勒索软件已被许多人视为组织面临的最具威胁的网络安全风险。2019年,超过50%的企业遭到勒索软件攻击,估计损失115亿美元。
仅在去年12月,包括佳能、佳明、柯尼卡美能达和嘉年华在内的主要消费公司都成为了主要勒索软件攻击的受害者,导致数百万美元被支付以换取文件访问权。
那么,被勒索软件攻击后该怎么办?采取什么步骤才能有效恢复?以下是一些分享的小技巧。
意识到被攻击!检测到感染。
最具挑战性的一步是意识到有些事情是错的。
越早检测到勒索软件攻击,受影响的数据就越少。这也会直接影响恢复环境所需的时间。但现实中,企业往往在看到赎金文件后才意识到自己中招了,但伤害已经造成。因此,拥有一个能够识别异常行为(如异常文件共享)的网络安全解决方案,可以帮助快速隔离勒索病毒感染,并在它进一步传播之前阻止它。
与基于特征或基于网络流量的检测相比,异常文件行为检测是检测勒索病毒攻击最有效的方法之一,且误报最少。
基于签名的检测方法有一定作用,但已知需要勒索软件。如果有可用的代码,你可以训练软件找到它。而复杂的勒索软件攻击都是使用新的未知形式的勒索软件,所以训练效果并不理想。建议使用基于AI/ML的方法,通过寻找行为来确定是否存在攻击,例如快速连续加密文件。
此外,勒索病毒通常通过钓鱼邮件攻击带有危险文件附件或超链接的——邮件,影响组织。对于电子邮件等业务关键型系统,良好的防御机制也是必要的。
及时止损
一旦检测到感染,就可以隔离勒索病毒进程,防止其进一步传播。如果是在云环境中,这些攻击通常源自远程文件同步或其他由运行勒索软件加密进程的第三方应用程序或浏览器插件驱动的进程。挖掘和隔离勒索病毒攻击的源头,可以帮助我们遏制感染,从而减少对数据的破坏。
为了快速有效,这个过程必须自动化。识别感染后,自动化程序将通过删除可执行文件或扩展名来停止攻击,并将受感染的文件与环境的其余部分隔离。
另一种止损方式是购买网络责任险,保障企业(以及企业中的个人)免受基于互联网的风险(如勒索病毒攻击)以及与信息技术基础设施、信息隐私、信息治理责任等相关的风险。
恢复受影响的数据
在大多数情况下,即使勒索软件攻击被快速检测和遏制,仍然会有一些数据需要恢复。这需要对数据进行良好的备份,以将其恢复到生产状态。
一般来说,遵循3-2-1备份最佳实践,备份数据必须与生产环境分离。
保留所有重要文件的三份副本,即一份主文件和两份备份文件。
将文件保存在两种不同的媒体类型上。
在不同的地方维护一个副本。
如果在云SaaS环境中执行备份,云到云备份可用于场外存储,降低备份数据和生产数据同时受到影响的可能性。
数据备份是从勒索病毒攻击中恢复的救命稻草。
升级通知
当今大多数组织需要遵循的许多法规遵从性法律和规章要求组织向监管机构通知违规行为,然后通知当地的执法机构。如果是重点领域的企事业单位,通知和报告的规则就更严格了。
再查一遍!测试访问权限
数据恢复后,有必要测试对数据和任何受影响的关键业务系统的访问权限,以确保数据和服务的成功恢复。在将整个系统投入生产之前,必须解决所有遗留的问题。
如果IT环境中的响应时间比平时慢,或者文件比平时大,则可能表明数据库或存储中仍有一些未处理的威胁。
最后
有时候最好的进攻就是最好的防守。对于勒索软件攻击,重新获得关键文件的访问权限,只有两个选择:要么战斗,要么乖乖交赎金。如果它如果是后者,那么根据最近的一份报告,支付赎金的组织中大约有42%的文件没有被解密.
鉴于针对企业的勒索病毒攻击越来越多,如果没有合适的安全备份和检测系统,后果不堪设想。编辑AJX
