在接受行業(yè)媒體的采訪中,網(wǎng)絡(luò)安全服務(wù)商Sygnia公司英國和北歐地區(qū)的Azeem Aleem博士揭示了勒索軟件談判的復(fù)雜性,并強(qiáng)調(diào)了企業(yè)可以采取哪些措施來保護(hù)自己免受網(wǎng)絡(luò)威脅。
典型的勒索軟件談判過程是什么樣的?專業(yè)人士可以采用什么談判策略來降低勒索贖金?
Aleem:如果企業(yè)遭到勒索軟件攻擊,威脅行為者可以利用它作為進(jìn)行勒索的機(jī)會(huì),承諾以交錯(cuò)的方式發(fā)布數(shù)據(jù),以確保他們從勒索軟件攻擊中獲得最大收益。其結(jié)果是,企業(yè)可能會(huì)與威脅行為者陷入無休止的贖金循環(huán)。這就是人們被要求調(diào)查和防范重大勒索軟件、企業(yè)間諜活動(dòng)、金融盜竊甚至民族國家攻擊的原因。
人們總是在網(wǎng)絡(luò)安全預(yù)防方面犯錯(cuò)誤,他們需要跟上威脅行為者的發(fā)展步伐,這意味著投資并尋求第三方安全專家的幫助,他們可以從頭開始審查企業(yè)的安全堆棧,發(fā)現(xiàn)企業(yè)可能沒有注意到的細(xì)節(jié)。應(yīng)對(duì)網(wǎng)絡(luò)犯罪需要多種技能,包括預(yù)測和適應(yīng)性思維,以及真正看到網(wǎng)絡(luò)威脅的全面或微觀視角。
在與威脅行為者接觸之前,企業(yè)需要為勒索談判獲得正確的技能。例如可以從精英軍事技術(shù)部門和網(wǎng)絡(luò)行業(yè)中挑選精英人才,例如軍事情報(bào)部門前官員、犯罪心理學(xué)家、勒索軟件黑客談判代表等等。這是一支非常獨(dú)特的團(tuán)隊(duì),他們?cè)诩夹g(shù)優(yōu)勢、數(shù)字作戰(zhàn)、數(shù)據(jù)分析和商業(yè)方面擁有訓(xùn)練有素的技能,為企業(yè)提供軍事級(jí)別的安全。
企業(yè)要意識(shí)到會(huì)有更多的損失——需要愿意談判,這意味著“玩游戲”以獲得最好的結(jié)果。成功進(jìn)行談判意味著在保護(hù)被盜數(shù)據(jù)的同時(shí)支付很少費(fèi)用或不支付任何費(fèi)用。網(wǎng)絡(luò)威脅談判專家可以找到漏洞的來源,并使用策略來延遲交付贖金,同時(shí)為企業(yè)的調(diào)查團(tuán)隊(duì)提取關(guān)鍵信息,以映射到威脅行為者的特定行為。例如,企業(yè)的談判者可能會(huì)假設(shè)一個(gè)特定的角色來建立同理心和信任,創(chuàng)造一種友誼感,這有助于打開溝通渠道,達(dá)成更好的交易。
通過查找漏洞來源來避免雙重勒索和三重勒索。談判團(tuán)隊(duì)將努力揭示勒索軟件攻擊者的動(dòng)機(jī),調(diào)查來源,遏制威脅,最大限度地減少泄露暴露時(shí)間(BET),然后幫助補(bǔ)救和恢復(fù),以此作為打破威脅循環(huán)的一種方式。談判者將協(xié)助找到能夠幫助技術(shù)團(tuán)隊(duì)揭示未知狀況的“黑天鵝”。
通過了解勒索軟件攻擊者使用的工具、策略和過程(TTP),可以確定勒索軟件攻擊的復(fù)雜程度。有時(shí)勒索軟件攻擊者的攻擊方式或者工具并不復(fù)雜,但他們可能發(fā)現(xiàn)了一個(gè)未知的漏洞,可以繼續(xù)濫用。
使用勒索軟件談判服務(wù)而不是在企業(yè)內(nèi)部處理談判有什么好處?
