Home / Resources / News and Trends / Industry News / 2023 / 网络攻击的残酷现实从概率到确定性

网络攻击的残酷现实:从概率到确定性

詹姆斯Allman-Talbot
Author: 詹姆斯Allman-Talbot
Date Published: 5 December 2023

现在很明显,大多数组织都将不可避免地遭受网络攻击. 澳门赌场官方下载实施的网络安全措施, 随着网络犯罪手段的日益成熟,政府和个人越来越被淘汰.1 也许网络安全措施过时的速度部分是由于不道德的个人将人工智能(AI)重新用于恶意目的. WormGPT, 一种可用于网络犯罪的生成式人工智能工具, 已经被吹捧为网络罪犯发动复杂的网络钓鱼和电子邮件攻击的一种方法.2 今天,对于希望保持数据安全的组织来说,前景是严峻的. As such, 有必要了解实际的方法,以减少遭受攻击的影响.

所以,你被入侵了

在一个组织被黑客攻击的不幸事件中, 网络安全团队可以采取(或避免)某些会显著影响恢复时间和成本的操作. 第一个行动是向所有有关当局报告这一事件, 就像有人会宣布身体犯罪一样. 许多组织在法律上有义务报告此类事件,并通知当局有助于保护其他澳门赌场官方下载免受类似攻击. 值得注意的是,当局和监管机构不会追究责任. 他们试图从攻击中学习有价值的经验教训,并建立黑客档案,以帮助最小化其他组织可能面临的后果. 此外,澳门赌场官方下载应提醒其网络保险提供商. 这通常是提出索赔的先决条件, 而且必须出示证据才能获得赔偿.

在通知有关当局之后, 重要的是,it团队要放慢速度,避免在匆忙中犯代价高昂的错误. 现在采取预防措施已经太晚了. 第一反应通常是快速恢复受影响的IT系统,并立即修复任何遗留问题. 相反,IT团队必须专注于控制这种情况.

Post-Ransomware响应

每次攻击都是不同的,尤其是勒索软件. 但是,在发生勒索软件事件时,可以采取以下几种有价值的措施:

  • 隔离受影响的设备,但不要关闭它们. 如果系统关闭,可能会丢失对调查至关重要的证据, 导致调查不完整.
  • 隔离受影响的用户帐户并终止活动会话. 攻击者很可能知道账户密码, therefore, 禁用受影响的帐户和终止会话删除了一种访问方法—特别是如果使用Azure Active Directory (AD)或任何其他基于云的用户管理平台.
  • 隔离网段,防止攻击扩散. 有一种可能性是,特定的勒索软件变体可以自我传播. 隔离网段可确保任何尚未受到影响的系统保持这种状态. 随着人工智能勒索软件的威胁即将到来,这一步比以往任何时候都更加重要.
  • 使备份服务器离线. 在恢复过程中,备份是至关重要的,确保尽可能快地保存备份非常重要.
  • 下电域控制器. 除非域控制器受到勒索软件的影响(在这种情况下,它应该保持通电状态), 但是没有网络连接), 下电域控制器将停止通过网络进行任何进一步的身份验证.
  • 将网络共享文件设置为只读. 这可以防止勒索软件对环境中的任何关键文件共享造成进一步的破坏.

保持冷静,记录日志

被黑会带来压力和混乱. 重要的是要保持冷静,听取可靠来源的建议. 应该指定一名网络事件负责人,他可以在日志中记录行动和决策,并为进一步的网络保护和数据恢复建立优先级列表.

最重要的是,避免指责攻击是至关重要的. 网络攻击是复杂的,一个聪明的网络钓鱼尝试可以欺骗任何人. 推卸责任既没有成效,也解决不了问题.

网络攻击是复杂的,一个聪明的网络钓鱼尝试可以欺骗任何人.

十种行动,十种避免

在成为网络攻击的受害者后,应该遵循以下10个战略步骤,以帮助组织加速恢复. 各组织应采取的行动包括:

  1. Report the incident.
  2. 打电话给你的网络保险提供商. 他们可能会给你指出哪些公司可以提供帮助, 这也可能是你保单的一个条件.
  3. Ask for help. Do not go it alone. 您的网络保险提供商可能会向您介绍事件响应, 公共关系(PR)或法律公司,他们有处理攻击的经验,可以帮助指导您以正确的方式完成攻击. 也不要害怕与行业合作伙伴联系——他们可能也经历过这种情况.
  4. 指定网络事件所有者. 这个人应该有足够的资历来做关键的决定, 取决于事件的类型. 严重的勒索软件攻击, 这可能是首席信息安全官(CISO), 首席信息官(CIO)或首席技术官(CTO).
  5. 在日志中记录行动和决定. 这允许您进行事件后审查, 从长远来看,哪些可以帮助提高整体的网络弹性.
  6. 注重遏制. 确保系统和网络尽快隔离. 这可以确保损害不会变得更糟,并可以避免未来的头痛.
  7. Listen. 您可能已经与第三方联系以帮助应对该事件, 谁的建议似乎违反直觉. 相信他们的专业知识. 他们看到许多组织都经历过同样的经历,有很多经验可供学习.
  8. Be patient. 避免做出仓促的决定或下意识的反应. 快速修复可能最终使组织更加脆弱,并从长远来看造成更大的伤害.
  9. 尽可能地帮助当局和监管机构. 他们可能会有很多问题,但他们并不想推卸责任. 向他们提供信息可以防止其他澳门赌场官方下载遭受同样的攻击.
  10. 要比故事讲得快. 仔细考虑决定,但不要犹豫. 像这样的攻击可能是快节奏的,以一种快速但深思熟虑的方式对它们做出反应是成功恢复的关键.

