Blue Mantis本周早些時候在吉列體育場舉辦了首次網絡安全研討會,背景是新英格蘭愛國者隊的六面冠軍旗幟——這是一個合適的場地,因為正如人們所說,防守贏得冠軍。對于企業(yè)來說也是如此:強大的網絡防御可以最大限度地減少網絡攻擊的損害,而薄弱的防御可能導致毀滅性的損失。
研討會的主題是“揭示網絡攻擊的解剖學:深入探索嚴酷現(xiàn)實”,重點不是預防網絡攻擊,而是在被攻擊時的最佳實踐。一個安全專家小組討論了一個真實的網絡攻擊案例,重點是受害者的反應和汲取的教訓。
Blue Mantis的首席運營官Jay Pasteris指出,一些簡單的安全措施沒有到位:密碼從未要求更改,缺乏多因素認證(MFA)的要求,并且雖然在最初受損的設備上有擴展檢測和響應(XDR),但XDR配置不當。
“最終,該代理的密碼被泄露并發(fā)布在暗網上,一個黑客組織能夠獲得該密碼,”他說。該黑客能夠提升在公司環(huán)境中的權限,并建立一個勒索軟件包?!八栽贒-Day(決定性日子),他們按下按鈕就關閉了整個組織?!?
有一個計劃并遵循它
從這個網絡攻擊中應該學到什么教訓?
首先也是最重要的,波士頓學院網絡安全政策與治理碩士項目的創(chuàng)始人兼主任Kevin Powers認為,企業(yè)必須做好準備。類似于足球,企業(yè)將成為各種攻擊的目標,因此他們必須確保在攻擊發(fā)生后不會手忙腳亂地制定計劃,他們需要一個涵蓋所有場景的計劃。“當你考慮事件響應時,實際上應該考慮事件規(guī)劃、響應和管理?!彼f。
遭遇網絡攻擊時,你做的第一件事是查看事件響應計劃?!叭绻阍诠糁杏懻摗覀儜撀?lián)系FBI嗎?我們應該這樣做嗎?’那是個問題,”Powers說,“這是你應該已經計劃和討論過的事情……當你考慮事件響應時,你首先考慮的是計劃。”
Pasteris補充說,了解你的資產是至關重要的,因為事情往往會被忽視。你不僅應該知道你使用了哪些應用程序,還應該知道你如何保護這些應用程序?!昂芏嘟M織不跟蹤他們的資產,”他說,“他們如何保護這些資產,如何圍繞這些應用進行深度防御。”
你還需要考慮網絡保險——不僅要將其作為計劃的一部分,還要理解它的覆蓋范圍。
“網絡保險的關鍵是回到事件規(guī)劃,”Powers說,“如果你說,‘天哪,我們的保險不包括這些!’那么,這是你的問題,因為你沒有合理地計劃,你將失去這場戰(zhàn)斗。”
重要的是要明白,保險是建立在條件基礎上的,Manatt, Phelps & Phillips, LLP的合伙人和隱私與網絡安全實踐的共同領導人Scott Lashway說?!拔覀円揽烤W絡保險來做一些網絡保險本身并未設計的事情,它是建立在條件基礎上的,所以有國家排除條款……有戰(zhàn)爭排除條款?!?
何時聯(lián)系FBI
根據(jù)Blue Mantis的安全實踐負責人Jay Martin,另一個大問題是如果以及何時在網絡攻擊后應該聯(lián)系FBI,因為很多公司擔心會引起FBI的注意?!拔覀兪欠駪撀?lián)系FBI?不聯(lián)系FBI?當我們聯(lián)系他們時,他們會為我們做些什么?”
喬·博納沃倫塔(Joe Bonavolonta),現(xiàn)任全球風險與情報咨詢公司Sentinel的管理合伙人,曾在FBI工作超過27年,其中包括擔任FBI反間諜計劃負責人,他表示,聯(lián)系FBI有其優(yōu)勢。博納沃倫塔向聽眾保證,F(xiàn)BI在處理此類攻擊時采取的是以受害者為中心的方法,他們不會穿著突擊夾克,開著警笛和閃燈出現(xiàn)在你的辦公室。他說,絕大多數(shù)事件響應是通過電話、電子郵件或視頻會議進行的。
與FBI合作的一個大好處是,他們可能擁有大量的情報,可以幫助你的企業(yè)緩解威脅,并幫助其他公司避免成為相同攻擊的受害者,博納沃倫塔說。
此外,F(xiàn)BI可能擁有你公司所需的解密密鑰?!斑@就是為什么聯(lián)系FBI和我們的合作伙伴很重要,因為我們可能擁有那個解密密鑰,或者更重要的是,我們可能與擁有解密密鑰的私營部門實體有合作關系,因為他們之前也是受害者。”他說。
博納沃倫塔還表示,“如果支付贖金,在某些情況下我們有能力……在資金實際流出之前可能會停止并凍結這些資產或資金?!?“然后還存在其他情況,基于FBI和我們的合作伙伴與云提供商的關系,我們實際上能夠從存儲在某些服務器上的公司中檢索被盜數(shù)據(jù)?!?
回到全面的網絡安全計劃的重要性,博納沃倫塔建議組織主動與FBI建立關系。“在情況非常糟糕之前,先了解名字、電話號碼、電子郵件地址,并與對方見面,因為在重大危機期間,不是建立這些關系的時機?!彼f。
是否支付勒索贖金?
也許遭遇勒索軟件攻擊的企業(yè)面臨的最大問題是是否應該支付贖金。
“這是一種巨大的風險,”波士頓學院網絡安全政策與治理碩士項目的創(chuàng)始人兼主任凱文·鮑爾斯(Kevin Powers)說,“你在與犯罪分子打交道。你可以與犯罪分子簽訂合同。這和一張廁紙的價值一樣?!?
博納沃倫塔表示,F(xiàn)BI不建議支付贖金。他見過公司支付贖金后,壞人不僅不解密他們的文件,還聲稱他們也竊取了大量數(shù)據(jù),除非公司再次支付贖金,否則他們將公開這些數(shù)據(jù)?!拔覀儍炔糠Q之為‘雙重勒索’”他說。
“我不喜歡支付贖金,我甚至不喜歡談判,”斯科特·拉什韋(Scott Lashway)說,“我們盡量使其機械化?!?
拉什韋說,在支付勒索贖金之前,你必須做三件事:
1.通過法律審查,確定支付贖金是否可行
2.與FBI交談,因為你可能會給自己帶來大量法律犯罪風險
3.如果你決定支付贖金,請讓別人代你談判?!澳阍谂c非常壞的人打交道——非常壞的人,他們有做一些事情的傾向,比如‘我有你CEO的家庭平面圖’,”他提醒聽眾。
沒有借口……相反,要做好任何準備
拉什韋補充說,僅僅因為有“這不是‘是否’,而是‘何時’你公司將被攻擊”的敘述,不要把它當作借口?!拔覀兌夹枰甄R子,真正擺脫這種心態(tài),”他說,“這已經成為一種借口。律師用它來為公司被攻擊辯解,這已經成為董事會在不為你的技術需求提供資金時的借口?!?
換句話說,停止找借口,預料到意外,并做好準備——就像愛國者隊在第49屆超級碗中所做的那樣,盡管所有跡象都表明要跑球,他們也準備好了傳球,最終由馬爾科姆·巴特勒(Malcolm Butler)在門線處攔截傳球,這成為勝利與慘敗之間的關鍵。