Aleem:第三方高技能的事件響應(yīng)團(tuán)隊(duì)可以通過與企業(yè)合作為其提供大量專業(yè)知識(shí),這可能是傳統(tǒng)內(nèi)部安全團(tuán)隊(duì)所缺少的知識(shí)和技能。例如我們從精英軍事技術(shù)部門和網(wǎng)絡(luò)行業(yè)中挑選精英人才,例如前軍事情報(bào)官員、犯罪心理學(xué)家、勒索軟件黑客談判代表等。這是一支獨(dú)特的團(tuán)隊(duì),他們?cè)诩夹g(shù)優(yōu)勢、數(shù)字作戰(zhàn)、數(shù)據(jù)分析和商業(yè)方面擁有訓(xùn)練有素的技能,可以為企業(yè)提供軍事級(jí)別的安全保障。事實(shí)上,一些國家悄悄地向他們尋求幫助。
談判人員可以推遲企業(yè)對(duì)贖金要求的回應(yīng)。這種延遲提供了什么好處,它如何影響勒索軟件攻擊的結(jié)果?
Aleem:網(wǎng)絡(luò)威脅行為者現(xiàn)在可能是擁有人力資源、薪資和銷售團(tuán)隊(duì)的大企業(yè)。他們需要像企業(yè)保護(hù)贖金一樣保護(hù)自己的行業(yè)聲譽(yù)。不幸的是,在某些情況下,由于攻擊本身的性質(zhì),支付贖金是不可避免的。例如,對(duì)工業(yè)基礎(chǔ)設(shè)施的攻擊,不僅會(huì)對(duì)網(wǎng)絡(luò)安全造成影響,還會(huì)對(duì)工作和生活造成物理影響。
研究機(jī)構(gòu)最近發(fā)布的一份研究報(bào)告表明,在今年上半年,全球企業(yè)支付了4.491億美元的贖金。勒索談判將有助于發(fā)現(xiàn)勒索軟件攻擊者的未知之處,找到安撫他們的方法,并減少贖金——在某些情況下,可能會(huì)阻止未來的攻擊。我們實(shí)際上是在爭取時(shí)間來控制威脅、恢復(fù)數(shù)據(jù)和彌補(bǔ)安全漏洞。
在遭受勒索軟件攻擊之后,企業(yè)應(yīng)該立即采取什么措施,以使自己處于成功談判的最佳位置?
Aleem:•建立安全的離線渠道。這本質(zhì)上是一個(gè)作戰(zhàn)室,以簡化戰(zhàn)略團(tuán)隊(duì)溝通。網(wǎng)絡(luò)攻擊不再是一個(gè)IT問題,必須提交給企業(yè)董事會(huì),特別是如果監(jiān)管措施被忽視,首席執(zhí)行官可能會(huì)發(fā)現(xiàn)自己被解雇。
•保持冷靜,避免下意識(shí)的反應(yīng)??謶謺?huì)讓人驚慌失措,影響判斷??梢試L試回應(yīng)威脅行為者,提示他們成功的“標(biāo)記”。
•招募外部的突發(fā)事件應(yīng)對(duì)專家來調(diào)查、評(píng)估和繪制危機(jī)地圖。不要單獨(dú)與威脅行為者接觸。
•應(yīng)用網(wǎng)絡(luò)分段,并將備份環(huán)境與網(wǎng)絡(luò)分離。
•斷開員工與電子郵件和服務(wù)器的連接,以避免傳播攻擊。許多供應(yīng)鏈攻擊可以通過這種方式擴(kuò)大攻擊規(guī)模。
•評(píng)估運(yùn)營環(huán)境,了解攻勒索軟件擊的來源。
•謹(jǐn)慎對(duì)待補(bǔ)救和消除后門。這樣的緩解活動(dòng)可能會(huì)讓威脅行為者意識(shí)到有人盯上了他們。確保企業(yè)正在進(jìn)行的流程是全面的,并使用定制的監(jiān)視工作來支持補(bǔ)救,以防止進(jìn)一步的風(fēng)險(xiǎn),并檢測可能遺漏的任何后門。
能否舉例說明企業(yè)如何成功使用勒索軟件協(xié)商服務(wù)來減輕勒索軟件攻擊的影響?
