網(wǎng)絡(luò)事件發(fā)生在節(jié)假日�,這并不罕見(jiàn)。通常���,惡意行為者計(jì)劃在假期前或假期期間或許多員工休假的周末發(fā)動(dòng)攻擊����。因此�����,公司需要更長(zhǎng)的時(shí)間才能發(fā)現(xiàn)問(wèn)題并采取行動(dòng)——這正是這里發(fā)生的情況��。
出了什么問(wèn)題
問(wèn)題始于有關(guān)失敗的備份過(guò)程和防病毒警報(bào)的通知���。幾小時(shí)內(nèi)��,服務(wù)器停止工作��,所有數(shù)據(jù)都被加密���。隨著時(shí)間的推移,一個(gè)已知的勒索軟件組織顯然是這次攻擊的幕后黑手�����,他們成功竊取了敏感數(shù)據(jù)并對(duì)公司的大部分計(jì)算機(jī)和系統(tǒng)進(jìn)行了加密��??蛻魺o(wú)法在線支付賬單或查看他們的賬戶狀態(tài),員工也完全被系統(tǒng)拒之門外���。
后來(lái)�,人們發(fā)現(xiàn)惡意行為者通過(guò)利用電話系統(tǒng)中未公開的弱點(diǎn)然后在網(wǎng)絡(luò)上植入后門來(lái)滲透系統(tǒng)����。與此同時(shí)�,公司發(fā)現(xiàn)了漏洞并進(jìn)行了修補(bǔ),但為時(shí)已晚:這群人在公司網(wǎng)絡(luò)上悄悄停留了五個(gè)月��,等待時(shí)機(jī)發(fā)動(dòng)攻擊。
(資料圖片)
此外�����,CISO 不了解專業(yè)團(tuán)隊(duì)和網(wǎng)絡(luò)團(tuán)隊(duì)的做法����。例如�����,電話系統(tǒng)����、打印機(jī)和照相機(jī)(可能會(huì)顯著增加攻擊面)沒(méi)有得到充分保護(hù)�。
真正出了什么問(wèn)題
該公司糟糕的網(wǎng)絡(luò)衛(wèi)生狀況加劇了這一事件:存在一個(gè) Excel 文件��,其中包含數(shù)百個(gè)系統(tǒng)和服務(wù)器的憑據(jù)���,并且該公司未能擁有其客戶端系統(tǒng)的日志��。此外���,員工可以自由下載�,這增加了將惡意軟件引入端點(diǎn)的風(fēng)險(xiǎn)�����,包括每天連接到網(wǎng)絡(luò)的筆記本電腦����。
然而���,主要問(wèn)題是該公司及其 IT 合作伙伴并不清楚如何有效應(yīng)對(duì)�����。這意味著最初的幾個(gè)小時(shí)——這對(duì)事件響應(yīng)來(lái)說(shuō)是最關(guān)鍵的——用來(lái)確定發(fā)生了什么,誰(shuí)是主要參與者���,以及需要做什么來(lái)恢復(fù)和開始搜索工件以允許 IR 調(diào)查����。浪費(fèi)了寶貴的時(shí)間,用了將近十天的時(shí)間才讓系統(tǒng)恢復(fù)正常�。
從這次事件響應(yīng)中可以學(xué)到什么����?這里有 6 個(gè)重要的要點(diǎn)。
1.準(zhǔn)備計(jì)劃
在事件響應(yīng)方面�,公司必須采取“不是如果,而是何時(shí)”的態(tài)度����。盡管我們寧愿不這么想�,但您的公司很有可能成為網(wǎng)絡(luò)攻擊的受害者��,因此做好準(zhǔn)備很重要����。這意味著擁有SIEM 系統(tǒng)和日志,可以盡可能遠(yuǎn)地回溯�,并擁有指定TTP(技術(shù)、技術(shù)和人員)的事件響應(yīng)手冊(cè)�����。應(yīng)該定期檢查劇本�,并且應(yīng)該對(duì)流程進(jìn)行內(nèi)部認(rèn)證。這也意味著進(jìn)行IR 參與準(zhǔn)備和c危機(jī)管理準(zhǔn)備�。做好準(zhǔn)備意味著一旦發(fā)生網(wǎng)絡(luò)事件,您的公司將能夠迅速做出反應(yīng)�。
