勒索軟件已被許多人視為組織面臨的最具威脅性的網(wǎng)絡安全風險，2019年，超過50%的企業(yè)受到勒索軟件攻擊，估計損失了115億美元。

僅在去年12月，包括佳能、Garmin、柯尼卡美能達和嘉年華在內(nèi)的主要消費者公司就成為主要勒索軟件攻擊的受害者，從而導致支付數(shù)百萬美元以換取文件訪問權。

那么，遭遇勒索軟件攻擊后該怎么辦？采取哪些步驟有效地恢復？以下是一些技巧分享。

意識到被攻擊了！檢測到感染

最具挑戰(zhàn)性的步驟就是，意識到出了問題。

越早檢測到勒索軟件攻擊，受影響的數(shù)據(jù)就越少。這也直接影響恢復環(huán)境所需的時間。不過現(xiàn)實往往是企業(yè)看到了贖金文件后才認識到自己中招了，但損害已經(jīng)造成。因此，擁有可以識別異常行為（例如異常文件共享）的網(wǎng)絡安全解決方案，可以幫助快速隔離勒索軟件感染并在其進一步蔓延之前將其阻止。

與基于簽名或基于網(wǎng)絡流量的檢測相比，異常文件行為檢測是檢測勒索軟件攻擊的最有效方法之一，并且有著最少的誤報。

“基于簽名”的檢測方法有一定作用，但需要勒索軟件是已知的。如果有可用的代碼，則可以訓練軟件查找該代碼。但是，復雜的勒索軟件攻擊正在使用新的、未知的勒索軟件形式，因此訓練效果也不理想。建議使用基于AI / ML的方法，通過查找行為來確定是否存在攻擊，例如文件的快速連續(xù)加密。

此外，由于勒索軟件通常通過網(wǎng)絡釣魚電子郵件攻擊——帶有危險文件附件或超鏈接的電子郵件來影響組織。電子郵件等業(yè)務關鍵系統(tǒng)的良好防御機制也是必須的。

及時止損

檢測到感染后，就可以隔離勒索軟件進程并阻止其進一步傳播。如果是在云環(huán)境中，這些攻擊通常源自遠程文件同步或由運行勒索軟件加密過程的第三方應用程序或瀏覽器插件驅(qū)動的其他進程。只要挖掘并隔離勒索軟件攻擊的來源就能幫助我們遏制感染，從而減輕對數(shù)據(jù)的破壞。

為了快速有效，這個過程必須自動化。在識別出感染后，自動化程序會通過刪除可執(zhí)行文件或擴展名來阻止攻擊，并將受感染的文件與環(huán)境的其余部分隔離。

另外一種止損的方法是購買網(wǎng)絡責任保險，保護企業(yè)（以及企業(yè)中的個人）免受基于互聯(lián)網(wǎng)的風險（如勒索軟件攻擊）以及與信息技術基礎架構(gòu)，信息隱私，信息治理責任以及其他相關風險相關的風險。

恢復受影響的數(shù)據(jù)

在大多數(shù)情況下，即使快速檢測到并遏制了勒索軟件攻擊，仍然會有一部分數(shù)據(jù)需要還原。這需要對數(shù)據(jù)進行良好的備份才能恢復到生產(chǎn)狀態(tài)。

一般來說，按照3-2-1備份最佳實踐，且必須將備份數(shù)據(jù)與生產(chǎn)環(huán)境分開。

保留所有重要文件的3個副本，即一個主要文件和兩個備份文件

將文件保留在2種不同的媒介類型上

異地維護1份副本

如果備份是在云SaaS環(huán)境中進行的，則可以使用云到云的備份來進行“異地”存儲，減少備份數(shù)據(jù)與生產(chǎn)數(shù)據(jù)同時受到影響的概率。

數(shù)據(jù)備份，是從勒索軟件攻擊中恢復的救命稻草。

上報通知

當今大多數(shù)組織需要遵循的許多合規(guī)性法規(guī)，都要求組織將違規(guī)行為通知監(jiān)管機構(gòu)，接下來則應通知當?shù)貓?zhí)法部門。如果是關鍵領域的企事業(yè)單位，則在通知上報方面有著更加嚴格的準則。

再次檢查！測試訪問權限

恢復數(shù)據(jù)后，需要測試對數(shù)據(jù)和任何受影響的關鍵業(yè)務系統(tǒng)的訪問權限，以確保成功恢復數(shù)據(jù)和服務，一定要解決所有遺留的問題，然后再將整個系統(tǒng)重新投入生產(chǎn)。

如果在檢查過程中發(fā)現(xiàn)IT環(huán)境中的一些響應時間比平常慢，或者文件大小大于正常大小，則可能表明數(shù)據(jù)庫或存儲中仍存在一些未被處理的威脅。

最后

有時最好的進攻才是好的防守。對于勒索軟件攻擊和重新獲得對關鍵文件的訪問權，只有兩種選擇：對抗或乖乖支付贖金。如果是后者，那么根據(jù)最近的一份報告，支付贖金的組織中約有42%的文件未被解密……

鑒于針對企業(yè)的勒索軟件攻擊的數(shù)量不斷增加，如果沒有適當?shù)陌踩珎浞莺蜋z測系統(tǒng)，后果將是災難性的。
責編AJX