Blue Mantis本周早些時(shí)候在吉列體育場(chǎng)舉辦了首次網(wǎng)絡(luò)安全研討會(huì)，背景是新英格蘭愛(ài)國(guó)者隊(duì)的六面冠軍旗幟——這是一個(gè)合適的場(chǎng)地，因?yàn)檎缛藗兯f(shuō)，防守贏得冠軍。對(duì)于企業(yè)來(lái)說(shuō)也是如此：強(qiáng)大的網(wǎng)絡(luò)防御可以最大限度地減少網(wǎng)絡(luò)攻擊的損害，而薄弱的防御可能導(dǎo)致毀滅性的損失。

　　研討會(huì)的主題是“揭示網(wǎng)絡(luò)攻擊的解剖學(xué)：深入探索嚴(yán)酷現(xiàn)實(shí)”，重點(diǎn)不是預(yù)防網(wǎng)絡(luò)攻擊，而是在被攻擊時(shí)的最佳實(shí)踐。一個(gè)安全專家小組討論了一個(gè)真實(shí)的網(wǎng)絡(luò)攻擊案例，重點(diǎn)是受害者的反應(yīng)和汲取的教訓(xùn)。

　　Blue Mantis的首席運(yùn)營(yíng)官Jay Pasteris指出，一些簡(jiǎn)單的安全措施沒(méi)有到位：密碼從未要求更改，缺乏多因素認(rèn)證(MFA)的要求，并且雖然在最初受損的設(shè)備上有擴(kuò)展檢測(cè)和響應(yīng)(XDR)，但XDR配置不當(dāng)。

　　“最終，該代理的密碼被泄露并發(fā)布在暗網(wǎng)上，一個(gè)黑客組織能夠獲得該密碼，”他說(shuō)。該黑客能夠提升在公司環(huán)境中的權(quán)限，并建立一個(gè)勒索軟件包。“所以在D-Day(決定性日子)，他們按下按鈕就關(guān)閉了整個(gè)組織。”

　　有一個(gè)計(jì)劃并遵循它

　　從這個(gè)網(wǎng)絡(luò)攻擊中應(yīng)該學(xué)到什么教訓(xùn)?

　　首先也是最重要的，波士頓學(xué)院網(wǎng)絡(luò)安全政策與治理碩士項(xiàng)目的創(chuàng)始人兼主任Kevin Powers認(rèn)為，企業(yè)必須做好準(zhǔn)備。類似于足球，企業(yè)將成為各種攻擊的目標(biāo)，因此他們必須確保在攻擊發(fā)生后不會(huì)手忙腳亂地制定計(jì)劃，他們需要一個(gè)涵蓋所有場(chǎng)景的計(jì)劃。“當(dāng)你考慮事件響應(yīng)時(shí)，實(shí)際上應(yīng)該考慮事件規(guī)劃、響應(yīng)和管理。”他說(shuō)。

　　遭遇網(wǎng)絡(luò)攻擊時(shí)，你做的第一件事是查看事件響應(yīng)計(jì)劃。“如果你在攻擊中討論‘我們應(yīng)該聯(lián)系FBI嗎?我們應(yīng)該這樣做嗎?’那是個(gè)問(wèn)題，”Powers說(shuō)，“這是你應(yīng)該已經(jīng)計(jì)劃和討論過(guò)的事情……當(dāng)你考慮事件響應(yīng)時(shí)，你首先考慮的是計(jì)劃。”

　　Pasteris補(bǔ)充說(shuō)，了解你的資產(chǎn)是至關(guān)重要的，因?yàn)槭虑橥鶗?huì)被忽視。你不僅應(yīng)該知道你使用了哪些應(yīng)用程序，還應(yīng)該知道你如何保護(hù)這些應(yīng)用程序。“很多組織不跟蹤他們的資產(chǎn)，”他說(shuō)，“他們?nèi)绾伪Ｗo(hù)這些資產(chǎn)，如何圍繞這些應(yīng)用進(jìn)行深度防御。”

　　你還需要考慮網(wǎng)絡(luò)保險(xiǎn)——不僅要將其作為計(jì)劃的一部分，還要理解它的覆蓋范圍。

　　“網(wǎng)絡(luò)保險(xiǎn)的關(guān)鍵是回到事件規(guī)劃，”Powers說(shuō)，“如果你說(shuō)，‘天哪，我們的保險(xiǎn)不包括這些!’那么，這是你的問(wèn)題，因?yàn)槟銢](méi)有合理地計(jì)劃，你將失去這場(chǎng)戰(zhàn)斗。”

　　重要的是要明白，保險(xiǎn)是建立在條件基礎(chǔ)上的，Manatt, Phelps & Phillips, LLP的合伙人和隱私與網(wǎng)絡(luò)安全實(shí)踐的共同領(lǐng)導(dǎo)人Scott Lashway說(shuō)。“我們依靠網(wǎng)絡(luò)保險(xiǎn)來(lái)做一些網(wǎng)絡(luò)保險(xiǎn)本身并未設(shè)計(jì)的事情，它是建立在條件基礎(chǔ)上的，所以有國(guó)家排除條款……有戰(zhàn)爭(zhēng)排除條款。”

　　何時(shí)聯(lián)系FBI

　　根據(jù)Blue Mantis的安全實(shí)踐負(fù)責(zé)人Jay Martin，另一個(gè)大問(wèn)題是如果以及何時(shí)在網(wǎng)絡(luò)攻擊后應(yīng)該聯(lián)系FBI，因?yàn)楹芏喙緭?dān)心會(huì)引起FBI的注意。“我們是否應(yīng)該聯(lián)系FBI?不聯(lián)系FBI?當(dāng)我們聯(lián)系他們時(shí)，他們會(huì)為我們做些什么?”

