勒索软件是一种恶意软件,它会加密文件,阻止用户访问或使用计算机系统。勒索软件攻击通常会提出赎金要求,使受感染的计算机、服务器和文件瘫痪。攻击屡见不鲜— Veeam《2023 年全球勒索软件趋势 报告》显示,在过去 12 个月中,85% 的组织遭受过至少一次网络攻击。尽管 80% 的组织支付了赎金,但只有 75% 的组织恢复了对其数据的访问权限,平均而言仅恢复了 66% 的数据。黑客在 75% 的时间内专门针对备份存储库。
另一方面,16% 的被攻击组织在不支付赎金的情况下恢复了数据。这些组织拥有干净、不可变和可靠的备份,以及可按预期运行的集成式勒索软件响应策略。需要强调的是,如果您制定了一个强大的计划来应对勒索软件攻击,则能够从勒索软件攻击中恢复。
勒索软件响应计划的关键要素
由于攻击非常普遍,因此,了解如何从勒索软件攻击中恢复快速至关重要。勒索软件恢复计划的关键方面应包括强化系统、严格的预防措施、勒索软件检测和响应、恢复和还原措施,以及通知相关机构和受影响方的计划。务必进行事后分析,以帮助防止未来的攻击。
第 1 步:预防措施
您可以采取多项措施来防止和缓解勒索软件攻击。其中包括员工培训、风险评估、强化软硬件解决方案、网络分段以及安全的数据备份:
对员工进行培训:您的员工是抵御恶意软件攻击的第一道防线,因此您应该培训他们识别攻击,并向他们介绍勒索软件威胁,以及如何发现系统遭到入侵的迹象。
执行风险评估:让专家团队执行风险评估,以确定恶意软件和勒索软件防御中的弱点。
强化端口和终端设置:禁用未使用的远程桌面端口(RDP),并将 RDP 和其他远程访问协议端口限制为受信任的主机。同样,还要使用安全配置设置来强化终端。
对网络进行分段并实施访问控制:使用虚拟专用网络和硬件工具对网络进行分段。将网络中面向客户的部分与面向内部的部分分开。授予访问权限时采用零信任原则。
实施所有软件更新和补丁:通过精心实施更新和安全补丁来限制入侵风险。
采用安全备份和数据冗余策略:仔细规划备份策略,因为这代表了您的最后一道防线。经常备份,确保您拥有无法更改的不可变副本。保持至少一组完全离线备份。定期检查备份完整性。
第 2 步:检测和响应
对任何勒索软件事件做出及时反应至关重要。借助合适的监控工具,通常可以在攻击进行时阻止攻击。您应该采用 24/7 全天候监控和在线勒索软件检测工具进行监控和检测。通过这种方式,您可以减轻损害并更快地清理系统,如下所示:
确定受影响的系统:确定受影响的系统,并立即将其与网络其他部分隔离。如果攻击影响了多个系统,并且无法初步核实其影响范围,请将网络断开连接。如果您无法轻松使系统脱机,请通过拔下以太网电缆和禁用 Wi-Fi 来限制感染范围。
关闭设备电源:如果无法断开设备与网络的连接,请关闭受影响的设备电源。请注意,此步骤可能会删除保存在丢失易失性内存中的证据。
对受影响的系统进行分类:确定对组织至关重要的系统,并根据组织的优先级按重要性顺序列出它们。
检查日志:查看系统日志,以识别诸如释放器恶意软件、早期攻击和受损网络等前兆。
确定发生了什么:确定导致攻击的事件的顺序,以及攻击者如何能够渗透到您的网络中。
发现威胁:识别勒索软件、其变种以及系统上的任何其他恶意软件。
第 3 步:沟通和报告
报告事件并与受影响的各方透明地沟通所发生的情况。及时的沟通将有助于减轻长期后果,例如信誉损失和惩罚性赔偿。要采取的措施包括:
内部沟通:立即通知所有受影响的员工和职能部门,并通知他们为控制事件而采取的措施。发布定期更新。
通知有关部门:根据当地法令的要求,向地方或国家执法官员报告事件。确保您履行与特定隐私和数据保护法规有关的所有法律义务。
对外沟通:将事件告知客户和业务合作伙伴,并发布有关损失程度的适当信息。请注意,犯罪分子通常会威胁公布机密信息以胁迫受害者支付赎金。
