Blue Mantis本周早些時候在吉列體育場舉辦了首次網(wǎng)絡安全研討會�,背景是新英格蘭愛國者隊的六面冠軍旗幟——這是一個合適的場地,因為正如人們所說���,防守贏得冠軍�����。對于企業(yè)來說也是如此:強大的網(wǎng)絡防御可以最大限度地減少網(wǎng)絡攻擊的損害��,而薄弱的防御可能導致毀滅性的損失。
研討會的主題是“揭示網(wǎng)絡攻擊的解剖學:深入探索嚴酷現(xiàn)實”����,重點不是預防網(wǎng)絡攻擊,而是在被攻擊時的最佳實踐��。一個安全專家小組討論了一個真實的網(wǎng)絡攻擊案例�����,重點是受害者的反應和汲取的教訓�����。
Blue Mantis的首席運營官Jay Pasteris指出�,一些簡單的安全措施沒有到位:密碼從未要求更改��,缺乏多因素認證(MFA)的要求�,并且雖然在最初受損的設(shè)備上有擴展檢測和響應(XDR),但XDR配置不當�����。
“最終����,該代理的密碼被泄露并發(fā)布在暗網(wǎng)上,一個黑客組織能夠獲得該密碼���,”他說��。該黑客能夠提升在公司環(huán)境中的權(quán)限��,并建立一個勒索軟件包�?�!八栽贒-Day(決定性日子)���,他們按下按鈕就關(guān)閉了整個組織�?!?
有一個計劃并遵循它
從這個網(wǎng)絡攻擊中應該學到什么教訓?
首先也是最重要的,波士頓學院網(wǎng)絡安全政策與治理碩士項目的創(chuàng)始人兼主任Kevin Powers認為�,企業(yè)必須做好準備。類似于足球����,企業(yè)將成為各種攻擊的目標,因此他們必須確保在攻擊發(fā)生后不會手忙腳亂地制定計劃���,他們需要一個涵蓋所有場景的計劃。“當你考慮事件響應時���,實際上應該考慮事件規(guī)劃��、響應和管理?!彼f。
遭遇網(wǎng)絡攻擊時����,你做的第一件事是查看事件響應計劃?��!叭绻阍诠糁杏懻摗覀儜撀?lián)系FBI嗎?我們應該這樣做嗎?’那是個問題��,”Powers說���,“這是你應該已經(jīng)計劃和討論過的事情……當你考慮事件響應時��,你首先考慮的是計劃���?�!?
Pasteris補充說��,了解你的資產(chǎn)是至關(guān)重要的�,因為事情往往會被忽視�。你不僅應該知道你使用了哪些應用程序,還應該知道你如何保護這些應用程序��?�!昂芏嘟M織不跟蹤他們的資產(chǎn)��,”他說�����,“他們?nèi)绾伪Wo這些資產(chǎn)�,如何圍繞這些應用進行深度防御�。”
你還需要考慮網(wǎng)絡保險——不僅要將其作為計劃的一部分�,還要理解它的覆蓋范圍。
“網(wǎng)絡保險的關(guān)鍵是回到事件規(guī)劃����,”Powers說����,“如果你說��,‘天哪��,我們的保險不包括這些!’那么����,這是你的問題��,因為你沒有合理地計劃�,你將失去這場戰(zhàn)斗�。”
重要的是要明白����,保險是建立在條件基礎(chǔ)上的����,Manatt, Phelps & Phillips, LLP的合伙人和隱私與網(wǎng)絡安全實踐的共同領(lǐng)導人Scott Lashway說?�!拔覀円揽烤W(wǎng)絡保險來做一些網(wǎng)絡保險本身并未設(shè)計的事情,它是建立在條件基礎(chǔ)上的�,所以有國家排除條款……有戰(zhàn)爭排除條款?�!?
何時聯(lián)系FBI
根據(jù)Blue Mantis的安全實踐負責人Jay Martin���,另一個大問題是如果以及何時在網(wǎng)絡攻擊后應該聯(lián)系FBI����,因為很多公司擔心會引起FBI的注意����。“我們是否應該聯(lián)系FBI?不聯(lián)系FBI?當我們聯(lián)系他們時���,他們會為我們做些什么?”