Aleem:我們的勒索軟件談判服務(wù)限制了對(duì)企業(yè)的損害,能夠快速發(fā)現(xiàn)威脅并最終以更快的速度減少贖金。我們的調(diào)查提供了可以阻止威脅行為者的杠桿,最大限度地減少贖金或根本不支付任何費(fèi)用的最佳結(jié)果。
我們將看到越來越多的運(yùn)營技術(shù)(OT)攻擊,在某些情況下,虛擬世界和物理世界都可能受到影響,因此需要支付贖金。例如,Sygnia公司與一家知名的全球制造公司開展合作,該公司是一個(gè)制造商集團(tuán)的子公司,并且擁有多個(gè)OT生產(chǎn)環(huán)境。該公司遭受了來自PYSA或Mespinoza Ransomware勒索組織的攻擊,網(wǎng)絡(luò)攻擊者對(duì)生產(chǎn)車間的服務(wù)程序進(jìn)行了加密,導(dǎo)致工廠運(yùn)營和客戶交付暫停。對(duì)于這種規(guī)模的企業(yè)來說,任何日常運(yùn)營的中斷都可能造成150萬至200萬美元的損失。
該公司無法繼續(xù)承受這樣的損失,因此在現(xiàn)有工作流程的同時(shí),Sygnia公司幫助調(diào)查和控制威脅,同時(shí)恢復(fù)并與威脅行為者進(jìn)行談判。我們的談判專家團(tuán)隊(duì)找到了與威脅行為者建立信任和同理心的方法——更深入地了解勒索軟件攻擊的起源,以幫助我們的遏制團(tuán)隊(duì)確保他們針對(duì)的是正確的領(lǐng)域。
一旦我們發(fā)現(xiàn)了勒索軟件攻擊的入口點(diǎn)并發(fā)現(xiàn)了橫向移動(dòng)向量,我們就能夠追蹤到攻擊的起源,并將其追蹤到制造商集團(tuán)內(nèi)的另一家子公司。我們?cè)诠?yīng)鏈攻擊中多次看到這種情況,企業(yè)內(nèi)部團(tuán)隊(duì)為了提高效率而彼此共享系統(tǒng),但他們卻不知道,這也為威脅行為者提供了利用和傳播攻擊的途徑。
Sygnia公司展示了我們的調(diào)查結(jié)果,并與兩個(gè)法律團(tuán)隊(duì)分享了過濾之后的數(shù)據(jù)進(jìn)行分析。在這種情況下,我們能夠從我們的“安全島”恢復(fù)環(huán)境,因此不必支付贖金。我們還修復(fù)了漏洞,以防止再次發(fā)生勒索軟件攻擊,并幫助制造商在最初的妥協(xié)之后兩周內(nèi)恢復(fù)這家工廠的全面運(yùn)營。
可以解釋一下勒索軟件談判服務(wù)如何與執(zhí)法機(jī)構(gòu)合作,以及這種合作如何使受害企業(yè)受益嗎?
Aleem:在多個(gè)案例中,Sygnia公司的談判小組與執(zhí)法機(jī)構(gòu)進(jìn)行了廣泛的合作。這主要是為了了解勒索軟件攻擊的范圍,改進(jìn)安全團(tuán)隊(duì)的工具、策略和過程(TTP),并爭取關(guān)鍵時(shí)間以加快遏制過程。
關(guān)于企業(yè)網(wǎng)D1net(r5u5c.cn):
國內(nèi)主流的to B IT門戶,同時(shí)在運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。