保持透明:虽然公司想要隐藏破坏性信息是很自然的,但网络攻击的消息不可避免地会传出去。透明度可以最大限度地减少对声誉的损害,帮助调查人员,并为受影响的各方提供采取措施保护敏感数据的机会。
第 4 步:隔离策略
在采取措施从系统中根除勒索软件之前,请捕获所有受感染设备的系统映像和易失性内存内容。此信息有助于在取证调查过程中确定发生了什么以及您的系统是如何被侵入的。保留存储在系统内存、安全日志和防火墙日志缓冲区中的易失性信息至关重要。
请咨询联邦执法机构、多州信息共享和分析中心(MS-ISAC)以及您的安全供应商,以确定研究人员是否开发了解密工具或确定了可用于解密数据的加密漏洞。这些资源还可能提供有关识别受影响系统以及如何关闭勒索软件二进制文件的步骤的其他信息。其他步骤包括:
识别所涉及的系统
禁用虚拟专用网络、基于云的终端和公开的终端
关闭服务器端数据加密
识别内部和外部持久性机制
第 5 步:消除策略
消除策略的主要目标是从您的系统(与数据不同)中删除勒索软件和恶意软件的所有痕迹。虽然有时可以对系统进行消毒,但通常来说,擦除系统并使用模板和干净的镜像从头重建系统更为直接、更安全。步骤包括:
擦除或清理所有受感染的系统
重建企业系统,从关键系统开始
重置所有密码
处理并阻止确定的漏洞、网站和恶意软件
在清除勒索软件的所有痕迹并重建系统后,由指定的 IT 部门发布声明,以确认勒索软件事件已经结束
第 6 步:恢复和还原
此时,您便可还原数据并恢复工作。您的远见卓识会促使您使用创新的解决方案快速从勒索软件攻击中恢复,此时,您还将从中受益。Veeam 提供多种解决方案,包括用于创建可快速启动和运行的虚拟机的备份复制副本。恢复和还原步骤包括:
使用安全备份还原系统
确保您的备份是干净的,这样,就不会在恢复过程中再次感染干净的系统
实施从攻击中吸取的经验教训以加强安全措施
部署持续勒索软件监控解决方案
完成事后评估
勒索软件事件响应最佳实践
鉴于勒索软件攻击频繁发生,您应将其与其他业务连续性管理计划归为一类。其中包括关于处理重大事件、自然灾害和灾难恢复的策略。
勒索软件 事件响应计划的 起点是经过全面研究并记录在案的恢复计划。通常,该计划包括所有利益相关者,明确说明恢复目标和沟通策略。该计划确定了责任方,并明确定义了遭受勒索软件攻击时应采取的措施。
需要考虑的要点包括:
响应团队:确定响应团队的所有成员及其职责和职能。任命一名指定的领导者负责协调活动。
清单:编制一份包含所有物理和云硬件和软件资产的完整清单,并附上关于这些资产的相互关系的图表,包括虚拟专用网络、虚拟私有云、WAN 和 API 等特殊功能。
关键功能:列出关键的业务功能、应用程序、数据集及备份并确定其优先级。
紧急联系人名单:包括可能受到勒索软件事件影响的所有员工、服务提供商、供应商和客户。
训练:对团队成员进行角色和职责方面的培训,并使用勒索软件防御套件来模拟事件,以确保每个人都熟悉并适应自己的角色。
勒索软件行动计划:准备一份详细的勒索软件响应行动计划。
经验教训:记录在训练模拟和实际攻击中吸取的经验教训。
正式制定和采用这些勒索软件防护最佳实践将有助于贵公司在受到攻击时快速有效地做出响应,并确保您拥有干净的备份来还原和重新连接服务。
开始使用 Veeam 产品
尽管重建 IT 结构总是可能的,但如果企业无法访问干净数据,则无法在勒索软件攻击中幸免于难。Veeam 的在线备份解决方案可解决这个问题。Veeam 提供的单个解决方案具有多层不可变性、全面监控和自动化功能,可帮助您全面控制恢复。Veeam 可使用常见的云端解决方案以及适用于 Windows、Linux 和 Mac 的本地解决方案。
请致电我们的销售部门,详细了解我们的勒索软件数据恢复解决方案,或下载我们的构建强大的网络弹性数据恢复策略专用白皮书,获取关于实现网络弹性的更多提示。