勒索软件是一种阻止或限制用户访问其系统的恶意软件。这种类型的恶意软件迫使其受害者通过某些在线支付方式支付赎金,以授予对其系统的访问权限或取回其数据。一些勒索软件会加密文件(称为Cryptolocker)。

今年的新闻充满了勒索软件攻击公司和政府机构(包括执法部门)的报道。勒索软件是指一种加密或限制访问机器或设备的恶意软件。作为攻击的一部分,攻击者将要求受害者支付赎金,以接收加密密钥或以其他方式恢复对受感染计算机的访问。

现实情况是,针对所有类型的公司和组织的勒索软件攻击正在激增。勒索软件对于地下圈子来说是一项有利可图的业务,我们希望看到这种攻击持续不断。由于这些攻击可能被隔离在一台机器上,因此它们通常不会影响公司的业务连续性或导致明显的服务中断。针对感染,公司可能能够获得击败攻击所需的技术帮助。存在免费的在线资源,这些资源将识别哪些勒索软件感染了您的系统,并为受害者提供已知的解密密钥。在其他情况下,公司可能会确定数据丢失不严重和/或存在备份,从而允许它们通过重新格式化硬盘驱动器并重新安装干净的操作系统,应用程序和数据来重建计算机。但是,在其他情况下,公司则支付赎金。

勒索软件攻击者与其他黑客一样,经常使用许多相同的工具和策略,例如鱼叉式网络钓鱼。但是,与许多黑客不同,勒索软件攻击者并不专注于窃取可以出售或用于非法目的的数据(例如信用卡信息和商业秘密)。相反,勒索软件与经济勒索有关。攻击者阻止公司访问自己的系统或数据,并且提出了要求。通常,他们想要钱,但这可能会改变。想象一下,一个黑客持有数据和系统人质作为回报,因为该公司发布了公开声明,进行了资产剥离或安排了高级管理人员的离职?常规恶意软件和勒索软件之间的区别对于管理威胁范围很重要。尽管有些公司可能无法维护对网络窃贼有价值的数据(尽管情况越来越少,W-2税收信息网络钓鱼攻击的泛滥证明了这一点),但每家公司都是勒索软件攻击的潜在目标。

从技术角度来看,这是一个需要解决的难题,原因有两个。文件加密后,几乎无法解密。这使受影响的组织面临着支付赎金或丢失数据的困难选择。在许多情况下,停机时间和数据丢失比赎金造成的损失更大,这就是许多组织选择付款的原因。第二个主要挑战是勒索软件高度多态。在野外检测到数以万计的恶意软件样本和变体。

因此,所有公司都应注意此类攻击的风险,并采取措施限制此类攻击的影响,包括准备做出响应。

响应勒索软件攻击可能会带来压力和令人不安的体验。毫不奇怪,根据攻击的目标系统,时间通常至关重要。作为公司更广泛的事件响应准备工作的一部分,值得期待的是勒索软件攻击时您将采取的措施。以下五个问题对于公司而言是一个很好的起点,内部法律顾问可以考虑与他们的信息安全经理一起领导这次审查。尽管根据给定攻击的细微差别或性质,对这些问题的答案通常会有所不同,但与这些问题相关的计划投资可以减轻压力,并提高公司对攻击的响应的敏捷性和有效性。

1.您会支付赎金吗?

从字面上看,这可能是一百万美元的问题,尽管从历史上讲,赎金的要求要小得多。例如,通常看到赎金要求在500美元到50,000美元之间,通常是用比特币支付的。无论敲诈勒索的程度如何,许多公司都采取了不与勒索者谈判或以其他方式支付赎金的方法,而不管情况如何。实际上,联邦调查局不鼓励付款。

尽管如此,即使在普遍(且可以理解)抵制赎金的地方,对于大多数公司来说,该问题的答案仍将取决于攻击的影响和时机。也就是说,答案通常取决于攻击所带来的业务连续性风险和服务中断的可能性,以及是否存在由受影响的系统维护或托管在其上的数据/服务的可用且有用的备份。更具体地说,贵公司对受影响的系统或该系统上存储的数据有多严重?

例如,如果公司无法访问具有关键数据且没有足够备份或可用备份的计算机,或者该计算机是业务运营所不可或缺的(例如,Web服务器或付款服务),并且在更换计算机时存在挑战如果机器无法及时使用,公司可能会确定除了支付赎金外别无选择,因为无法访问的成本远远超过了赎金的需求。但是,在许多情况下,公司选择不支付赎金是因为它们在计算机上维护了足够的数据备份,或者由于丢失对系统的访问不会产生有意义的业务影响。例如,从业务连续性的角度来看,锁定员工由公司发行的便携式计算机的勒索软件攻击与该便携式计算机的物理盗窃之间可能没有实际区别。

值得一提的是,付费并不总是导致黑客兑现诺言。在最近的情况下,黑客在要求更多资金完成交易之前仅提供了部分访问医院加密数据的权限。当时,医院拒绝了。

2.哪些系统遭受最大风险(并且受到保护)?