相反,澳门赌场官方下载在成为网络事件的受害者后,应该避免以下10种反应:

  1. 避免让所有人同时帮忙. 如果澳门赌场官方下载被攻击的消息传出去, 它很可能会收到铺天盖地的支持. 重要的是要有选择性地选择谁来帮助确保没有冲突的优先事项,并且只有一小部分值得信赖的顾问.
  2. 避免付钱给网络罪犯. 这就是激励他们的原因, 澳门赌场官方下载不断支付赎金只会让他们在未来发动更多的攻击. 在某些情况下,它还可能违反对已知犯罪集团的国际制裁.
  3. 避免澳门赌场官方软件. 只有当组织知道如何沟通和沟通什么内容时,才应该开始这样做.
  4. 避免撒谎或低估事件的严重性. 这可能会迅速损害澳门赌场官方下载在客户心目中的声誉, 供应商和公众,因为真相迟早会大白于天下. 对于勒索软件案件来说尤其如此, 众所周知,勒索软件组织会公开发布受害者名单.
  5. 避免过早恢复. 在没有重新考虑网络基础设施和安全规定的情况下进行恢复会增加澳门赌场官方下载在未来再次受到威胁的可能性. 将此作为重新设计基础设施的机会,并将安全性放在首位.
  6. 避免只关注根本原因分析. 这取决于组织, 广泛的勒索软件攻击可能会影响业务运营. 首要任务应该是让澳门赌场官方下载以安全可靠的方式启动和运行, 重要的是不要让调查妨碍到这一点. 但是,可能需要进行一些调查来通知恢复过程.
  7. 避免在没有充分考虑之前购买更多的安全工具. 人们可能会突然投资安全工具来解决这个问题, 然而,市场上有这么多不同的选择,仔细考虑哪一个最适合你的组织是很重要的.
  8. 避免相互指责或推卸责任. 你是一起犯罪的不幸受害者, 除了罪犯自己,没有人有错. 尤其是随着人工智能的发展,攻击变得越来越复杂, 任何人都可能被巧妙的社会工程攻击所欺骗. 网络攻击是生活中的一个事实,每天每时每刻都在世界各地发生. 责备并不能解决问题,只有团队的努力和奉献才能解决问题.
  9. 在了解事实之前,避免否认任何事情. 控制消息很重要, 但是不要否认任何你没有事实支持的事情. 随着调查的进行,事情会逐渐明朗,而你之前说过的话会对你的名誉造成不可挽回的损害.
  10. 避免试图掩盖事情. In today’s world, 任何发生大型服务事故的人都将面临来自供应商和公众的大量问题,询问是否涉及勒索软件. 掩盖事实只会让不可避免的承认变得更加难以忍受, 重要的是不要给人们留下任何猜测的空间.

Conclusion

组织可以从对数据安全现实的洞察中获益, 尤其是在勒索软件攻击的背景下. 黑客更有组织性, 获得更多资金,并能够利用许多网络安全专业人员需要跟上的工具. 勒索软件行为人是有经济动机的, and as such, 任何急于满足他们要求的组织都只会火上浇油, 鼓励犯罪分子进一步努力,攻击更多的澳门赌场官方下载. 澳门赌场官方下载可以采取许多经过验证的步骤,避免风险响应,冷静有效地管理网络事件, 包括与第三方合作,以帮助应对这种情况,并向有关当局报告事件. 这些步骤本身就能起到很大的作用, however, 在事件响应计划中可能很难捕捉到文化方面的内容. Clear, 理性的决策将谨慎管理风险的成功反应与放大风险的反应区分开来, 不仅仅是受影响的组织, 但对于其他潜在的受害者.

Endnotes

1 世界经济论坛, 《2022年全球风险报告, Switzerland, 2022
2 THN, “WormGPT:新的人工智能工具允许网络犯罪分子发动复杂的网络攻击,” The Hacker News, 15 July 2023

詹姆斯Allman-Talbot

是Quorum网络的事件响应和威胁情报主管吗. 他拥有超过15年的网络安全工作经验,并在包括航空航天和国防在内的各种其他行业工作过, law enforcement, 专业服务. 他为政府机构和跨国组织建立和发展了事件响应和威胁情报能力, 在事故发生期间,他与董事会高管密切合作,为他们提供恢复和网络风险管理方面的建议.