Blue Mantis本周早些時候在吉列體育場舉辦了首次網(wǎng)絡(luò)安全研討會�,背景是新英格蘭愛國者隊的六面冠軍旗幟——這是一個合適的場地�����,因為正如人們所說�����,防守贏得冠軍。對于企業(yè)來說也是如此:強大的網(wǎng)絡(luò)防御可以最大限度地減少網(wǎng)絡(luò)攻擊的損害���,而薄弱的防御可能導(dǎo)致毀滅性的損失����。
研討會的主題是“揭示網(wǎng)絡(luò)攻擊的解剖學(xué):深入探索嚴(yán)酷現(xiàn)實”���,重點不是預(yù)防網(wǎng)絡(luò)攻擊����,而是在被攻擊時的最佳實踐����。一個安全專家小組討論了一個真實的網(wǎng)絡(luò)攻擊案例,重點是受害者的反應(yīng)和汲取的教訓(xùn)��。
Blue Mantis的首席運營官Jay Pasteris指出���,一些簡單的安全措施沒有到位:密碼從未要求更改��,缺乏多因素認(rèn)證(MFA)的要求���,并且雖然在最初受損的設(shè)備上有擴展檢測和響應(yīng)(XDR)���,但XDR配置不當(dāng)。
“最終��,該代理的密碼被泄露并發(fā)布在暗網(wǎng)上���,一個黑客組織能夠獲得該密碼�����,”他說�。該黑客能夠提升在公司環(huán)境中的權(quán)限�����,并建立一個勒索軟件包��?���!八栽贒-Day(決定性日子)�����,他們按下按鈕就關(guān)閉了整個組織?��!?
有一個計劃并遵循它
從這個網(wǎng)絡(luò)攻擊中應(yīng)該學(xué)到什么教訓(xùn)?
首先也是最重要的�,波士頓學(xué)院網(wǎng)絡(luò)安全政策與治理碩士項目的創(chuàng)始人兼主任Kevin Powers認(rèn)為��,企業(yè)必須做好準(zhǔn)備�����。類似于足球�,企業(yè)將成為各種攻擊的目標(biāo),因此他們必須確保在攻擊發(fā)生后不會手忙腳亂地制定計劃��,他們需要一個涵蓋所有場景的計劃�。“當(dāng)你考慮事件響應(yīng)時��,實際上應(yīng)該考慮事件規(guī)劃�、響應(yīng)和管理?�!彼f�����。
遭遇網(wǎng)絡(luò)攻擊時,你做的第一件事是查看事件響應(yīng)計劃��?!叭绻阍诠糁杏懻摗覀儜?yīng)該聯(lián)系FBI嗎?我們應(yīng)該這樣做嗎?’那是個問題,”Powers說���,“這是你應(yīng)該已經(jīng)計劃和討論過的事情……當(dāng)你考慮事件響應(yīng)時�,你首先考慮的是計劃����。”
Pasteris補充說����,了解你的資產(chǎn)是至關(guān)重要的,因為事情往往會被忽視���。你不僅應(yīng)該知道你使用了哪些應(yīng)用程序���,還應(yīng)該知道你如何保護(hù)這些應(yīng)用程序��?����!昂芏嘟M織不跟蹤他們的資產(chǎn),”他說����,“他們?nèi)绾伪Wo(hù)這些資產(chǎn),如何圍繞這些應(yīng)用進(jìn)行深度防御�。”
你還需要考慮網(wǎng)絡(luò)保險——不僅要將其作為計劃的一部分���,還要理解它的覆蓋范圍���。
“網(wǎng)絡(luò)保險的關(guān)鍵是回到事件規(guī)劃,”Powers說��,“如果你說���,‘天哪�,我們的保險不包括這些!’那么���,這是你的問題�,因為你沒有合理地計劃,你將失去這場戰(zhàn)斗�����?�!?
重要的是要明白���,保險是建立在條件基礎(chǔ)上的�����,Manatt, Phelps & Phillips, LLP的合伙人和隱私與網(wǎng)絡(luò)安全實踐的共同領(lǐng)導(dǎo)人Scott Lashway說�����?����!拔覀円揽烤W(wǎng)絡(luò)保險來做一些網(wǎng)絡(luò)保險本身并未設(shè)計的事情���,它是建立在條件基礎(chǔ)上的,所以有國家排除條款……有戰(zhàn)爭排除條款���?����!?
何時聯(lián)系FBI
根據(jù)Blue Mantis的安全實踐負(fù)責(zé)人Jay Martin���,另一個大問題是如果以及何時在網(wǎng)絡(luò)攻擊后應(yīng)該聯(lián)系FBI,因為很多公司擔(dān)心會引起FBI的注意��?�!拔覀兪欠駪?yīng)該聯(lián)系FBI?不聯(lián)系FBI?當(dāng)我們聯(lián)系他們時�����,他們會為我們做些什么?”
