網(wǎng)絡(luò)事件發(fā)生在節(jié)假日�,這并不罕見。通常����,惡意行為者計劃在假期前或假期期間或許多員工休假的周末發(fā)動攻擊。因此����,公司需要更長的時間才能發(fā)現(xiàn)問題并采取行動——這正是這里發(fā)生的情況。
出了什么問題
問題始于有關(guān)失敗的備份過程和防病毒警報的通知��。幾小時內(nèi)��,服務(wù)器停止工作��,所有數(shù)據(jù)都被加密�����。隨著時間的推移����,一個已知的勒索軟件組織顯然是這次攻擊的幕后黑手��,他們成功竊取了敏感數(shù)據(jù)并對公司的大部分計算機和系統(tǒng)進行了加密�?�?蛻魺o法在線支付賬單或查看他們的賬戶狀態(tài)����,員工也完全被系統(tǒng)拒之門外。
后來���,人們發(fā)現(xiàn)惡意行為者通過利用電話系統(tǒng)中未公開的弱點然后在網(wǎng)絡(luò)上植入后門來滲透系統(tǒng)。與此同時���,公司發(fā)現(xiàn)了漏洞并進行了修補���,但為時已晚:這群人在公司網(wǎng)絡(luò)上悄悄停留了五個月,等待時機發(fā)動攻擊����。
(資料圖片)
此外,CISO 不了解專業(yè)團隊和網(wǎng)絡(luò)團隊的做法�����。例如,電話系統(tǒng)��、打印機和照相機(可能會顯著增加攻擊面)沒有得到充分保護����。
真正出了什么問題
該公司糟糕的網(wǎng)絡(luò)衛(wèi)生狀況加劇了這一事件:存在一個 Excel 文件,其中包含數(shù)百個系統(tǒng)和服務(wù)器的憑據(jù)�����,并且該公司未能擁有其客戶端系統(tǒng)的日志�。此外,員工可以自由下載�����,這增加了將惡意軟件引入端點的風(fēng)險�����,包括每天連接到網(wǎng)絡(luò)的筆記本電腦�。
然而,主要問題是該公司及其 IT 合作伙伴并不清楚如何有效應(yīng)對���。這意味著最初的幾個小時——這對事件響應(yīng)來說是最關(guān)鍵的——用來確定發(fā)生了什么����,誰是主要參與者,以及需要做什么來恢復(fù)和開始搜索工件以允許 IR 調(diào)查�。浪費了寶貴的時間,用了將近十天的時間才讓系統(tǒng)恢復(fù)正常�。
從這次事件響應(yīng)中可以學(xué)到什么?這里有 6 個重要的要點�����。
1.準(zhǔn)備計劃
在事件響應(yīng)方面���,公司必須采取“不是如果�,而是何時”的態(tài)度��。盡管我們寧愿不這么想�,但您的公司很有可能成為網(wǎng)絡(luò)攻擊的受害者��,因此做好準(zhǔn)備很重要���。這意味著擁有SIEM 系統(tǒng)和日志���,可以盡可能遠地回溯�,并擁有指定TTP(技術(shù)���、技術(shù)和人員)的事件響應(yīng)手冊����。應(yīng)該定期檢查劇本����,并且應(yīng)該對流程進行內(nèi)部認證。這也意味著進行IR 參與準(zhǔn)備和c危機管理準(zhǔn)備���。做好準(zhǔn)備意味著一旦發(fā)生網(wǎng)絡(luò)事件���,您的公司將能夠迅速做出反應(yīng)。
2.建立溝通和責(zé)任
事件響應(yīng)發(fā)生的速度可以在限制損害方面產(chǎn)生巨大差異�����。前幾個小時很關(guān)鍵��,但可能會很混亂�,因為它們涉及執(zhí)法、公共關(guān)系和法律團隊、您的網(wǎng)絡(luò)保險提供商以及 IT 和取證團隊��。顯然��,這應(yīng)該不是這些團隊的第一次會面��。如果已經(jīng)制定了明確的溝通渠道和責(zé)任的計劃�,那么這將對流程有很大幫助。
3. 執(zhí)行定期備份
這似乎是顯而易見的�����,但許多公司未能理解經(jīng)常備份系統(tǒng)的重要性���。是否有可用的備份可以區(qū)分快速恢復(fù)還是長時間恢復(fù)����。
4.實行網(wǎng)絡(luò)衛(wèi)生
除了備份之外�,組織還可以通過保持良好的網(wǎng)絡(luò)衛(wèi)生來顯著加強其安全態(tài)勢�。這包括,例如�,啟用多因素身份驗證和使用密碼管理器、通過訪問控制限制用戶權(quán)限��、定期打補丁、加密敏感數(shù)據(jù)以及安全遠程訪問�����。定期進行網(wǎng)絡(luò)風(fēng)險評估以發(fā)現(xiàn)網(wǎng)絡(luò)漏洞和計劃緩解����。這些都是可以最大限度地降低操作中斷、數(shù)據(jù)泄露和數(shù)據(jù)丟失風(fēng)險的最佳實踐示例�。
5.盡可能隔離網(wǎng)絡(luò)
網(wǎng)絡(luò)隔離可以使威脅行為者更難通過系統(tǒng),從而極大地幫助組織限制來自大多數(shù)行為者的網(wǎng)絡(luò)攻擊造成的損害�����。它限制了攻擊在網(wǎng)絡(luò)中傳播的距離并隔離了易受攻擊的端點�,從而限制了暴露的風(fēng)險。然而���,訣竅是確保在網(wǎng)絡(luò)事件發(fā)生之前將網(wǎng)絡(luò)分開���,以便控制損害。
6.安全培訓(xùn)
安全意識培訓(xùn)可以通過對員工進行有關(guān)他們面臨的威脅以及如何應(yīng)對威脅的教育來幫助降低網(wǎng)絡(luò)事件的風(fēng)險�����。例如,應(yīng)指示他們避免下載惡意軟件和可疑網(wǎng)站���,識別釣魚企圖而不響應(yīng)���。這會對確保您的公司安全產(chǎn)生重大影響。
如何提供幫助
識別潛在的攻擊者及其動機���、組織內(nèi)的可能目標(biāo)以及此類攻擊造成的潛在風(fēng)險���。提供事件響應(yīng)和危機管理服務(wù),以幫助公司從網(wǎng)絡(luò)攻擊中恢復(fù)�。防止此類事件發(fā)生,與紅隊活動相結(jié)合�,以提供最全面的組織安全評估以及相關(guān)風(fēng)險分析和見解。企業(yè)可以評估���、量化和減輕網(wǎng)絡(luò)風(fēng)險��,以便可以做出更好的安全決策并投資于有效的補救措施�����。
