网络事件发生在节假日,这并不罕见。通常,恶意行为者计划在假期前或假期期间或许多员工休假的周末发动攻击。因此,公司需要更长的时间才能发现问题并采取行动——这正是这里发生的情况。
出了什么问题
问题始于有关失败的备份过程和防病毒警报的通知。几小时内,服务器停止工作,所有数据都被加密。随着时间的推移,一个已知的勒索软件组织显然是这次攻击的幕后黑手,他们成功窃取了敏感数据并对公司的大部分计算机和系统进行了加密。客户无法在线支付账单或查看他们的账户状态,员工也完全被系统拒之门外。
后来,人们发现恶意行为者通过利用电话系统中未公开的弱点然后在网络上植入后门来渗透系统。与此同时,公司发现了漏洞并进行了修补,但为时已晚:这群人在公司网络上悄悄停留了五个月,等待时机发动攻击。
此外,CISO 不了解专业团队和网络团队的做法。例如,电话系统、打印机和照相机(可能会显着增加攻击面)没有得到充分保护。
真正出了什么问题
该公司糟糕的网络卫生状况加剧了这一事件:存在一个 Excel 文件,其中包含数百个系统和服务器的凭据,并且该公司未能拥有其客户端系统的日志。此外,员工可以自由下载,这增加了将恶意软件引入端点的风险,包括每天连接到网络的笔记本电脑。
然而,主要问题是该公司及其 IT 合作伙伴并不清楚如何有效应对。这意味着最初的几个小时——这对事件响应来说是最关键的——用来确定发生了什么,谁是主要参与者,以及需要做什么来恢复和开始搜索工件以允许 IR 调查。浪费了宝贵的时间,用了将近十天的时间才让系统恢复正常。
从这次事件响应中可以学到什么?这里有 6 个重要的要点。
1.准备计划
在事件响应方面,公司必须采取“不是如果,而是何时”的态度。尽管我们宁愿不这么想,但您的公司很有可能成为网络攻击的受害者,因此做好准备很重要。 这意味着拥有SIEM 系统和日志,可以尽可能远地回溯,并拥有指定TTP (技术、技术和人员)的事件响应手册。应该定期检查剧本,并且应该对流程进行内部认证。这也意味着进行IR 参与准备和c 危机管理准备。 做好准备意味着一旦发生网络事件,您的公司将能够迅速做出反应。
2.建立沟通和责任
事件响应发生的速度可以在限制损害方面产生巨大差异。前几个小时很关键,但可能会很混乱,因为它们涉及执法、公共关系和法律团队、您的网络保险提供商以及 IT 和取证团队。显然,这应该不是这些团队的第一次会面。如果已经制定了明确的沟通渠道和责任的计划,那么这将对流程有很大帮助。
3. 执行定期备份
这似乎是显而易见的,但许多公司未能理解经常备份系统的重要性。是否有可用的备份可以区分快速恢复还是长时间恢复。
4.实行网络卫生
除了备份之外,组织还可以通过保持良好的网络卫生来显着加强其安全态势。这包括,例如,启用多因素身份验证和使用密码管理器、通过访问控制限制用户权限、定期打补丁、加密敏感数据以及安全远程访问。定期进行 网络风险评估以发现网络漏洞和计划缓解。 这些都是可以最大限度地降低操作中断、数据泄露和数据丢失 风险的最佳实践示例。
5.尽可能隔离网络
网络隔离可以使威胁行为者更难通过系统,从而极大地帮助组织限制来自大多数行为者的网络攻击造成的损害 。它限制了攻击在网络中传播的距离并隔离了易受攻击的端点,从而限制了暴露的风险。然而,诀窍是确保在网络事件发生之前将网络分开,以便控制损害。
6.安全培训
安全意识培训可以通过对员工进行有关他们面临的威胁以及如何应对威胁的教育来帮助降低网络事件的风险。例如,应指示他们避免下载恶意软件和可疑网站,识别钓鱼企图而不响应。这会对确保您的公司安全产生重大影响。
如何提供帮助
识别潜在的攻击者及其动机、组织内的可能目标以及此类攻击造成的潜在风险。提供事件响应和危机管理服务,以帮助公司从网络攻击中恢复。 防止此类事件发生,与红队活动相结合,以提供最全面的组织安全评估以及相关风险分析和见解。企业可以评估、量化和减轻网络风险,以便可以做出更好的安全决策并投资于有效的补救措施。
