勒索軟件攻擊和網絡攻擊事件帶來的風險可能已經成為企業(yè)安全團隊討論的主要話題，這是很自然的，因為勒索軟件攻擊事件在過去十年激增。這些數字令人震驚，并且非常清楚地表明，對于各行業(yè)各種規(guī)模的企業(yè)來說，勒索軟件攻擊都是難以忽視的威脅。
　　因此，積極保護公司資產和降低網絡風險是當今企業(yè)的一項必要投資。如果沒有制定威脅準備和應對計劃，勒索軟件或網絡勒索攻擊事件造成的破壞可能會對企業(yè)的業(yè)務產生重大的影響，將導致數據丟失、無法提供服務、運營中斷、信任和競爭市場優(yōu)勢的喪失，以及其他代價高昂且持久的影響。

　　改進威脅準備

　　當企業(yè)遭到網絡勒索攻擊時，必須快速確定其攻擊的性質和程度，然后執(zhí)行響應和減輕攻擊的計劃。因為勒索軟件攻擊持續(xù)的時間越長，對企業(yè)開展業(yè)務的能力造成的潛在損害就越大。

　　雖然很多企業(yè)的最終目標是全面預防攻擊，但緩解攻擊是一個更有可能(或許也更合理)的目標，而且企業(yè)應該優(yōu)先考慮準備和預防。預防措施包括實施最佳實踐和措施，以阻止勒索攻擊事件的發(fā)生，同時也使企業(yè)在遭受攻擊時盡可能少地承受損害。

　　勒索軟件的準備工作可以分為三個主要部分：準備、檢測和隔離。

　　(1)準備

　　企業(yè)對勒索軟件事件的響應能力直接受到其隨時可以使用的工具的影響，這使得企業(yè)的準備工作成為其成功應對勒索軟件攻擊的關鍵部分。良好的準備工作有兩方面的作用：一是培訓員工如何防止攻擊，二是為了萬一成為攻擊目標時應該采取什么行動而提供指導。

　　以下是企業(yè)在制定針對網絡勒索攻擊的計劃時可能希望包括的一些內容：

　　創(chuàng)建事件響應劇本，其中包含與響應勒索軟件攻擊相關的所有相關信息。

　　定期對員工進行強制性培訓，教育他們如何防止網絡攻擊者侵入企業(yè)系統實施網絡攻擊。所涵蓋的主題可能包括密碼安全的重要性、電子郵件釣魚的警告標志以及在線安全的最佳實踐。

　　為員工提供報告可疑活動的協議和資源，并在他們認為存在需要解決的風險時表達擔憂，從而幫助他們防止勒索軟件攻擊。

　　(2)檢測

　　檢測是指用于注意正在發(fā)生或已經發(fā)生勒索軟件攻擊的工具、技術、人員和流程，并在網絡中識別其來源。具體檢測子組件包括：

　　擁有一個強大的平臺系統，可以監(jiān)控網絡，并在發(fā)生可疑活動時發(fā)出警報，例如出現已知勒索軟件文件擴展名或快速重命名大量文件，這可能表明這些文件正在被加密。

　　利用有關特定勒索軟件行為者/團體以及戰(zhàn)術、技術和程序(TTP)的易于獲取和更新的知識，為企業(yè)的威脅情報計劃提供支持，包括技術情報，以更好地預測潛在的風險漏洞和攻擊。

　　實現多因素身份驗證，以減少勒索者獲得未經授權訪問企業(yè)系統的可能性。

　　(3)隔離

　　為了限制其傳播，在企業(yè)意識到成為勒索軟件攻擊的目標之后，隔離應該成為其首要任務。當每一秒都很重要時，以一種分離不同網絡的方式設計系統會非常有效。隔離的具體措施包括：

　　限制每個員工只能訪問他們工作中必須使用的文件和數據。

　　盡快關閉受感染的系統，并完全斷開與企業(yè)網絡的連接。

　　禁止在設備之間傳播潛在有害數據的方式，其中包括VPN、NAC和AD-user。

　　響應勒索軟件攻擊

　　一旦企業(yè)成功地捕獲并阻止了勒索軟件攻擊的進程，有一個適當的響應計劃是至關重要的，以幫助節(jié)省決策時間，并控制情緒反應，這在潛在的緊急情況下可能會發(fā)生。通常很難確定勒索軟件攻擊的范圍，被加密的數據越多，了解攻擊的性質所需的時間可能就越長。

　　良好的響應計劃通常是經過充分演練的，在需要時很容易實施，并且基于企業(yè)可用的資源。它有幾個部分，其中包括指定處理每個步驟的各方;將直接與勒索攻擊者溝通和談判的各方聯系信息;以及與處理贖金支付的法律合規(guī)性相關的最新協議。但在這些問題中，企業(yè)的計劃中需要解決的最關鍵的問題之一是談判的處理。

　　談判

　　談判包括與威脅行為者的接觸，并要求達成任何形式的妥協，無論是否涉及支付贖金。建議使用熟悉威脅行為者參與、勒索軟件攻擊和勒索軟件受害者法律義務的專業(yè)人員;了解當前的網絡勒索趨勢、威脅行為者和威脅行為者群體也很重要。如果在整個過程中保持透明并有可以幫助客戶達成目標的談判者，將極大地促進談判的順利進行，并且更有可能以受害方滿意的方式解決問題。

　　當然，并沒有一個萬能的談判方法。然而，如果企業(yè)發(fā)現自己處于這種最糟糕的情況，那么必須做好一些基本準備。

　　對所有與勒索軟件行為者的聊天和通信進行保密，并限制內部訪問者與威脅行為者的通信記錄。如果企業(yè)不確定威脅參與者是否有權訪問其電子郵件通信，則建議切換到非基于網絡的通信。

　　為尋求專業(yè)的談判人員做好準備。在這里強調的是，企業(yè)內部具有自己的專業(yè)談判人員的重要性，需要注意的是，許多勒索軟件攻擊者都有自己的具有談判背景的專業(yè)人員，以使被攻擊的企業(yè)遵守勒索要求。

　　建議盡早讓執(zhí)法部門參與勒索軟件攻擊的調查。這不僅可以幫助企業(yè)確保在法律范圍內處理勒索軟件攻擊事件，而且執(zhí)法部門有時還可以洞察特定的威脅行為者的行為，幫助企業(yè)進行談判并改善其所處的困境。

　　更大的壓力

　　除了勒索軟件攻擊本身之外，威脅行為者還會使用其他手段來對談判施加壓力，其中包括：

　　實施DDoS攻擊。

　　直接向員工發(fā)送有關攻擊的電子郵件。

　　聲稱擁有實際上并沒有被竊取的數據，以讓情況看起來更加糟糕。

　　聯系受到攻擊的企業(yè)高管或客戶，讓他們意識到已經遭到勒索軟件攻擊。

　　在面向公眾的論壇或社交媒體上發(fā)布敏感的個人身份信息(PII)。

　　留下后門，使勒索軟件攻擊者有可能對同一企業(yè)進行第二次攻擊。

　　成為網絡勒索攻擊的受害者既有壓力又有挑戰(zhàn)性。為了減輕對企業(yè)的業(yè)務和客戶的影響，必須準備好應對任何潛在的額外因素，這些因素可能會加劇勒索軟件攻擊，并長期損害受害方的聲譽和收入。