第一个问题突出了关键的但很明显的一点,即勒索软件攻击的潜在影响都取决于被攻击的计算机,系统或设备。它还强调了勒索软件不仅是一个信息安全问题,还是一个业务连续性问题(与自然灾害不同)。在这一点上,公司应该比勒索软件攻击者更具优势。

具体来说,公司可以评估其系统和相关性,并确定在勒索软件攻击时给公司带来最大风险的系统和相关性。实际上,大多数具有业务连续性计划的公司已经在更一般的情况下进行了此练习。无论如何,一旦确定了对公司的日常运营至关重要的系统,便可以考虑如何保护这些系统免受勒索软件攻击中通常部署的恶意软件类型的影响,以及是否有必要采取其他保护措施。除了制定适当的数据备份和恢复计划之外,常见的信息安全注意事项还包括:

  1. 使用可靠的端点检测和响应(EDR)解决方案,
  2. 利用应用白名单,
  3. 限制用户权限和访问控制,
  4. 实施软件限制政策(SRP),
  5. 加大力度检测鱼叉式钓鱼电子邮件,并
  6. 禁止宏在电子邮件接收的文件或从网站下载的文件中运行。

3.您是否有足够的备份?

尽管先前的问题集中在关键系统受到保护的程度上,但是如果公司是成功的勒索软件攻击的受害者,则该问题集中在应急计划上。如果关键系统受到勒索软件的影响,贵公司将如何应对,您将能够继续(某种程度上)正常的业务运营?即使您的公司考虑支付赎金,这也是一个重要的问题。例如,即使一家公司支付了赎金,也将丢失数据或可用性,直到接收到密钥,并希望恢复正常访问为止。因此,从数据和系统的角度来看,确定公司可以支持业务运营的备份和替代方案的范围非常重要。公司不仅应考虑其备份范围,而且还应考虑创建和测试这些备份的频率,以及备份本身是否容易被黑客加密或删除。这将有助于确定发生攻击时有风险的数据丢失的范围。同样,公司应考虑从备份还原数据(或切换到备份系统)的过程,以及该过程是否可以简化或提高效率。

4.您会公开攻击吗?

考虑您的公司是否或在什么情况下公开其已成为勒索软件攻击的受害者可能会有所帮助。多数公开宣称自己是攻击的受害者的公司似乎都是这样做的,因为攻击严重影响了其正常的业务运营,并且恢复这些运营存在延迟。

如果正常业务运营受到影响,则存在一个问题,即您如何将该事实传达给客户,供应商,业务合作伙伴和一般公众。例如,如果一家公司将支付赎金并希望在相对较短的时间内恢复运营,但认为与相关第三方沟通某些系统已关闭很重要,那么沟通是否必须重点说明问题的原因,还是可以简单地确定影响?例如,一家公司可能表示它已意识到问题,正在努力解决该问题以及何时期望该问题得以解决。尽管攻击的细微差别(例如影响和持续时间)对于回答这个问题极为重要,但答案也可以同样细微差别。例如,公司可以选择仅在有合同要求的情况下才向第三方发出警报,同时请注意,勒索软件攻击通常不包括数据泄露。无论如何,对于公司而言,在遭受攻击时考虑其通信策略很重要。一些公司甚至可能希望采取下一步措施,并准备备用报表,以便在需要时使用它们,例如,响应第三方或什至是雇员,以揭示事件。

5.您会联系执法部门吗?

公司在勒索软件攻击(通常是网络安全事件)的背景下经常考虑的一个问题是,是否与执法机构联系,如果联系,则与哪个执法机构联系。答案将取决于公司,并且取决于许多因素。但是,对于公司而言,重要的是要识别并理解在发生攻击时与执法机构联系的原因。不足为奇的是,根据与执法人员联系的原因,实现预期目标的可能性差异很大。

公司可以联系执法机构,因为它希望将攻击者绳之以法,或者因为它希望执法机构可以提供技术帮助,以帮助公司重新获得对相关机器的控制(并避免支付赎金)。尽管事实总是很关键的,但这些可能并不是联系执法部门的主要原因,因为执法部门发现外国演员的可能性很小。同样,执法部门可能没有破解加密的能力,事实可能不保证执法部门为此投入资源。

但是,公司可能出于其他原因联系执法部门。例如,一家公司可以联系执法部门,因为如果攻击公开,该公司可以向客户,供应商,业务合作伙伴甚至监管机构保证,它会尽一切可能对攻击做出响应。对于许多类型的公共网络安全事件,已成为公司表明已通知执法部门并正在与调查合作的标准。这也凸显了该公司是受害者的事实。在某些情况下,公司可能会联系执法机构,因为其网络响应政策表明应联系执法部门,或者因为它已成为公司响应网络事件的标准做法。公司还可以联系执法部门,因为公司认为作为良好的企业公民“做对的事是正确的”。最后,公司的网络保险政策可能要求将可疑的犯罪行为报告给执法部门,以便对保险范围提出索赔。出于上述每种原因,即使一家公司认为最终不会抓捕该犯罪分子,也可以得出结论,与执法部门保持最佳联系。

与哪个执法机构联系的问题在很大程度上取决于事实,包括受影响的公司类型,威胁行为者,受影响的机器类型以及影响的性质;详细的讨论超出了本文的范围。例如,如果重大勒索软件攻击影响了关键基础架构或联邦监管实体(例如,国家银行或航空公司),则公司应联系联邦执法机构,例如FBI。但是,如果勒索软件攻击袭击了一家小型硬件商店,则该公司应改而考虑联系当地执法部门或通过Internet犯罪投诉中心(Internet Crime Complaint Center)使用在线报告。 www.ic3.gov.

向前进

不幸的是,勒索软件每年给企业造成数亿美元的损失,无论是付款,入侵响应还是两者兼有。根据定义,您无法在事件发生后进行准备。通过足够早地提出和回答这五个问题,您可以确定适合自己业务的风险状况。希望您永远不会遇到问题。但是,如果发生勒索软件事件,您将拥有更多选择来管理事件并快速恢复营业。

此作品最初是在 企业合规洞察 并经许可在此处重新发布。