在接受行業媒體的采訪中,網絡安全服務商Sygnia公司英國和北歐地區的AzeemAleem博士揭示了勒索軟件談判的復雜性,并強調了企業可以采取哪些措施來保護自己免受網絡威脅。
典型的勒索軟件談判過程是什么樣的?專業人士可以采用什么談判策略來降低勒索贖金?
Aleem:如果企業遭到勒索軟件攻擊,威脅行為者可以利用它作為進行勒索的機會,承諾以交錯的方式發布數據,以確保他們從勒索軟件攻擊中獲得最大收益。其結果是,企業可能會與威脅行為者陷入無休止的贖金循環。這就是人們被要求調查和防范重大勒索軟件、企業間諜活動、金融盜竊甚至民族國家攻擊的原因。
人們總是在網絡安全預防方面犯錯誤,他們需要跟上威脅行為者的發展步伐,這意味著投資并尋求第三方安全專家的幫助,他們可以從頭開始審查企業的安全堆棧,發現企業可能沒有注意到的細節。應對網絡犯罪需要多種技能,包括預測和適應性思維,以及真正看到網絡威脅的全面或微觀視角。
在與威脅行為者接觸之前,企業需要為勒索談判獲得正確的技能。例如可以從精英軍事技術部門和網絡行業中挑選精英人才,例如軍事情報部門前官員、犯罪心理學家、勒索軟件黑客談判代表等等。這是一支非常獨特的團隊,他們在技術優勢、數字作戰、數據分析和商業方面擁有訓練有素的技能,為企業提供軍事級別的安全。
企業要意識到會有更多的損失——需要愿意談判,這意味著“玩游戲”以獲得最好的結果。成功進行談判意味著在保護被盜數據的同時支付很少費用或不支付任何費用。網絡威脅談判專家可以找到漏洞的來源,并使用策略來延遲交付贖金,同時為企業的調查團隊提取關鍵信息,以映射到威脅行為者的特定行為。例如,企業的談判者可能會假設一個特定的角色來建立同理心和信任,創造一種友誼感,這有助于打開溝通渠道,達成更好的交易。
通過查找漏洞來源來避免雙重勒索和三重勒索。談判團隊將努力揭示勒索軟件攻擊者的動機,調查來源,遏制威脅,最大限度地減少泄露暴露時間(BET),然后幫助補救和恢復,以此作為打破威脅循環的一種方式。談判者將協助找到能夠幫助技術團隊揭示未知狀況的“黑天鵝”。
通過了解勒索軟件攻擊者使用的工具、策略和過程(TTP),可以確定勒索軟件攻擊的復雜程度。有時勒索軟件攻擊者的攻擊方式或者工具并不復雜,但他們可能發現了一個未知的漏洞,可以繼續濫用。
使用勒索軟件談判服務而不是在企業內部處理談判有什么好處?
Aleem:第三方高技能的事件響應團隊可以通過與企業合作為其提供大量專業知識,這可能是傳統內部安全團隊所缺少的知識和技能。例如我們從精英軍事技術部門和網絡行業中挑選精英人才,例如前軍事情報官員、犯罪心理學家、勒索軟件黑客談判代表等。這是一支獨特的團隊,他們在技術優勢、數字作戰、數據分析和商業方面擁有訓練有素的技能,可以為企業提供軍事級別的安全保障。事實上,一些國家悄悄地向他們尋求幫助。
談判人員可以推遲企業對贖金要求的回應。這種延遲提供了什么好處,它如何影響勒索軟件攻擊的結果?
Aleem:網絡威脅行為者現在可能是擁有人力資源、薪資和銷售團隊的大企業。他們需要像企業保護贖金一樣保護自己的行業聲譽。不幸的是,在某些情況下,由于攻擊本身的性質,支付贖金是不可避免的。例如,對工業基礎設施的攻擊,不僅會對網絡安全造成影響,還會對工作和生活造成物理影響。
研究機構最近發布的一份研究報告表明,在今年上半年,全球企業支付了4.491億美元的贖金。勒索談判將有助于發現勒索軟件攻擊者的未知之處,找到安撫他們的方法,并減少贖金——在某些情況下,可能會阻止未來的攻擊。我們實際上是在爭取時間來控制威脅、恢復數據和彌補安全漏洞。
在遭受勒索軟件攻擊之后,企業應該立即采取什么措施,以使自己處于成功談判的最佳位置?