2.建立溝通和責(zé)任
事件響應(yīng)發(fā)生的速度可以在限制損害方面產(chǎn)生巨大差異。前幾個(gè)小時(shí)很關(guān)鍵��,但可能會(huì)很混亂���,因?yàn)樗鼈兩婕皥?zhí)法、公共關(guān)系和法律團(tuán)隊(duì)�����、您的網(wǎng)絡(luò)保險(xiǎn)提供商以及 IT 和取證團(tuán)隊(duì)����。顯然,這應(yīng)該不是這些團(tuán)隊(duì)的第一次會(huì)面���。如果已經(jīng)制定了明確的溝通渠道和責(zé)任的計(jì)劃����,那么這將對(duì)流程有很大幫助。
3. 執(zhí)行定期備份
這似乎是顯而易見(jiàn)的�,但許多公司未能理解經(jīng)常備份系統(tǒng)的重要性。是否有可用的備份可以區(qū)分快速恢復(fù)還是長(zhǎng)時(shí)間恢復(fù)�。
4.實(shí)行網(wǎng)絡(luò)衛(wèi)生
除了備份之外�,組織還可以通過(guò)保持良好的網(wǎng)絡(luò)衛(wèi)生來(lái)顯著加強(qiáng)其安全態(tài)勢(shì)。這包括�,例如,啟用多因素身份驗(yàn)證和使用密碼管理器����、通過(guò)訪問(wèn)控制限制用戶權(quán)限、定期打補(bǔ)丁���、加密敏感數(shù)據(jù)以及安全遠(yuǎn)程訪問(wèn)。定期進(jìn)行網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估以發(fā)現(xiàn)網(wǎng)絡(luò)漏洞和計(jì)劃緩解��。這些都是可以最大限度地降低操作中斷����、數(shù)據(jù)泄露和數(shù)據(jù)丟失風(fēng)險(xiǎn)的最佳實(shí)踐示例�����。
5.盡可能隔離網(wǎng)絡(luò)
網(wǎng)絡(luò)隔離可以使威脅行為者更難通過(guò)系統(tǒng),從而極大地幫助組織限制來(lái)自大多數(shù)行為者的網(wǎng)絡(luò)攻擊造成的損害����。它限制了攻擊在網(wǎng)絡(luò)中傳播的距離并隔離了易受攻擊的端點(diǎn)����,從而限制了暴露的風(fēng)險(xiǎn)。然而���,訣竅是確保在網(wǎng)絡(luò)事件發(fā)生之前將網(wǎng)絡(luò)分開����,以便控制損害��。
6.安全培訓(xùn)
安全意識(shí)培訓(xùn)可以通過(guò)對(duì)員工進(jìn)行有關(guān)他們面臨的威脅以及如何應(yīng)對(duì)威脅的教育來(lái)幫助降低網(wǎng)絡(luò)事件的風(fēng)險(xiǎn)���。例如,應(yīng)指示他們避免下載惡意軟件和可疑網(wǎng)站�,識(shí)別釣魚企圖而不響應(yīng)。這會(huì)對(duì)確保您的公司安全產(chǎn)生重大影響��。
如何提供幫助
識(shí)別潛在的攻擊者及其動(dòng)機(jī)���、組織內(nèi)的可能目標(biāo)以及此類攻擊造成的潛在風(fēng)險(xiǎn)����。提供事件響應(yīng)和危機(jī)管理服務(wù)����,以幫助公司從網(wǎng)絡(luò)攻擊中恢復(fù)。防止此類事件發(fā)生��,與紅隊(duì)活動(dòng)相結(jié)合��,以提供最全面的組織安全評(píng)估以及相關(guān)風(fēng)險(xiǎn)分析和見(jiàn)解���。企業(yè)可以評(píng)估、量化和減輕網(wǎng)絡(luò)風(fēng)險(xiǎn)��,以便可以做出更好的安全決策并投資于有效的補(bǔ)救措施�����。
