遭受勒索软件攻击后，首席信息官应采取的关键步骤

MoveIt攻击事件威胁着各地的企业。最近，通过它的漏洞入侵的勒索软件甚至波及到了那些都没有使用过它的企业，而这仅仅是因为他们的业务合作伙伴曾使用过。网络攻击正在以令人担忧的速度迅速蔓延，但并非每个人都为此做好了准备。

作为一名首席信息官，我深知首席信息官所面临的压力，并与 Veeam 的首席信息安全官(CISO)一起制定了一套战略性的、有针对性的网络攻击应对措施。在被攻击后，有效的响应应该包含四项关键步骤。

观察

面对勒索软件攻击时，从安全角度出发，我们的第一反应是清除威胁并解决问题。但是说实话，这并不是最好的解决办法。

相反，首席信息官应首先专注于快速隔离环境中的破坏者。在隔离他们的情况下，不去进行清除是有帮助的，因为这样首先可以阻止破坏者对环境的其他部分造成危害，其次还可以使您观察他们的行动。尽管直接了断地清除或解决威胁是一种解决方案，但通常会错失分析威胁行为者的机会，而分析他们的行为可以揭示很多有关其意图、目标和策略的信息，以及找到企业自身的漏洞。从系统和数据的角度了解入侵的程度也至关重要。

严谨的观察将帮助首席信息官更好地理解威胁行为者是如何操作的，而知晓这些也将有助于为下一次勒索软件攻击制定积极主动的应对方案。

修正

既然已经全面了解了攻击者是如何潜入企业的，现在就可以采取修正措施了。

“修正措施”都包括什么呢?“修正措施”就是清除威胁、修补攻击载体、恢复系统和数据，以及处理攻击者可能造成的任何其他损害。一旦首席信息官完成了必要的准备工作，获得了关于攻击者意图、行为模式、知识和影响的关键数据，就时候该消灭攻击者了。在观察阶段，攻击会被隔离，以阻止他们访问并对企业更多的数据流程造成伤害。在知道他们将无法重新通过原始漏洞、或其他可能会被识别的潜在漏洞立即返回时，利用所需的工具对威胁进行清除。

一旦攻击者的存在被清除，首席信息官就可以全面评估所造成的损失，检查重要数据、备份、日志、哪些数据可能已丢失，是否可以恢复或是否有副本，以及可能需要采取哪些进一步措施。

预防

在清除了威胁行为者并确保漏洞的安全后，首席信息官就可以启动预防措施，以避免再次遭受此类攻击。扫描安全措施将有助于识别攻击面中的任何漏洞或薄弱环节。

虽然一般的攻击者可能不会再次回到犯罪现场再进行第二轮攻击，但了解他们的攻击点有助于修补漏洞，并防止再次受到威胁。作为首席信息官，在评估由攻击引起的犯罪概况时，您必须关注其中的关键变量：目标、攻击者的身份、他们采取的行动以及造成的影响。对于决定下一步应该怎么走，才能降低未来的风险来说，这些因素至关重要。识别行为模式，确定类似的攻击是否可能导致另一个漏洞，是否可能扩大到更大的范围。

安全漏洞通常被视为技术问题，但最大的风险其实是企业内部的员工。大多数攻击者都是通过人为的程序潜进企业的，比如网络钓鱼诈骗等类似手段，他们利用的是分心的员工。在这种情况下，您可以立即限制或锁定员工的访问权限，以避免进一步的危害。

只有在采取了上述所有预防措施，降低或清除进一步威胁后，才能进入第四阶段：转达消息。

通知

向利益相关者透露勒索软件攻击的消息绝非易事。但在让行业了解新出现的威胁的同时，透明度对于维护信任和忠诚度是很有价值的。

您必须明确通知的目的。在没有计划的情况下分享一切不仅会危及企业声誉，还会使您在未来的攻击中处于弱势。相反，首先要联系董事会、企业的法律团队和业务利益相关者等关键的各方。如果发生了客户数据丢失或被盗事件，这可能会带来法律后果。与您的法律团队和董事会协调，统一信息传递方式，以及哪些攻击信息可以共享、与谁共享、何时共享。

按部就班、深思熟虑地处理一次攻击可能需要几天到几周的时间。至此，您可能已经掌握了可提供的信息，并能够向客户保证企业致力于保护他们的数据，以及为防止更多攻击而采取可行的举措。通过这样做可以体现客户价值，有助于保持客户忠诚度和信任度。

下一步是什么?

虽然勒索软件攻击者通常不会二次攻击同一个漏洞，但他们完全有能力这样做，而且很可能会再次发动攻击。采取逆向方法来保护已经被入侵的区域不会长久有效。相反，首席信息官们应该考虑潜在的漏洞和目标，在攻击发生之前先行准备好。

最后，无论以何种身份遵循勒索软件攻击后操作步骤的首席信息官，都应牢记一个首要目标：要为企业的未来保驾护航。(作者：Nate Kurtz, Veeam 首席信息官)