网络攻击的残酷现实:从概率到确定性

James Allman-Talbot
作者: James Allman-Talbot
发表日期: 二零二三年十二月五日

现在很明显,大多数组织都将不可避免地遭受网络攻击. 网络安全 measures implemented by enterprises, 随着网络犯罪手段的日益成熟,政府和个人越来越被淘汰.1 也许网络安全措施过时的速度部分是由于不道德的个人将人工智能(AI)重新用于恶意目的. WormGPT, a generative AI tool that can be used for cybercrime, 已经被吹捧为网络罪犯发动复杂的网络钓鱼和电子邮件攻击的一种方法.2 今天,对于希望保持数据安全的组织来说,前景是严峻的. 像这样, 有必要了解实际的方法,以减少遭受攻击的影响.

So, You Were Breached

在一个组织被黑客攻击的不幸事件中, 网络安全团队可以采取(或避免)某些会显著影响恢复时间和成本的操作. 第一个行动是向所有有关当局报告这一事件, just as someone would declare a physical crime. 许多组织在法律上有义务报告此类事件,并通知当局有助于保护其他澳门赌场官方下载免受类似攻击. 值得注意的是,当局和监管机构不会追究责任. 他们试图从攻击中学习有价值的经验教训,并建立黑客档案,以帮助最小化其他组织可能面临的后果. 此外,澳门赌场官方下载应提醒其网络保险提供商. This is often a prerequisite for filing a claim, and evidence must be presented to receive compensation.

After the appropriate authorities have been notified, 重要的是,it团队要放慢速度,避免在匆忙中犯代价高昂的错误. It is too late to take preventive measures. 第一反应通常是快速恢复受影响的IT系统,并立即修复任何遗留问题. Rather, IT teams must focus on containing the situation.

Post-Ransomware Response

每次攻击都是不同的,尤其是勒索软件. 但是,在发生勒索软件事件时,可以采取以下几种有价值的措施:

  • Isolate affected devices, but do not shut them down. 如果系统关闭,可能会丢失对调查至关重要的证据, resulting in an incomplete investigation.
  • 隔离受影响的用户帐户并终止活动会话. 攻击者很可能知道账户密码, 因此, 禁用受影响的帐户和终止会话删除了一种访问方法—特别是如果使用Azure Active Directory (AD)或任何其他基于云的用户管理平台.
  • 隔离网段,防止攻击扩散. 有一种可能性是,特定的勒索软件变体可以自我传播. 隔离网段可确保任何尚未受到影响的系统保持这种状态. 随着人工智能勒索软件的威胁即将到来,这一步比以往任何时候都更加重要.
  • Take backup servers offline. 在恢复过程中,备份是至关重要的,确保尽可能快地保存备份非常重要.
  • Power off the domain controller. 除非域控制器受到勒索软件的影响(在这种情况下,它应该保持通电状态), but with no network connectivity), 下电域控制器将停止通过网络进行任何进一步的身份验证.
  • Change network-shared files to the read-only setting. 这可以防止勒索软件对环境中的任何关键文件共享造成进一步的破坏.

Stay Calm, Keep a Log

Being hacked creates stress and chaos. 重要的是要保持冷静,听取可靠来源的建议. 应该指定一名网络事件负责人,他可以在日志中记录行动和决策,并为进一步的网络保护和数据恢复建立优先级列表.

最重要的是,避免指责攻击是至关重要的. 网络攻击是复杂的,一个聪明的网络钓鱼尝试可以欺骗任何人. 推卸责任既没有成效,也解决不了问题.

网络攻击是复杂的,一个聪明的网络钓鱼尝试可以欺骗任何人.

Ten Actions to Take and 10 to Avoid

在成为网络攻击的受害者后,应该遵循以下10个战略步骤,以帮助组织加速恢复. Those actions organizations should take include:

  1. 报告事件.
  2. Call your cyberinsurance provider. 他们可能会给你指出哪些公司可以提供帮助, and this may also be a condition of your policy.
  3. 寻求帮助. 不要单打独斗. 您的网络保险提供商可能会向您介绍事件响应, 公共关系(PR)或法律公司,他们有处理攻击的经验,可以帮助指导您以正确的方式完成攻击. 也不要害怕与行业合作伙伴联系——他们可能也经历过这种情况.
  4. Appoint a cyberincident owner. 这个人应该有足够的资历来做关键的决定, depending on the type of incident. For a serious ransomware attack, this may be a chief information security officer (CISO), 首席信息官(CIO)或首席技术官(CTO).
  5. Record actions and decisions in a log. This allows you to undertake a post-incident review, 从长远来看,哪些可以帮助提高整体的网络弹性.
  6. Focus on containment. 确保系统和网络尽快隔离. 这可以确保损害不会变得更糟,并可以避免未来的头痛.
  7. 听. 您可能已经与第三方联系以帮助应对该事件, whose advice may seem counterintuitive. Trust their expertise. 他们看到许多组织都经历过同样的经历,有很多经验可供学习.
  8. 要有耐心. 避免做出仓促的决定或下意识的反应. 快速修复可能最终使组织更加脆弱,并从长远来看造成更大的伤害.
  9. Help authorities and regulators as much as possible. 他们可能会有很多问题,但他们并不想推卸责任. 向他们提供信息可以防止其他澳门赌场官方下载遭受同样的攻击.
  10. Be faster than the story. Think decisions through carefully, but do not hesitate. 像这样的攻击可能是快节奏的,以一种快速但深思熟虑的方式对它们做出反应是成功恢复的关键.

