通过将防御意识和防御准备相结合,就有很大的可能躲过勒索软件的攻击。通常,勒索软件攻击具有误导性,这意味着防御者要么完全阻止攻击,要么攻击者完全控制其目标IT基础设施。但过去几年表明,防御者在应对勒索软件攻击方面的成功取决于一系列潜在结果,并且其中一些明显优于其他结果。
我们也很容易想象,所有从事勒索软件业务的团队都拥有相同的技能,相同的目标,并在相同的商业模式下运作。但与任何垂直行业的情况一样,勒索软件团体具有广泛的技能、各种攻击目标和不同的商业模式。
虽然现在大家都喜欢将REvil和DarkSide称为提供勒索软件即服务的特许经营商,但重要的是要记住,特许经营商实际上是自由职业的网络犯罪分子。特许经营者为这些自由职业者提供后台操作,但对他们的其他运营方式几乎没有影响。
鉴于上述情况,让我们考虑一下可能影响攻击结果的每个因素。
攻击者的技能和防御者的技能——再加上一些运气因素——通常决定了攻击可能进展到何种程度:
· 低技能:一些攻击者可能擅长攻击安全实践滞后的组织,但通常会在具有强大防御能力的组织中遇到他们的对手
· 错误的技能:拥有可用于攻击传统数据中心的技能和工具的攻击者将难以攻入已将所有内容移至云端的目标
· 运气不好:被锁定的组织组织通常被锁定,但可能会被暂时暴露从而让攻击者有发现的可能
· 运气较好:那些持续开放(例如,在AWS enclave中对外部开放RDP访问)的组织运气很不错,因为没有攻击者遇到它
攻击组也可能专注于以泄漏为中心与以运营为中心的目标。
以泄漏为中心的目标涉及泄露和威胁泄漏属于目标组织的机密数据。这方面最有价值的数据通常是与目标客户和员工相关的数据,因为潜在的声誉和法律责任是支付赎金的有力诱因。
或者,公开披露或出售知识产权或商业秘密也可以促使目标组织支付赎金。此类攻击的策略通常涉及向受害者发送数据样本以显示攻击者拥有的数据。从那里,它可以升级为公开数据样本并联系受害者的客户,向受害者施加压力以支付赎金。
以泄漏为中心的攻击的一个例子是与REvil相关的对Quanta的攻击,该攻击泄露了未来Apple产品设计的规范。攻击者首先向Quanta索要5000万美元的赎金,但很快就认定苹果财力雄厚,并试图勒索5000万美元,以换取不公开泄露数据,或将其出售给苹果竞争对手。
以运营为中心的目标包括试图削弱受害组织继续运营的能力。这些攻击有时集中在传统的IT系统上,有时则针对作为OT(操作技术)的系统,但这些系统通常由传统IT(例如Windows NT)技术组装而成。
该方案通常不存在机密数据的泄露或出售数据的情况。与DarkSide相关的对Colonial Pipeline的攻击(支付了450万美元的赎金)和与REvil相关的对JBS Foods的攻击(支付了1100万美元的赎金)正是针对这一目标:支付赎金是为了确保公司及时恢复正常运营的能力。
有几个因素(包括运气)限制了勒索软件攻击的可能结果。可能的结果包括:
· 攻击者在目标组织上进展不足并放弃。这可能是由于攻击者发现成功实施攻击的难度很高,或者因为攻击者同时进攻的其他一些目标看起来更有希望,因此将此视为机会成本。无论哪种方式,都不需要再支付赎金。
· 攻击者在一定程度上取得了成功,并相信自己在索要赎金方面具有一定的影响力,但最终并未支付赎金。这些情况下,结果通常是产生一些运营影响或声誉损害。
· 攻击者在一定程度上取得了成功,并且赎金请求足够温和,受害者可能会选择支付赎金,因为它的成本低于恢复工作的成本。这也可能受到受害者拥有提供勒索软件保险的网络保险单的影响。
· 攻击者成功接触到了核心业务,并有效地阻止了受害组织继续开展业务。在这种情况下,受害组织可能会支付赎金(Colonial Pipeline,JBS Foods)并相对较快地恢复服务。或者他们拒绝支付(参见巴尔的摩市的RobbinHood攻击或亚特兰大市的Samsam攻击)并最终从头开始重建他们的IT基础设施。
您应该列出各种场景,包括攻击者追求针对的以泄漏为中心和以运营为中心的目标,并思考您如何应对攻击者部分或是完全的成功:
· 了解您的网络保险政策的范围以及它有哪些限制。
· 如果涉及赎金请求,您的网络保险提供商会指派人员来处理赎金谈判吗?
· 你有事件响应公司吗?
· 您的灾难恢复计划有多强大?
这些类型的许多问题都会逐渐浮现出来,这将帮助你在遭受攻击时做好更充分的准备。
参考及来源:https://threatpost.com/a-guide-to-surviving-a-ransomware-attack/180110/