　　喬·博納沃倫塔(Joe Bonavolonta)，現(xiàn)任全球風(fēng)險(xiǎn)與情報(bào)咨詢公司Sentinel的管理合伙人，曾在FBI工作超過(guò)27年，其中包括擔(dān)任FBI反間諜計(jì)劃負(fù)責(zé)人，他表示，聯(lián)系FBI有其優(yōu)勢(shì)。博納沃倫塔向聽(tīng)眾保證，F(xiàn)BI在處理此類攻擊時(shí)采取的是以受害者為中心的方法，他們不會(huì)穿著突擊夾克，開(kāi)著警笛和閃燈出現(xiàn)在你的辦公室。他說(shuō)，絕大多數(shù)事件響應(yīng)是通過(guò)電話、電子郵件或視頻會(huì)議進(jìn)行的。

　　與FBI合作的一個(gè)大好處是，他們可能擁有大量的情報(bào)，可以幫助你的企業(yè)緩解威脅，并幫助其他公司避免成為相同攻擊的受害者，博納沃倫塔說(shuō)。

　　此外，F(xiàn)BI可能擁有你公司所需的解密密鑰。“這就是為什么聯(lián)系FBI和我們的合作伙伴很重要，因?yàn)槲覀兛赡軗碛心莻€(gè)解密密鑰，或者更重要的是，我們可能與擁有解密密鑰的私營(yíng)部門實(shí)體有合作關(guān)系，因?yàn)樗麄冎耙彩鞘芎φ摺?rdquo;他說(shuō)。

　　博納沃倫塔還表示，“如果支付贖金，在某些情況下我們有能力……在資金實(shí)際流出之前可能會(huì)停止并凍結(jié)這些資產(chǎn)或資金。” “然后還存在其他情況，基于FBI和我們的合作伙伴與云提供商的關(guān)系，我們實(shí)際上能夠從存儲(chǔ)在某些服務(wù)器上的公司中檢索被盜數(shù)據(jù)。”

　　回到全面的網(wǎng)絡(luò)安全計(jì)劃的重要性，博納沃倫塔建議組織主動(dòng)與FBI建立關(guān)系。“在情況非常糟糕之前，先了解名字、電話號(hào)碼、電子郵件地址，并與對(duì)方見(jiàn)面，因?yàn)樵谥卮笪C(jī)期間，不是建立這些關(guān)系的時(shí)機(jī)。”他說(shuō)。

　　是否支付勒索贖金？

　　也許遭遇勒索軟件攻擊的企業(yè)面臨的最大問(wèn)題是是否應(yīng)該支付贖金。

　　“這是一種巨大的風(fēng)險(xiǎn)，”波士頓學(xué)院網(wǎng)絡(luò)安全政策與治理碩士項(xiàng)目的創(chuàng)始人兼主任凱文·鮑爾斯(Kevin Powers)說(shuō)，“你在與犯罪分子打交道。你可以與犯罪分子簽訂合同。這和一張廁紙的價(jià)值一樣。”

　　博納沃倫塔表示，F(xiàn)BI不建議支付贖金。他見(jiàn)過(guò)公司支付贖金后，壞人不僅不解密他們的文件，還聲稱他們也竊取了大量數(shù)據(jù)，除非公司再次支付贖金，否則他們將公開(kāi)這些數(shù)據(jù)。“我們內(nèi)部稱之為‘雙重勒索’”他說(shuō)。

　　“我不喜歡支付贖金，我甚至不喜歡談判，”斯科特·拉什韋(Scott Lashway)說(shuō)，“我們盡量使其機(jī)械化。”

　　拉什韋說(shuō)，在支付勒索贖金之前，你必須做三件事：

　　1.通過(guò)法律審查，確定支付贖金是否可行

　　2.與FBI交談，因?yàn)槟憧赡軙?huì)給自己帶來(lái)大量法律犯罪風(fēng)險(xiǎn)

　　3.如果你決定支付贖金，請(qǐng)讓別人代你談判。“你在與非常壞的人打交道——非常壞的人，他們有做一些事情的傾向，比如‘我有你CEO的家庭平面圖’，”他提醒聽(tīng)眾。

　　沒(méi)有借口……相反，要做好任何準(zhǔn)備

　　拉什韋補(bǔ)充說(shuō)，僅僅因?yàn)橛?ldquo;這不是‘是否’，而是‘何時(shí)’你公司將被攻擊”的敘述，不要把它當(dāng)作借口。“我們都需要照鏡子，真正擺脫這種心態(tài)，”他說(shuō)，“這已經(jīng)成為一種借口。律師用它來(lái)為公司被攻擊辯解，這已經(jīng)成為董事會(huì)在不為你的技術(shù)需求提供資金時(shí)的借口。”

　　換句話說(shuō)，停止找借口，預(yù)料到意外，并做好準(zhǔn)備——就像愛(ài)國(guó)者隊(duì)在第49屆超級(jí)碗中所做的那樣，盡管所有跡象都表明要跑球，他們也準(zhǔn)備好了傳球，最終由馬爾科姆·巴特勒(Malcolm Butler)在門線處攔截傳球，這成為勝利與慘敗之間的關(guān)鍵。