴。每一小時都很重要,因為停機等同于金錢損失。
在這種極端情況下,會出現(xiàn)致命錯誤:IT團隊通常會恢復(fù)到為洪水、火災(zāi)或斷電等傳統(tǒng)災(zāi)難恢復(fù)情況構(gòu)建的恢復(fù)工作流。系統(tǒng)從現(xiàn)有備份重建,以便它們可以快速恢復(fù)運行,通常使用最新的副本,因為這最大限度地減少了可能的數(shù)據(jù)丟失。
在傳統(tǒng)的災(zāi)難恢復(fù)方案中,根本原因是已知的,并且原因已得到緩解,但在網(wǎng)絡(luò)攻擊方案中,如果沒有適當?shù)捻憫?yīng)操作來調(diào)查和緩解你發(fā)現(xiàn)的情況,系統(tǒng)將與所有惡意帳戶、泄露的密碼、持久性機制和其他惡意制品一起恢復(fù),而缺少規(guī)則或被繞過的保護性控制仍然無效,無法阻止攻擊再次發(fā)生。被利用的漏洞仍然沒有被發(fā)現(xiàn),也沒有打補丁。
換句話說,這座房子將被重建,所有打開的窗戶和后門都是襲擊者第一次進入的。事實上,對手可能已經(jīng)回到走廊里了!無限循環(huán)的基礎(chǔ)已經(jīng)奠定。在勒索軟件時代,將系統(tǒng)恢復(fù)重新考慮為一個過程并使其完全現(xiàn)代化是至關(guān)重要的。
基礎(chǔ)設(shè)施和安全團隊必須共同努力,不僅要恢復(fù)系統(tǒng),還要了解攻擊的性質(zhì)并降低再次發(fā)生的可能性。這需要時間,但它可以防止進一步的代價高昂的影響。
這種合作的理想場所是所謂的潔凈室。在這個隔離的環(huán)境中,所有涉及的團隊都可以與生產(chǎn)數(shù)據(jù)的副本并行工作。使用數(shù)據(jù)管理解決方案,可以在事故時間線的不同階段獲得系統(tǒng)的快照版本。現(xiàn)代數(shù)據(jù)安全和管理平臺可以將這些快照交付到隔離的環(huán)境中,借助保險存儲、不變存儲、多因素身份驗證和加密,這些快照已針對外部攻擊進行了強化。
數(shù)據(jù)管理系統(tǒng)協(xié)調(diào)了運行潔凈室所需的通信、協(xié)作、身份驗證、數(shù)字取證和事件響應(yīng)工具的快速準備,確保即使這些系統(tǒng)受到事件響應(yīng)的影響,也可以在事件發(fā)生后幾分鐘內(nèi)啟動操作。
在這個凈室里,數(shù)字取證可以在幾分鐘內(nèi)重新實例化攻擊生命周期中不同時間點的系統(tǒng),以檢查文件系統(tǒng)、配置和文件。被規(guī)避或缺少相關(guān)規(guī)則的安全工具可以重新部署到系統(tǒng)上。可以發(fā)現(xiàn)準確的攻擊點的漏洞,即使它們發(fā)生在常規(guī)的漏洞掃描節(jié)奏之間。
持久化機制通常存在于未加密的系統(tǒng)上,因此尋線團隊應(yīng)該在整個系統(tǒng)中尋找危害的指標,從而利用數(shù)據(jù)管理的快速索引和搜索功能。
防止后續(xù)攻擊
這些響應(yīng)操作推動了可實現(xiàn)的恢復(fù)時間目標,但必須修補發(fā)現(xiàn)的漏洞,刪除惡意帳戶,加強保護和檢測控制,以防止或檢測再次發(fā)生,并且必須在重新部署到生產(chǎn)之前刪除所有惡意人工制品。IT團隊自然希望優(yōu)先恢復(fù)運行最重要服務(wù)和存儲最有價值數(shù)據(jù)的系統(tǒng)。
公司中的CIO和CISO都應(yīng)該相互協(xié)調(diào),重新調(diào)整恢復(fù)時間和可能的運營成本,因為整個恢復(fù)過程需要的時間比之前估計的要長。這種方法的優(yōu)勢應(yīng)該是顯而易見的:后續(xù)攻擊的風(fēng)險降低,整個環(huán)境的網(wǎng)絡(luò)彈性增加。