喬·博納沃倫塔(Joe Bonavolonta)�,現(xiàn)任全球風險與情報咨詢公司Sentinel的管理合伙人��,曾在FBI工作超過27年���,其中包括擔任FBI反間諜計劃負責人,他表示�,聯(lián)系FBI有其優(yōu)勢��。博納沃倫塔向聽眾保證�,F(xiàn)BI在處理此類攻擊時采取的是以受害者為中心的方法��,他們不會穿著突擊夾克�,開著警笛和閃燈出現(xiàn)在你的辦公室。他說����,絕大多數(shù)事件響應是通過電話��、電子郵件或視頻會議進行的�。
與FBI合作的一個大好處是���,他們可能擁有大量的情報���,可以幫助你的企業(yè)緩解威脅,并幫助其他公司避免成為相同攻擊的受害者�,博納沃倫塔說��。
此外�,F(xiàn)BI可能擁有你公司所需的解密密鑰��?!斑@就是為什么聯(lián)系FBI和我們的合作伙伴很重要�����,因為我們可能擁有那個解密密鑰���,或者更重要的是����,我們可能與擁有解密密鑰的私營部門實體有合作關(guān)系�,因為他們之前也是受害者?!彼f。
博納沃倫塔還表示�,“如果支付贖金,在某些情況下我們有能力……在資金實際流出之前可能會停止并凍結(jié)這些資產(chǎn)或資金���。” “然后還存在其他情況�,基于FBI和我們的合作伙伴與云提供商的關(guān)系,我們實際上能夠從存儲在某些服務器上的公司中檢索被盜數(shù)據(jù)��。”
回到全面的網(wǎng)絡安全計劃的重要性�,博納沃倫塔建議組織主動與FBI建立關(guān)系?�!霸谇闆r非常糟糕之前��,先了解名字��、電話號碼�����、電子郵件地址�,并與對方見面,因為在重大危機期間�����,不是建立這些關(guān)系的時機?��!彼f��。
是否支付勒索贖金?
也許遭遇勒索軟件攻擊的企業(yè)面臨的最大問題是是否應該支付贖金�。
“這是一種巨大的風險,”波士頓學院網(wǎng)絡安全政策與治理碩士項目的創(chuàng)始人兼主任凱文·鮑爾斯(Kevin Powers)說���,“你在與犯罪分子打交道�����。你可以與犯罪分子簽訂合同����。這和一張廁紙的價值一樣���?����!?
博納沃倫塔表示��,F(xiàn)BI不建議支付贖金���。他見過公司支付贖金后,壞人不僅不解密他們的文件�����,還聲稱他們也竊取了大量數(shù)據(jù),除非公司再次支付贖金����,否則他們將公開這些數(shù)據(jù)?�!拔覀儍?nèi)部稱之為‘雙重勒索’”他說�。
“我不喜歡支付贖金,我甚至不喜歡談判�����,”斯科特·拉什韋(Scott Lashway)說�,“我們盡量使其機械化?��!?
拉什韋說��,在支付勒索贖金之前����,你必須做三件事:
1.通過法律審查����,確定支付贖金是否可行
2.與FBI交談,因為你可能會給自己帶來大量法律犯罪風險
3.如果你決定支付贖金��,請讓別人代你談判����。“你在與非常壞的人打交道——非常壞的人��,他們有做一些事情的傾向��,比如‘我有你CEO的家庭平面圖’��,”他提醒聽眾���。
沒有借口……相反��,要做好任何準備
拉什韋補充說��,僅僅因為有“這不是‘是否’�����,而是‘何時’你公司將被攻擊”的敘述�����,不要把它當作借口���?��!拔覀兌夹枰甄R子,真正擺脫這種心態(tài)�,”他說,“這已經(jīng)成為一種借口�。律師用它來為公司被攻擊辯解,這已經(jīng)成為董事會在不為你的技術(shù)需求提供資金時的借口���?��!?
換句話說,停止找借口�,預料到意外,并做好準備——就像愛國者隊在第49屆超級碗中所做的那樣��,盡管所有跡象都表明要跑球����,他們也準備好了傳球�,最終由馬爾科姆·巴特勒(Malcolm Butler)在門線處攔截傳球,這成為勝利與慘敗之間的關(guān)鍵�����。
