检测、隔离和谈判：改进对勒索软件的威胁准备和响应

勒索软件攻击和网络攻击事件带来的风险可能已经成为企业安全团队讨论的主要话题，这是很自然的，因为勒索软件攻击事件在过去十年激增。这些数字令人震惊，并且非常清楚地表明，对于各行业各种规模的企业来说，勒索软件攻击都是难以忽视的威胁。

因此，积极保护公司资产和降低网络风险是当今企业的一项必要投资。如果没有制定威胁准备和应对计划，勒索软件或网络勒索攻击事件造成的破坏可能会对企业的业务产生重大的影响，将导致数据丢失、无法提供服务、运营中断、信任和竞争市场优势的丧失，以及其他代价高昂且持久的影响。

改进威胁准备

当企业遭到网络勒索攻击时，必须快速确定其攻击的性质和程度，然后执行响应和减轻攻击的计划。因为勒索软件攻击持续的时间越长，对企业开展业务的能力造成的潜在损害就越大。

虽然很多企业的最终目标是全面预防攻击，但缓解攻击是一个更有可能(或许也更合理)的目标，而且企业应该优先考虑准备和预防。预防措施包括实施最佳实践和措施，以阻止勒索攻击事件的发生，同时也使企业在遭受攻击时尽可能少地承受损害。

勒索软件的准备工作可以分为三个主要部分：准备、检测和隔离。

(1)准备

企业对勒索软件事件的响应能力直接受到其随时可以使用的工具的影响，这使得企业的准备工作成为其成功应对勒索软件攻击的关键部分。良好的准备工作有两方面的作用：一是培训员工如何防止攻击，二是为了万一成为攻击目标时应该采取什么行动而提供指导。

以下是企业在制定针对网络勒索攻击的计划时可能希望包括的一些内容：

• 创建事件响应剧本，其中包含与响应勒索软件攻击相关的所有相关信息。
• 定期对员工进行强制性培训，教育他们如何防止网络攻击者侵入企业系统实施网络攻击。所涵盖的主题可能包括密码安全的重要性、电子邮件钓鱼的警告标志以及在线安全的最佳实践。
• 为员工提供报告可疑活动的协议和资源，并在他们认为存在需要解决的风险时表达担忧，从而帮助他们防止勒索软件攻击。

(2)检测

检测是指用于注意正在发生或已经发生勒索软件攻击的工具、技术、人员和流程，并在网络中识别其来源。具体检测子组件包括：

• 拥有一个强大的平台系统，可以监控网络，并在发生可疑活动时发出警报，例如出现已知勒索软件文件扩展名或快速重命名大量文件，这可能表明这些文件正在被加密。
• 利用有关特定勒索软件行为者/团体以及战术、技术和程序(TTP)的易于获取和更新的知识，为企业的威胁情报计划提供支持，包括技术情报，以更好地预测潜在的风险漏洞和攻击。
• 实现多因素身份验证，以减少勒索者获得未经授权访问企业系统的可能性。

(3)隔离

为了限制其传播，在企业意识到成为勒索软件攻击的目标之后，隔离应该成为其首要任务。当每一秒都很重要时，以一种分离不同网络的方式设计系统会非常有效。隔离的具体措施包括：

• 限制每个员工只能访问他们工作中必须使用的文件和数据。
• 尽快关闭受感染的系统，并完全断开与企业网络的连接。
• 禁止在设备之间传播潜在有害数据的方式，其中包括科学、NAC和AD-user。

响应勒索软件攻击

一旦企业成功地捕获并阻止了勒索软件攻击的进程，有一个适当的响应计划是至关重要的，以帮助节省决策时间，并控制情绪反应，这在潜在的紧急情况下可能会发生。通常很难确定勒索软件攻击的范围，被加密的数据越多，了解攻击的性质所需的时间可能就越长。

良好的响应计划通常是经过充分演练的，在需要时很容易实施，并且基于企业可用的资源。它有几个部分，其中包括指定处理每个步骤的各方;将直接与勒索攻击者沟通和谈判的各方联系信息;以及与处理赎金支付的法律合规性相关的最新协议。但在这些问题中，企业的计划中需要解决的最关键的问题之一是谈判的处理。

谈判

谈判包括与威胁行为者的接触，并要求达成任何形式的妥协，无论是否涉及支付赎金。建议使用熟悉威胁行为者参与、勒索软件攻击和勒索软件受害者法律义务的专业人员;了解当前的网络勒索趋势、威胁行为者和威胁行为者群体也很重要。如果在整个过程中保持透明并有可以帮助客户达成目标的谈判者，将极大地促进谈判的顺利进行，并且更有可能以受害方满意的方式解决问题。

当然，并没有一个万能的谈判方法。然而，如果企业发现自己处于这种最糟糕的情况，那么必须做好一些基本准备。

• 对所有与勒索软件行为者的聊天和通信进行保密，并限制内部访问者与威胁行为者的通信记录。如果企业不确定威胁参与者是否有权访问其电子邮件通信，则建议切换到非基于网络的通信。
• 为寻求专业的谈判人员做好准备。在这里强调的是，企业内部具有自己的专业谈判人员的重要性，需要注意的是，许多勒索软件攻击者都有自己的具有谈判背景的专业人员，以使被攻击的企业遵守勒索要求。
• 建议尽早让执法部门参与勒索软件攻击的调查。这不仅可以帮助企业确保在法律范围内处理勒索软件攻击事件，而且执法部门有时还可以洞察特定的威胁行为者的行为，帮助企业进行谈判并改善其所处的困境。

更大的压力

除了勒索软件攻击本身之外，威胁行为者还会使用其他手段来对谈判施加压力，其中包括：

• 实施DDoS攻击。
• 直接向员工发送有关攻击的电子邮件。
• 声称拥有实际上并没有被窃取的数据，以让情况看起来更加糟糕。
• 联系受到攻击的企业高管或客户，让他们意识到已经遭到勒索软件攻击。
• 在面向公众的论坛或社交媒体上发布敏感的个人身份信息(PII)。
• 留下后门，使勒索软件攻击者有可能对同一企业进行第二次攻击。

成为网络勒索攻击的受害者既有压力又有挑战性。为了减轻对企业的业务和客户的影响，必须准备好应对任何潜在的额外因素，这些因素可能会加剧勒索软件攻击，并长期损害受害方的声誉和收入。