勒索软件重新定位

2 勒索软件重定向对于许多组织来说，勒索软件被视为一个技术或安全问题——而不是一个需要企业来解决的企业自身问题。企业主导的安全 3 勒索软件重新定向在一个时代压缩变换组织在遭受勒索软件事件后，应调整围绕安全角色的认知。现有的针对传统业务连续性计划的恢复策略已不再足够。通过理解——并准备应对——勒索软件对整个组织的影响，业务领导者能在攻击发生时更快速地恢复。简而言之，现代勒索软件和敲诈响应应被视为一种优先考虑企业范围内有效危机管理的业务风险。 关键挑战传统危机应对计划需要1要进化——勒索软件是商业风险，而不仅仅是安全威胁。现有的危机沟通计划2缺乏透明度和敏捷性以适应新的网络复杂性。勒索软件是无国界的——它影响着3企业，扩展生态系统和多个利益相关者。 4 勒索软件重定向什么挑战？ 5 勒索软件重新定向勒索软件的进化而，通常不清楚谁拥有决策权或总体问责制，这可能会延缓响应和恢复工作。在我们网络安全复原力状态 2021在我们进行研究时，我们发现不仅攻击正在增加，而且所有事件相关成本中有20%被归因于品牌声誉损害。建议？在安全工作和与企业战略保持一致之间取得平衡。定义一个危机决策框架涉及识别与业务战略和组织 从塑造沟通策略，到实施平衡的威胁遏制与清除方法——或是应对支付或不予支付赎金的问题——记录和演练危机决策框架，可以帮助组织更好地准备，加快响应速度，最终减轻勒索要求带来的压力。风险承受能力，其网络沟通策略以及在危机事件中针对技术和商业决策的明确问责制。更重要的是，定期审查决策标准是必要的，随着时间的推移不断对其进行微调，以保持同步组织变革. 响应优先级• 首先需要修复什么？•要恢复最重要的系统或数据是什么？•人们在流程和技术组件之间存在哪些上游依赖关系？ 1236 勒索软件重新定向挑战传统的网络安全事件响应计划需要发展——勒索软件是商业风险，而不仅仅是安全问题。让我们看看在网络安全危机事件发生前、中、后，凸显了安全与业务之间需要更大协调性的三个关键挑战：随着攻击面的演变，危机应对需要扩展以应对对客户、企业子公司、供应商、第三方、投资组合以及并购目标的影响。勒索软件是无国界的——它影响企业、第三方生态系统和多个商业利益相关者。一个预定义的决策框架，加上对行业、其法规和客户的更深入理解，可以支持更稳健的危机沟通。现有的危机沟通缺乏透明度和敏捷性，无法适应新的网络复杂性。企业危机应对是一项团队运动，并且需要一个以业务为导向的危机管理职能来应对现代破坏性事件。 挑战7 勒索软件重新定向传统网络事件响应计划需要进化——勒索软件是一种商业风险，而不仅仅是安全问题 1 传统业务连续性和灾难恢复计划中的恢复策略不再足以应对现代勒索软件攻击。安全团队当前对事件响应的方法通常涉及解决攻击的技术调查方面——威胁行为者是如何入侵的？哪些系统受到了影响？哪些数据被窃取以及从哪里窃取的？但攻击不仅仅是一个安全问题。事件响应也必须考虑关键业务流程以及它们如何影响恢复优先级——价值链受到了怎样的影响？我们库存了多少产品？对员工、客户和供应商有何影响？我们的财务风险是什么？ 8勒索软件重定向优先保障和稳定关键运营和系统，有助于防止额外的下游财务、声誉、运营和物理影响。成功恢复勒索软件的关键在于首先站起来并稳定最关键的系统和工作，然后才将注意力转向其余的业务。未能优先处理这些业务依赖关系，只会让攻击者得逞。例如，近期威胁行为者的策略包括删除或损坏备份，使其无法使用——从而打乱传统的业务连续性或灾难恢复计划。 组织应革新传统的业务连续性和事件响应方法。通过更紧密的协作，首席信息安全官（CISO）、首席运营官（COO）和其他高级领导可以制定一个统一的计划，该计划明确整个业务的优先事项，解决全局性问题，并更好地为快速和包容性的业务恢复做好准备。通过采用强有力的沟通计划，领导者可以应对勒索软件，将其视为需要以业务为中心的方式处理的危机。 