相反,澳门赌场官方下载在成为网络事件的受害者后,应该避免以下10种反应:

  1. Avoid letting everyone help at the same time. If news gets out that an enterprise has been attacked, it is likely to be inundated with offers of support. 重要的是要有选择性地选择谁来帮助确保没有冲突的优先事项,并且只有一小部分值得信赖的顾问.
  2. Avoid paying the cybercriminal. This is what motivates them, 澳门赌场官方下载不断支付赎金只会让他们在未来发动更多的攻击. 在某些情况下,它还可能违反对已知犯罪集团的国际制裁.
  3. Avoid communicating externally. 只有当组织知道如何沟通和沟通什么内容时,才应该开始这样做.
  4. 避免撒谎或低估事件的严重性. 这可能会迅速损害澳门赌场官方下载在客户心目中的声誉, 供应商和公众,因为真相迟早会大白于天下. This is especially true for ransomware cases, 众所周知,勒索软件组织会公开发布受害者名单.
  5. Avoid trying to recover too soon. 在没有重新考虑网络基础设施和安全规定的情况下进行恢复会增加澳门赌场官方下载在未来再次受到威胁的可能性. 将此作为重新设计基础设施的机会,并将安全性放在首位.
  6. Avoid focusing solely on root-cause analysis. Depending on the organization, 广泛的勒索软件攻击可能会影响业务运营. 首要任务应该是让澳门赌场官方下载以安全可靠的方式启动和运行, 重要的是不要让调查妨碍到这一点. 但是,可能需要进行一些调查来通知恢复过程.
  7. 避免在没有充分考虑之前购买更多的安全工具. 人们可能会突然投资安全工具来解决这个问题, 然而,市场上有这么多不同的选择,仔细考虑哪一个最适合你的组织是很重要的.
  8. Avoid pointing fingers or assigning blame. You are the unfortunate victim of a crime, 除了罪犯自己,没有人有错. 尤其是随着人工智能的发展,攻击变得越来越复杂, anyone can fall for a clever social engineering attack. 网络攻击是生活中的一个事实,每天每时每刻都在世界各地发生. 责备并不能解决问题,只有团队的努力和奉献才能解决问题.
  9. Avoid denying anything before the facts are available. Controlling the message is important, 但是不要否认任何你没有事实支持的事情. 随着调查的进行,事情会逐渐明朗,而你之前说过的话会对你的名誉造成不可挽回的损害.
  10. Avoid trying to cover things up. 在当今世界, 任何发生大型服务事故的人都将面临来自供应商和公众的大量问题,询问是否涉及勒索软件. 掩盖事实只会让不可避免的承认变得更加难以忍受, 重要的是不要给人们留下任何猜测的空间.

结论

组织可以从对数据安全现实的洞察中获益, especially in the context of ransomware attacks. Hackers are more organized, 获得更多资金,并能够利用许多网络安全专业人员需要跟上的工具. Ransomware actors are financially motivated, 因此, 任何急于满足他们要求的组织都只会火上浇油, 鼓励犯罪分子进一步努力,攻击更多的澳门赌场官方下载. 澳门赌场官方下载可以采取许多经过验证的步骤,避免风险响应,冷静有效地管理网络事件, 包括与第三方合作,以帮助应对这种情况,并向有关当局报告事件. These steps alone can help a great deal, 然而, 在事件响应计划中可能很难捕捉到文化方面的内容. 清晰的, 理性的决策将谨慎管理风险的成功反应与放大风险的反应区分开来, not only for impacted organization, but for any other potential victims.

尾注

1 World Economic Forum, The Global Risks Report 2022瑞士,2022年
2 而不是,”WormGPT:新的人工智能工具允许网络犯罪分子发动复杂的网络攻击,” 黑客新闻, 2023年7月15日

James Allman-Talbot

是Quorum网络的事件响应和威胁情报主管吗. 他拥有超过15年的网络安全工作经验,并在包括航空航天和国防在内的各种其他行业工作过, 执法, and professional services. 他为政府机构和跨国组织建立和发展了事件响应和威胁情报能力, 在事故发生期间,他与董事会高管密切合作,为他们提供恢复和网络风险管理方面的建议.