勒索病毒攻击的上升与应对策略

关键要点

• 勒索病毒攻击日益严重，组织面临越来越复杂的安全挑战。
• 支付赎金的利弊需谨慎考虑，并取决于组织的数据恢复能力。
• 不支付赎金的情况下，企业必须拥有必要的恢复能力以保持业务连续性。
• 建立分层的恢复架构可加速数据和应用的恢复过程。
• 组织应在年末评估安全策略，增强针对不断变化威胁的防御能力。

随着最近对
的攻击和其他勒索病毒攻击事件的增加，显而易见，即使在网络安全技术不断进步的背景下，未来仍将面临更多毁灭性的攻击。如今的勒索病毒攻击者不再仅仅是坐在屏幕后面的罪犯，而是那些通过窃取大公司敏感数据而建立起数十亿规模组织的精明商人。

随着网络攻击的日益复杂，几乎每个组织都有可能成为攻击目标。尽管如此，在遭受攻击时，如何应对勒索需求的问题将变得复杂，必须仔细考虑组织的基础设施和数据恢复能力。以下是安全团队在攻击发生后需要做出的关键决策：

支付赎金的利弊

一般来说，只有在组织没有其他恢复被盗数据的方法时，支付赎金才算合理。在理想的情况下，支付赎金意味着组织的数据将得到恢复，业务运营将继续进行，不会面临意外的挑战或干扰。

然而，这种情况往往不成立，因为坏人提供的解密工具常常不可靠且未经充分测试。因此，这些工具恢复数据的速度通常非常慢，且无法保证数据会完全恢复。此外，组织选择支付赎金可能表明它们存在脆弱性，这可能促使黑客再次攻击，同时也可能引发合规诉讼或其他法律问题，这些都是昂贵且耗时的。尽管以上考虑都很重要，但不支付赎金的风险也可能导致被攻击的组织面临倒闭的局面。在这种情况下，支付赎金以尽可能挽救数据或许是唯一的选择。

如果公司不支付赎金会怎样？

只要组织具备必要的数据恢复能力，可以恢复其关键应用和核心基础设施，就能够不支付赎金继续前进。攻击后的恢复速度至关重要，在大多数情况下，组织要利用其资源迅速启动灾难恢复计划，因为其技术通常比坏人的解密工具更为可靠。

然而，不支付赎金也可能带来一系列风险。例如，坏人可能威胁要公开敏感数据，甚至有人可能在公司拒绝支付时试图通知媒体。此外，最初的攻击者可能会将他们在环境中植入的其他入侵指标出售给其他攻击团体。应对攻击并没有完美的解决方案，因此比以往任何时候都更重要的是，在数据保护和韧性方面保持主动，以防止未来的攻击升级。

从攻击中恢复

无论组织选择支付
还是不支付，他们都可能需要恢复部分或全部数据。恢复通常会在攻击后立即创造混乱。由于恢复需要处理很多移动的环节，因此建立分层的韧性架构至关重要，这将加快恢复关键数据和应用的时间。通过让组织在不同的层级保存数据，分层韧性架构为构建速度和耐久性的恢复策略提供了一种未来-
proof（未来证明）的方式。这将使公司能够同时完成任务，例如在立即恢复操作层的同时调查攻击来源。

此外，公司需要制定一条清晰的恢复路径的恢复计划。现代恢复不应仅仅依赖于备份。相反，组织必须从快照恢复开始，逐渐过渡到将备份作为最后的手段。由于并行恢复不切实际，也很重要的是要优先采取具体行动。在这方面，考虑公司首要恢复的关键应用，记住必须优先恢复像
Active Directory这样的关键基础设施。组织还必须决定如何获取新硬件，因为团队通常会将受影响的基础设施隔离，视其为犯罪现场。迅速进行至关重要，或者必须准备一套离线工具以实现快速恢复，尽快恢复运营