喬·博納沃倫塔(Joe Bonavolonta)���,現(xiàn)任全球風(fēng)險與情報咨詢公司Sentinel的管理合伙人�,曾在FBI工作超過27年��,其中包括擔(dān)任FBI反間諜計劃負(fù)責(zé)人���,他表示�����,聯(lián)系FBI有其優(yōu)勢����。博納沃倫塔向聽眾保證,F(xiàn)BI在處理此類攻擊時采取的是以受害者為中心的方法���,他們不會穿著突擊夾克���,開著警笛和閃燈出現(xiàn)在你的辦公室。他說���,絕大多數(shù)事件響應(yīng)是通過電話��、電子郵件或視頻會議進(jìn)行的���。
與FBI合作的一個大好處是,他們可能擁有大量的情報�����,可以幫助你的企業(yè)緩解威脅��,并幫助其他公司避免成為相同攻擊的受害者,博納沃倫塔說�����。
此外�����,F(xiàn)BI可能擁有你公司所需的解密密鑰���。“這就是為什么聯(lián)系FBI和我們的合作伙伴很重要�,因為我們可能擁有那個解密密鑰,或者更重要的是���,我們可能與擁有解密密鑰的私營部門實體有合作關(guān)系�����,因為他們之前也是受害者��?�!彼f�����。
博納沃倫塔還表示����,“如果支付贖金,在某些情況下我們有能力……在資金實際流出之前可能會停止并凍結(jié)這些資產(chǎn)或資金���?��!?“然后還存在其他情況,基于FBI和我們的合作伙伴與云提供商的關(guān)系���,我們實際上能夠從存儲在某些服務(wù)器上的公司中檢索被盜數(shù)據(jù)���。”
回到全面的網(wǎng)絡(luò)安全計劃的重要性��,博納沃倫塔建議組織主動與FBI建立關(guān)系��?�!霸谇闆r非常糟糕之前��,先了解名字、電話號碼�����、電子郵件地址��,并與對方見面�,因為在重大危機期間,不是建立這些關(guān)系的時機�����?�!彼f��。
是否支付勒索贖金?
也許遭遇勒索軟件攻擊的企業(yè)面臨的最大問題是是否應(yīng)該支付贖金�����。
“這是一種巨大的風(fēng)險�����,”波士頓學(xué)院網(wǎng)絡(luò)安全政策與治理碩士項目的創(chuàng)始人兼主任凱文·鮑爾斯(Kevin Powers)說���,“你在與犯罪分子打交道��。你可以與犯罪分子簽訂合同���。這和一張廁紙的價值一樣?����!?
博納沃倫塔表示��,F(xiàn)BI不建議支付贖金��。他見過公司支付贖金后���,壞人不僅不解密他們的文件����,還聲稱他們也竊取了大量數(shù)據(jù)���,除非公司再次支付贖金���,否則他們將公開這些數(shù)據(jù)�?����!拔覀儍?nèi)部稱之為‘雙重勒索’”他說��。
“我不喜歡支付贖金��,我甚至不喜歡談判��,”斯科特·拉什韋(Scott Lashway)說���,“我們盡量使其機械化?�!?
拉什韋說����,在支付勒索贖金之前,你必須做三件事:
1.通過法律審查����,確定支付贖金是否可行
2.與FBI交談,因為你可能會給自己帶來大量法律犯罪風(fēng)險
3.如果你決定支付贖金���,請讓別人代你談判����。“你在與非常壞的人打交道——非常壞的人�����,他們有做一些事情的傾向���,比如‘我有你CEO的家庭平面圖’��,”他提醒聽眾���。
沒有借口……相反,要做好任何準(zhǔn)備
拉什韋補充說���,僅僅因為有“這不是‘是否’�,而是‘何時’你公司將被攻擊”的敘述��,不要把它當(dāng)作借口�。“我們都需要照鏡子,真正擺脫這種心態(tài)�����,”他說��,“這已經(jīng)成為一種借口��。律師用它來為公司被攻擊辯解����,這已經(jīng)成為董事會在不為你的技術(shù)需求提供資金時的借口?���!?
換句話說,停止找借口���,預(yù)料到意外,并做好準(zhǔn)備——就像愛國者隊在第49屆超級碗中所做的那樣�,盡管所有跡象都表明要跑球,他們也準(zhǔn)備好了傳球�,最終由馬爾科姆·巴特勒(Malcolm Butler)在門線處攔截傳球,這成為勝利與慘敗之間的關(guān)鍵�。
