从巴尔的摩勒索软件攻击中吸取的教训

马丁·R·奥库姆经历了2018年对巴尔的摩市的勒索软件攻击,这次攻击影响了该市90%的应用程序。作为该市当时的IT基础设施总监,他从中学到了很多关于防御勒索软件攻击及遭受攻击后恢复的宝贵经验。

周二下午,他在2021年ISC2安全峰会的一场在线会议上向与会者分享了这些经验。他现在是旧金山市和县的首席信息官。

奥库姆说,在许多方面,巴尔的摩没有为这次网络攻击做好准备。该市没有一个网络事件响应小组(CIRT),也没有明确的计划来启动一个事件响应,以及如何处理沟通和升级。

这些都是组织为抵御勒索软件攻击而需要的要素。”如果你有这些东西,并概述了这些流程,你的情况会比我们当时好得多,”他说。

奥库姆说,由于缺乏明确的流程和角色,该市在网络攻击发生后陷入了混乱和无序。唯一值得庆幸的是,该市做了内部和云端的备份。奥库姆说,在拒绝支付1到5个比特币的赎金要求后,巴尔的摩仍然花费了1800万美元从攻击中恢复。

攻击

这次攻击是在2018年5月19日凌晨首次发现的。奥库姆说,事情是在凌晨4点到7点之间的某个时间开始的。当试图登录他们的电脑时,用户收到一条消息,说系统已被Ransom.Robinhood勒索软件加密。他说,肇事者 “想让你知道发生了什么。他们没有躲避。”

奥库姆说,该市没有对攻击者作出回应,于是他们在随后的几天里进行了更多的勒索尝试,甚至提出解锁一台机器以证明他们能做到这一点。他们向市政府发出的信息在时间上更加激进,最后,他们要求在6月7日的最后期限内得到答复。该市没有回应,而是继续进行其恢复过程,这花了几个月的时间。

做好准备

为了应对勒索软件攻击,奥库姆强调了事件响应计划(IRP)的重要性,该计划涉及恢复的技术和业务两个方面。关于前者,重要的是了解你的环境,建立一个沟通和升级程序,并有一个有条不紊的计划启动过程。

在业务方面,该计划应涉及的内容包括:为CISO、CIO和公司高管制定沟通计划,以及包含网络保险的风险管理内容。聘请一名勒索软件专家也是明智的,这样你就不会在事件发生后匆忙地寻找专家,并建立一个比特币账户,以防最后决定支付赎金。

备份策略

有一个备份策略也是至关重要的。”这就是我们能够恢复的原因,”奥库姆说。”确保你的组织有一个坚实的备份计划。这是企业出于某种原因不想花钱的头号领域。我不明白为什么。”

数据备份只是企业为防范勒索软件攻击而应采取的诸多步骤之一。奥库姆介绍了一系列其他步骤,包括事件评估和创建CIRT。他说,为了确保CIRT的成功,关键是团队中要有一个执行发起人和一个明确的任务声明。

其他步骤包括弄清楚在事件发生期间如何进行内部沟通,以及如何与外部实体沟通,如联邦调查局、国土安全局和CISA、当地执法部门和监管机构。

重要的是,要把事件当作犯罪现场来处理,而采取一些措施,如建立一个关于事件关键事实的记录,并捕捉受影响电脑的图像。奥库姆还建议在内部或通过外包安排配备一名数字取证专家。

如果有必要让外界参与进来,他告诫说,不要让那些承诺解决问题但主要目的却是利用当时情况来谋利的第三方参与进来。各组织应该有一个简短的联系名单,如保险公司、外部法律顾问、取证调查员、监管机构、危机公关经理以及 “积极响应的供应商”。

点此查看博客原文>>

Comments are closed.