挑战9 勒索软件重新定向现有的危机沟通缺乏透明度以适应新的网络复杂性 2 在任何规模上，勒索软件事件都具有干扰性，需要有效的沟通计划。但这不是一次性的事件——定期与内部和外部利益相关者共享更新对于应对任何正在发展的故事至关重要。这些沟通不仅应在快速发展的事件中平衡速度与准确性，也应对不同的利益相关者受众适宜。了解一个产业的独特需求、其法规以及适用的通知和披露是根本。然而，许多商业领袖在沟通方面可能准备不足。尽管组织可能能够高效地处理安全事件，但如果他们也没有有效地传达状态，他们可能会受到公开的商业虚假信息运动的影响，或者面临企业信誉受损——甚至失去客户信任。 10 勒索软件重新定向每一份沟通计划都因报告义务的不同而有所差异。行业需要定制化的策略——例如，被盗的医疗数据涉及通知患者，而银行则可能需要优先满足全球主要的金融监管机构提出的严格要求。随着组织努力在客户中建立数字信任，而人们越来越意识到隐私问题，公开和诚实地说明发生的事情以及接下来会发生什么——对内部和外部来说都变得更加重要。将传统的企业通讯响应孤立于整个业务之外是不够的。与安全专业人员、法律团队和组织更广泛生态系统的合作，确保了通讯团队拥有结构化的方法，并能够以透明、周全且实事求是的方式行事。 关键问题 接下来是什么？我们对此做了什么？ 我们知道了什么？谁受到了影响以及如何受到影响？ 3. 姿态和部署11 勒索软件重定向1. 分诊和准备2. 开发和批准制定与传播策略相一致的沟通信息，确定每个利益相关者组的媒介，并获得批准。强化信息传递，培训员工，建立监控并部署一个垂直整合的通信特遣队。我们敏捷的网络安全危机沟通方法识别受影响方并就报告目标、语气、时间、受众和通知要求达成一致。埃森哲已经开发了下述勒索软件响应与恢复处理网络危机沟通的方法： 4. 监控和评估采用敏捷方法评估并根据定义的指标、情感分析、媒体推广、财务和品牌影响来迭代更新。 挑战12勒索软件重新定向勒索软件是无国界的——它影响企业、第三方生态系统和多个利益相关者 太经常了，勒索软件破坏会超出数据加密——系统会宕机，客户无法联系，业务会被中断。因此，威胁行为者调整了他们的策略。在某些情况下，他们减少了对加密和破坏的关注，更多地窃取数据并勒索受害者通过威胁披露被盗数据。这种方法能够快速产生效果，并使归因变得更加困难。确实，由于2021年对组织关键基础设施的影响，执法部门和政府与勒索软件威胁行为者之间的联系更加紧密。例如，美国财政部的一个金融情报和执法机构——外国资产控制办公室（OFAC）于2021年9月发布了新的指导方针，警告公司向受制裁实体支付或协助支付赎金将面临民事处罚。1首次，财政部最近制裁了一个俄罗斯拥有的虚拟货币交易所。2这些以及其他联邦机构采取的行动，给威胁行为者带来了压力，迫使他们寻找新的获利方式。 3 13 勒索软件重定向今天，你可以购买访问权限和恶意软件，并通过成为犯罪论坛上可用的勒索软件即服务（RaaS）计划的“合作伙伴”，来简单地执行勒索软件攻击。一个合作伙伴只需要向勒索软件团伙提供他们技术能力的证明，就可以开始分发勒索软件并接收付款。这使得挑战更加复杂。压缩变换它经常扩展攻击面——这体现在2021年观察到的攻击量三位数的增长。3尽管意识有所提高、政府行动和行业合作，勒索软件仍是无国界的持续威胁。任何危机应对策略都应考虑受影响的利益相关者范围——客户、企业子公司、供应商、受信任的第三方、财务投资和并购目标。相反，应对策略还应解决当其中任何一个利益相关者受到攻击时应如何应对的问题。例如，许多企业依赖第三方工资服务。当关键利益相关者实体受到影响时，应采取何种适当的应对措施？ 源：德勤网络安全调查、取证与事件响应业务107%年同比增长勒索软件和敲诈勒索攻击前五名国家：47%遭受勒索软件攻击影响最大的组织来自美国，其次是意大利（8%）、澳大利亚（8%）、巴西（6%）和德国（6%）。33%来自勒索软件和敲诈的入侵量 14 勒索软件重新定向回到正题尽管在所有正确位置实施了加密技术，一家领先的制造公司遭受了毁灭性的勒索软件攻击。