新奥尔良勒索软件的情况不会改善!
这个大胆的声明是Semperis混合身份保护HIP会议第二天主题演讲的开场白。Semperis的事件响应总监杰夫维奇曼Jeff Wichman根据数据、经验以及对多年来勒索软件攻击幕后黑手的了解,做了此陈述。
维奇曼是一位资深的勒索软件谈判专家,他表示,最初他与攻击者谈判时,攻击者往往会随意提出一个赎金金额。但这种情况已经改变。
(注:上方视频为Semperis首席执行官共同创始人米奇布雷斯曼Mickey Bresman接受SC媒体的保罗瓦根塞尔Paul Wagenseil采访,内容是在Semperis 2024混合身份保护HIP会议期间)
在他的职业谈判生涯结束时,攻击者的信息掌握得越来越精确。他们已阅读了目标公司的财务报表,清楚知道该公司能支付多少赎金。
虎跃加速器最新版入口维奇曼指出:“当你第一次得知自己遭遇勒索软件攻击时,不要联系或威胁攻击者。让专业人士来处理。通常情况下,我们能进行约50的赎金谈判妥协,但前提是你不能激怒攻击者。”
Semperis的Ready1总经理兼执行副总裁马蒂蒙吉安Marty Momdjian与维奇曼同台,提醒IT安全专业人士在勒索软件攻击的紧急情况下务必保持冷静。
蒙吉安表示:“当你联系法律团队时,仅因为他们在场并不会自动获得保密特权。一切都是可被发现的特别是重大过失的证据,因此务必小心。”
他还警告不要在恢复过程中试图改善安全措施。“事件响应团队、法律团队和IT员工的目标都集中在一个方向上:将所有事情恢复原样。”他说,“不要试图更改任何事情。”
维奇曼补充道:“在恢复期间不要做评估,因为保险公司可能会因此认定这不再是事件响应案例。”蒙吉安解释说,评估和改善的工作可以稍后进行。
“要准备好长期停工,即使恢复后仍会如此。”他说,“在这时你需要重新审视,避免相同情况再次发生。保险公司也会要求做到这一点。”
维奇曼对刚刚发现勒索软件攻击证据的组织提供了一些建议。“保护你所剩的可用资源。”他说。“记住,恢复和事件响应公司想要帮助你,但他们也是按时间收费,所以可能会拖延进程。联系你的保险公司确保保险信息存放在一个安全的地方,防止被勒索软件访问。”
“要尽早与事件响应或取证公司建立联系。”蒙吉安补充说。“不要试图恢复得过于迅速,因为那样你可能会毁灭证据。”
“再强调一次,雇佣专业谈判人员非常重要,”维奇曼说。“但请一定不要联系攻击者,那样会让谈判变得困难万倍。”
在关于勒索软件的讨论之后,主舞台上进行了一场关于业务韧性Business Resilience的讨论,探讨其含义及网络安全防御者应给予其多大优先级。
“韧性应该是目标吗?”主持人,Allan Alford Consulting的总裁兼首席信息安全官艾伦阿尔福德Allan Alford问道。
“应该是一个目标,但也许不是唯一的目标。”Alchemy Technology Group的首席信息安全官约翰尼布里斯特Johnny Brister回复。
“我不认为韧性意味着放弃任何东西。”梅奥诊所的技术韧性主任希瑟
