大型游戏勒索软件:专家向董事会成员讲述的迷思

本文深入探讨了勒索软件攻击的现实情况,揭露了支付赎金能快速恢复的迷思,并强调了构建弹性IT系统和实施有效遏制策略的重要性,为企业提供了实用的网络安全建议。

大型游戏勒索软件:专家向董事会成员讲述的迷思

今天《星期日泰晤士报》上一篇关于玛莎百货(Marks and Spencer)遭遇DragonForce勒索软件事件的报道引起了我的注意。这是一篇很好的报道,例如它关注了玛莎百货如何通过遏制威胁来消除威胁。

例如,事件从午夜开始,直接上报给CEO,并导致整晚每3小时召开一次会议。他们决定关闭部分系统以阻止威胁行为者造成更多损害:

“通过关闭部分IT资产,海厄姆的团队努力阻止攻击蔓延,但也停止了部分数字运营功能。这被认为是一个值得的权衡。”

这很明智。报道中还有更多细节:

报道链接: Inside the M&S meltdown: 3am meetings and £40m a week in losses

报道中有一点引起了我的注意,说专家们认为由于玛莎百货的中断仍在继续,这意味着他们没有支付赎金。

这是错误的。

我在处理勒索软件和破坏性攻击事件方面已经有十多年的实战经验——事实上,我的这个博客是第一个记录Locky企业自动化勒索软件传播的主要文档(“你、你的终端和Locky病毒"和"关于勒索软件的残酷真相:我们没有准备好,这是一场有新规则的战斗,而且它还没有达到峰值影响。"——对于长期关注的人来说),这十年来我一直呼吁企业和政府认真对待这个问题。结果证明这就像对风撒尿,因为人们只有在问题直接影响他们时才能看到问题——参见气候变化。

支付赎金非常普遍。几年前当我报道Travelex勒索软件攻击时,他们很早就悄悄支付了赎金——这个事实后来才被《华尔街日报》揭露,但没有得到报道,因为那时所有人都已经不再关注这个故事了。Travelex最初试图说勒索软件事件是一个"技术问题”。他们仍然花了数月时间才恢复,这次攻击成本如此之高,最终不得不将业务重组为Old Travelex和New Travelex。

Travelex并不是个例。当我报道Capita勒索软件事件时,他们很早就悄悄向Black Basta支付了赎金。他们花了数月时间才恢复。他们也把责任推给Microsoft 365的"技术问题",我也不得不揭露实际发生了什么。

现在我们有Co-op Group——尴尬的是,这是我以前的雇主——告诉员工存在"IT问题"。他们没有书面通知我他们丢失了我的个人信息,但我知道他们确实丢失了。值得称赞的是,玛莎百货大声说这是一起网络事件。顺便说一句,在威胁行为者像’Raymond Reddington’(DragonForce勒索软件运营商选择的代号)这样的情况下,对客户保持彻底的透明度是最好的做法,因为它可以吸走故事的氧气,设定叙事,而且当你坦诚相待时,客户的理解程度令人惊讶。

有很多很多组织支付赎金然后花费数月时间完全恢复运营的例子。事实上,根据我的经验,这是常态。你最终经常不得不重建Active Directory,这是组织的关键IT数据库。你最终不得不进行妥协评估。你最终要做一千项其他任务;这简直是一场噩梦。

还有一个完整的合法公司行业,他们重写勒索软件组织的"解密器"软件,修复错误并使其工作——这说明勒索软件组织的工程水平有多差。关于这个有很多文章,所以我不会重复细节,但解密软件通常非常慢,需要数周时间才能大规模运行,而且充满错误。例子包括在某些文件名上崩溃,然后无法从崩溃中恢复,需要重新开始整个过程。

支付勒索赎金实现两件事:

第一,你有机会掩盖发生的全部情况,这样客户和监管机构就不会知道——这就是为什么有些组织不承认勒索软件或命名勒索软件组织。几乎所有勒索软件组织在谈判期间都不会在门户网站上列出受害者名称,之后也永远不会。作为对此的反制,如果是重大事件,像我这样的人很有可能会揭露你。

第二,你直接资助有组织犯罪,这样威胁行为者可以购买更多资源、工具和漏洞利用来渗透更多组织。

在我看来,这两者都是竞相堕落。我不认为支付勒索赎金的组织是在做出保护股东的明智之举——我认为他们实际上是在把股东所在的车开向墙壁,并踩下油门,这是由糟糕的建议驱动的。

支付赎金意味着你仍然需要花费大量时间恢复运营——而且不是暂时的波动,你最终可能会制造一个持续多年的问题。例如,多年后,Capita仍在处理其勒索软件事件的后果,监管行动迫在眉睫——他们所有的问题都源于缺乏透明度和客户保护。

支付赎金还意味着严重的有组织犯罪集团知道你会付款。他们会回来。这些集团相互交流,并交易成员。我处理过许多组织,它们多次成为不同勒索软件组织的受害者。

例如,我处理过一家供应商,在4年内被4个不同的勒索软件组织攻击了4次。相关的勒索软件组织每年收入数亿美元,几乎没有成本。这个组织没有足够的资金来防御具有这种预算水平的对手。他们后来停止支付赎金,因为那时他们已经投资了更好的备份,但他们使自己成为了目标——上次我查看他们的财务状况时,经过这4年,他们的核心业务看起来岌岌可危,从最低成本服务提供商可能走向破产。

最后一点。英国政府目前正在推动一项网络弹性法案,其中一个很可能通过的提案是强制向英国政府报告勒索软件事件和付款,并禁止关键国家基础设施支付赎金。我怀疑,最终的结局将是世界各国觉醒并意识到付款正在助长勒索软件(坦率地说是网络供应商)经济,而且总体而言风险太大。我认为"只是支付赎金"的日子已经屈指可数了。支付赎金以获得快速恢复的日子从未存在过;这是一个迷思。

组织需要制定稳健的遏制计划,包括构建和测试关闭VPN连接和Citrix会话的杠杆,锁定谁拥有管理员访问权限。如果电子犯罪集团进入你的网络,你需要果断快速地采取行动遏制他们的访问。像Mandiant和Sophos这样的事件响应供应商每年都会发布其事件响应参与的数据。他们每年处理数千起像勒索软件这样的事件。这些来自实际参与的数据显示,攻击者在组织内的驻留时间——从攻击者首次获得访问权限到出现问题——是以天而不是小时来衡量的,正如媒体所暗示的那样。几乎总是有一个窗口来识别问题并进行干预。

威胁不是理论上的——这不是灾难恢复,你只会在发生火灾时调用。威胁是有人会故意放火烧你的基础设施。你需要方法来遏制火势并将纵火犯赶出大楼,否则他们会放火烧你的备份系统,并拿走你所有的东西。

玛莎百货在这方面做了一些非常好的事情,尽管可能比事后看来要晚。但如果不加以控制,情况可能会更糟,因此关闭远程访问等绝对是正确的做法。你的组织知道如何在凌晨3点做到这一点,并且有被授权做出决定的人吗?

现在是时候认真构建弹性IT系统,锁好所有门,拥有稳健且有效的遏制步骤,并阻止驱动这些攻击的勒索软件经济周期了。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次