勒索软件被许多人视为该组织面临的最具威胁性的网络安全风险。2019年,50%以上的企业被勒索软件攻击,估计损失115亿美元。
仅去年12月,包括佳能,Garmin、包括柯尼卡美能达和嘉年华在内的主要消费者公司经成为主要勒索软件攻击的受害者,从而为文件访问权支付数百万美元。
那么,遇到勒索软件攻击后该怎么办呢?有效恢复的步骤有哪些?以下是一些技巧分享。
意识到被攻击了!检测到感染
最具挑战性的步骤是意识到问题。
勒索软件攻击检测得越早,受影响的数据就越少。这也直接影响了恢复环境所需的时间。然而,现实往往是,企业在看到赎金文件后意识到自己被抓住了,但已经造成了损害。因此,有一个网络安全解决方案,可以识别异常行为(如异常文件共享),可以帮助快速隔离勒索软件感染,并在进一步传播之前阻止它。
与基于签名或网络流量的检测相比,异常文件行为检测是检测勒索软件攻击最有效的方法之一,误报最少。
“基于签名”检测方法有一定的效果,但已知需要勒索软件。如果有可用的代码,可以训练软件找到代码。然而,复杂的勒索软件攻击正在使用新的、未知的勒索软件形式,因此训练效果并不理想。建议使用它AI / ML通过搜索行为来确定是否存在攻击,如文件的快速连续加密。
此外,勒索软件通常通过在线钓鱼电子邮件攻击——有危险文件附件或超链接的电子邮件影响组织。电子邮件等关键业务系统的良好防御机制也是必要的。
及时止损
检测到感染后,可以隔离勒索软件的过程,防止其进一步传播。如果是在云环境中,这些攻击通常来自第三方应用程序或由操作勒索软件加密过程的浏览器插件驱动的远程文件同步或其他过程。只要勒索软件攻击的来源被挖掘和隔离,就可以帮助我们遏制感染,从而减少对数据的损害。
为了快速有效,这个过程必须自动化。识别感染后,自动化程序将删除可执行文件或扩展名称以防止攻击,并将感染文件与环境的其他部分隔离。
另一种止损方法是购买网络责任保险,保护企业(以及企业中的个人)免受基于互联网的风险(如勒索软件攻击)以及与信息技术基础设施、信息隐私、信息治理责任等相关风险相关的风险。
恢复受影响的数据
在大多数情况下,即使勒索软件攻击被快速检测和遏制,部分数据仍需恢复。这需要良好的数据备份才能恢复到生产状态。
一般来说,按照3-2-1备份最佳实践,备份数据必须与生产环境分开。
- 保留所有重要文件的三份副本,即一份主要文件和两份备份文件
- 将文件保留在2种不同的媒介类型上
- 异地维护一份副本
数据备份是从勒索软件攻击中恢复的救命稻草。
上报通知
如今,大多数组织需要遵守许多合规法规,要求组织通知监管机构违规行为,然后通知当地执法部门。如果是关键领域的企业事业单位,在通知和报告方面有更严格的标准。
再次检查!测试访问权限
恢复数据后,需要测试对数据和任何受影响的关键业务系统的访问权限,以确保数据和服务的成功恢复,然后将整个系统重新投入生产。
如果在检查过程中发现IT环境中的一些响应时间比平时慢,或者文件大于正常大小,可能表明数据库或存储中仍然存在一些未处理的威胁。
最后
有时候最好的进攻是好的防守。勒索软件攻击和重新获得访问关键文件的权利只有两种选择:对抗或顺从地支付赎金。如果是后者,根据最近的报告,约42%的支付赎金的组织文件尚未解密……
鉴于企业勒索软件攻击数量的增加,如果没有适当的安全备份和检测系统,后果将是灾难性的。
参考来源:helpnetsecurity