该公司面临了一场戏剧性的危机——它无法生产、运输或销售任何产品。其供应链遭到破坏。员工无法登录他们的笔记本电脑。没有人能接听呼叫中心的客户电话。而且，包括四周内完成财务所需的关键文件在内的关键文件都无法访问。更糟糕的是，CEO被通知有两个备份地点也受到了影响。 •执行有效的沟通计划——针对员工、客户和合作伙伴利益相关者受众。•采用首个独一无二的策略手册——明确识别需要优先行动的业务领域。团队在第一周内恢复了最关键的业务系统——制造、分销和面向客户的呼叫中心。其余业务运营在四周内恢复，所有工厂都已重新上线。 •聚焦制造商的执行委员会——在网络安全团队和企业业务战略之间建立深层次联系。•管理关键技术方面——清洁系统，提供合理保证黑客不再存在，并在正确的顺序中重建系统。我们与客户的执行团队紧密合作，通过以下方式解决了攻击的影响： 15 勒索软件重新定向现代勒索软件响应 第一步这里有一些实用的步骤来帮助管理和现代化勒索软件响应：16 勒索软件重新定向提升您的业务准备能力典型的事件响应计划中，关键业务流程、其基础和下游依赖关系通常没有被充分理解或被忽视。例如：运输产品可能取决于配送中心的标签打印机，因此让那台设备运行起来，而不是修复一些较大的系统或设备，可能是减少中断的最快方法。了解您在整个业务范围内的价值链以及攻击发生时您的优先事项是什么。组织应该有信心和统一地了解使它们盈利的许多组成部分。 坦诚而谨慎地沟通第二步定义一个灵活的通信策略，从技术和商业的角度考虑网络事件复杂性。组织应注意避免分享错误信息，这通常取决于行业，因此在正式开始沟通前，务必评估所有事实、设定基调并深思熟虑。例如：在金融服务中，被盗的信用卡信息在公众知晓漏洞之前将受到严格的监管和合规要求。 获取首席执行官和董事会—上船17 勒索软件重定向步骤 3桌面演练通常由安全人员开展。通过将此类演练演变为包含高管级模拟，组织不仅可以测试其对典型勒索软件攻击的防御能力，还可以引入“真实生活”攻击场景的风险与刺激。测试和验证攻击预防、检测、响应和恢复是大多数组织生活方式的一种，但这个实用步骤可以通过借助首席执行官和董事会来加强。 例如：高管们可能被告知有三条业务线因攻击而停运，攻击者要求支付1000万美元。高管们被要求实时确定应恢复哪个业务，如何传达他们的回应，以及谁负责做出这些决策。 问问自己：18 勒索软件重新定向你准备好了吗？•我们的商业高管是否与安全团队协同处理新的勒索软件危机？•我们是否制定了合适的沟通计划来有效实施应对措施？勒索软件和敲诈事件的演变需要一个不同的思维方式——一种以业务和安全为重点的思维方式。•我们已经建立了与停机相关的基于风险的决策因素吗？ •如果我们不能发货，我们的财务门槛是多少？•如果我们三天不能生产，我们需要储备多少产品？•我们今天可以采取哪些行动以及可以实施哪些流程来帮助我们更快地恢复？通过更敏捷、更健壮和更透明的危机管理能力，组织可以更好地处理勒索软件事件，并提高整体网络弹性。 作者 瑞安·莱宁格罗伯特·博伊斯瑞安·莱宁格高级经理，埃森哲安全全球主动与准备服务主管罗伯特·博伊斯 @therobertjboyce执行董事，埃森哲安全全球事件响应与转型主管 版权所有 © 2022 阿克森特。保留所有权利2. 财政部采取有力措施应对勒索软件，美国财政部本内容仅供一般信息用途，并非旨在替代咨询我方专业人士。1. 就协助勒索软件支付而潜在制裁风险的新通知，美国财政部鉴于威胁情报的固有性质，本报告包含的内容基于其创建时收集和理解的信息。本报告中的信息具有一般性，并未考虑您的IT生态系统和网络的具体需求，这些需求可能存在差异并需要独特的应对措施。因此，埃森哲按“现状”提供信息和内容，不作任何陈述或保证，也不对基于本报告包含或引用的信息所采取的任何行动或未采取行动承担任何责任。读者需自行决定是否遵循本报告中提出的任何建议、建议或潜在缓