【御脉科技】网络攻击后立即采取的五个步骤

网络攻击的普遍性、严重性和破坏性都在增加，以造成社会或政治混乱。 根据 Bitdefender 的 2020 年威胁态势报告，全球报告的勒索软件总数比上一年增长了 485%。

随着企业规模的扩大，黑客提高了攻击效率，并设计了新的方法来进行更严重的攻击。 泄露的软件造成了一种新的恐吓，犯罪分子威胁要在线发布高度敏感的数据。

政府支持的攻击正在加紧努力，通过软件漏洞部署数据擦除恶意软件。 2017 年的 NotPetya 攻击影响了 60 个国家的数千家企业，其中包括全球物流巨头马士基。

01

最近的勒索软件攻击

提及最常见的网络攻击形式：勒索软件，赎金数以百万计。 平均响应成本翻了一番，到 2021 年增加了 185 万美元。在其中一次规模最大的攻击中，网络犯罪分子要求支付 5000 万美元的赎金以提供解密密钥。

2021 年 5 月，殖民地燃料管道袭击导致完全中断六天，影响了美国六个州。 由于该管道向东海岸供应了近 50% 的燃料，一场勒索软件攻击导致加油站燃料耗尽，惊慌失措的买家排起长队，燃料价格升至七年来的最高水平。 FBI 确认 Darkside 软件已被用于访问行政和财务系统。 为了尽快恢复运营，Colonial 支付了 75 个比特币（相当于 500 万美元）的赎金。

黑客越来越青睐大猎杀：毕竟，大公司都有保险，有能力支付更高的赎金。 2020 年 7 月，Garmin 遭到新型勒索软件 WastedLocker 的袭击。 它加密了内部系统并关闭了面向消费者的服务，包括 Garmin Connect 和 Strava。 Garmin 最终向俄罗斯的 Evil Corp 支付了 1000 万美元的赎金，这是一个专门针对财富 500 强公司和金融机构的网络犯罪集团。

但受害者并不都是拥有保险和预算的大公司。 医疗保健行业通常资金不足、资源不足且风险高，这不仅仅是钱的问题。 机会主义攻击者知道受害者宁愿支付较低的赎金也不愿冒生命危险。 2020 年，85% 的成功勒索软件攻击针对的是医疗保健行业，需要处理的问题更大！

据 Sophos 称，48% 的英国组织在 2020 年遭受了勒索软件攻击。即使安装了反恶意软件的组织也不能幸免。 估计有 75% 的受害者在受感染的机器上运行最新的端点保护系统。

许多关于网络攻击的报告都强调了预防的重要性。 然而，随着更复杂的攻击变得更加频繁，知道在发现网络攻击时该怎么做很重要。

02

检测、保护和恢复

1.检疫

如果您的计算机屏幕突然变红，您的本能可能是按下电源按钮，但这样做会破坏重要证据。 报告事件有助于执法机构了解犯罪活动，也可以帮助处于相同困境的其他组织。 报告不仅是一项法律要求，执法机构还可以提供实际指导。 英国信息专员办公室所做的不仅仅是罚款。

最重要的是立即断开设备与网络的连接。 拔掉网线，记得关闭Wi-Fi。 这可以防止信息被反馈给犯罪分子以部署更多的恶意代码。 这会阻止横向移动：像 NotPetya 这样快速移动的蠕虫会寻找与其他设备的连接，迅速传播并破坏数据。

确保将所有受感染的设备、共享存储、外部硬盘驱动器和云存储与网络隔离。 在遏制攻击方面，IT 和运营技术的隔离至关重要。

2.识别

通过询问谁、什么、在哪里、何时、为什么以及如何来限定警报。

如果不清楚攻击是如何发生的，则恢复的机会就更小。 这是什么类型的攻击？ 是感染吗？ 还是黑客窃取数据？ 会不会是恶意内部人员所为？

是否有多个入口点？ 如果报告了网络钓鱼攻击，是否有其他人打开了附件？ 这真的是个别事件吗？ 没有人希望最终面临不必要的全面停工。

记录发生的事情并使用勒索软件标识符工具对病毒进行分类。 它是如何传播的？ 它加密哪些文件？ 恶意代码是否可能驻留在系统的多个位置？ 始终确保在未受感染的网络上进行研究。

一旦你确切地知道你在处理什么，你就可以协调适当的反应。

3. 沟通

坦诚沟通在任何网络事件中都很重要。 虽然攻击对高级管理人员来说不是好消息系统被黑客攻击勒索比特币，但让他们了解攻击的规模并共同制定关键的行动方案至关重要。

在传输数据或安装恶意代码之前，黑客通常会花 30 到 90 天的时间探索受感染的系统。 所以不要让犯罪分子知道您发现了他们的活动。 他们可能正在监控您的网络或电信系统以寻找检测和缓解迹象，因此请使用具有端到端加密功能的带外通信网络工具，例如个人电子邮件或 WhatsApp。

诚信是当今客户所看重的价值； 意识到诚实的沟通实际上可以在危机过后增强声誉。

4. 优先排序和计划

在最初 24 小时内做出的决定可能会影响恢复或破坏恢复。 紧急情况可能导致本能反应和计划不足，这可能会产生更多问题。

应根据影响、紧迫性和业务优先级仔细规划响应行动。 需要快速保护哪些机密数据？ 哪些系统需要先重建才能确保业务安全恢复？

给每个人分配任务，一个一个解决问题。 尽量不要让整个团队参加定期会议，这样他们就有足够的时间和空间来有效地重建系统。 人在压力下难免会犯错，因此团队的福祉至关重要。 团队是快速有效响应的最重要资源。

5.恢复

那么，勒索软件攻击后您有哪些恢复选项？

• 支付赎金。

执法机构和恶意软件专家不建议支付赎金，因为众所周知这会增加攻击频率。 Coreware 的 2021 年第一季度勒索软件季度报告显示，破坏和擦除数据的攻击显着增加，即使在支付赎金之后也是如此。

• 使用恶意软件清除软件清除感染。

虽然删除软件在抵御已知威胁方面取得了一些成功，但仅依靠这种方法是 ITAD 最大的错误之一。 随着越来越复杂的勒索软件的出现，软件删除服务不可能保证您的公司不会再次被感染。

• 执行全面的ITAD 数据销毁。

好消息是无需支付赎金或购买昂贵的软件。 IT 资产处置服务提供全面的数据清除，以确保没有恶意软件残留。 ITAD 合作伙伴可以提供快速响应、清理受感染的系统、重新格式化硬盘并销毁任何即将报废的 IT 资产。 数据擦除服务了解在网络攻击后销毁数据的重要性系统被黑客攻击勒索比特币，甚至可以执行安全的现场数据擦除以减少停机时间。

有些罪犯从不休息； 一旦发现威胁，就不应鲁莽行事。 专业的数据销毁服务，确保所有设备全面消毒。 为每个单独的设备或存储媒体设备提供 IT 资产处置证明，以证明 ITAD 监管链。

企业不必再被勒索了。 不仅是恢复，外包 ITAD 提供商还可以帮助快速恢复业务。 本地备份也很可能是加密的，但只要在攻击期间与网络完全断开连接，就可以使用异地备份。 有了更多资源来帮助从来源可靠的媒体重新安装操作系统和软件应用程序，业务运营就可以尽快恢复，减少业务中断和损失，并以最低的恢复成本。