Aleem:•建立安全的離線渠道。這本質上是一個作戰室,以簡化戰略團隊溝通。網絡攻擊不再是一個IT問題,必須提交給企業董事會,特別是如果監管措施被忽視,首席執行官可能會發現自己被解雇。
保持冷靜,避免下意識的反應。恐懼會讓人驚慌失措,影響判斷。可以嘗試回應威脅行為者,提示他們成功的“標記”。
招募外部的突發事件應對專家來調查、評估和繪制危機地圖。不要單獨與威脅行為者接觸。
應用網絡分段,并將備份環境與網絡分離。
斷開員工與電子郵件和服務器的連接,以避免傳播攻擊。許多供應鏈攻擊可以通過這種方式擴大攻擊規模。
評估運營環境,了解攻勒索軟件擊的來源。
謹慎對待補救和消除后門。這樣的緩解活動可能會讓威脅行為者意識到有人盯上了他們。確保企業正在進行的流程是全面的,并使用定制的監視工作來支持補救,以防止進一步的風險,并檢測可能遺漏的任何后門。
能否舉例說明企業如何成功使用勒索軟件協商服務來減輕勒索軟件攻擊的影響?
Aleem:我們的勒索軟件談判服務限制了對企業的損害,能夠快速發現威脅并最終以更快的速度減少贖金。我們的調查提供了可以阻止威脅行為者的杠桿,最大限度地減少贖金或根本不支付任何費用的最佳結果。
我們將看到越來越多的運營技術(OT)攻擊,在某些情況下,虛擬世界和物理世界都可能受到影響,因此需要支付贖金。例如,Sygnia公司與一家知名的全球制造公司開展合作,該公司是一個制造商集團的子公司,并且擁有多個OT生產環境。該公司遭受了來自PYSA或MespinozaRansomware勒索組織的攻擊,網絡攻擊者對生產車間的服務程序進行了加密,導致工廠運營和客戶交付暫停。對于這種規模的企業來說,任何日常運營的中斷都可能造成150萬至200萬美元的損失。
該公司無法繼續承受這樣的損失,因此在現有工作流程的同時,Sygnia公司幫助調查和控制威脅,同時恢復并與威脅行為者進行談判。我們的談判專家團隊找到了與威脅行為者建立信任和同理心的方法——更深入地了解勒索軟件攻擊的起源,以幫助我們的遏制團隊確保他們針對的是正確的領域。
一旦我們發現了勒索軟件攻擊的入口點并發現了橫向移動向量,我們就能夠追蹤到攻擊的起源,并將其追蹤到制造商集團內的另一家子公司。我們在供應鏈攻擊中多次看到這種情況,企業內部團隊為了提高效率而彼此共享系統,但他們卻不知道,這也為威脅行為者提供了利用和傳播攻擊的途徑。
Sygnia公司展示了我們的調查結果,并與兩個法律團隊分享了過濾之后的數據進行分析。在這種情況下,我們能夠從我們的“安全島”恢復環境,因此不必支付贖金。我們還修復了漏洞,以防止再次發生勒索軟件攻擊,并幫助制造商在最初的妥協之后兩周內恢復這家工廠的全面運營。
可以解釋一下勒索軟件談判服務如何與執法機構合作,以及這種合作如何使受害企業受益嗎?
Aleem:在多個案例中,Sygnia公司的談判小組與執法機構進行了廣泛的合作。這主要是為了了解勒索軟件攻擊的范圍,改進安全團隊的工具、策略和過程(TTP),并爭取關鍵時間以加快遏制過程。
