6月/ 7月2018

网络犯罪:打印并保存这篇文章-你可能无法在勒索软件袭击后
克莱德·休伊特
郑重声明
第三十卷第六页

本文的目的不是提出不必要的警报或夸大勒索软件的风险,而是为发现自己成为攻击目标的组织提供“应该做和不应该做”的资源。总的来说,医疗机构遭受大规模勒索软件攻击的可能性相对较小。然而,随着2016年至2017年攻击次数增加424%(根据2018年IBM X-Force威胁情报指数),这种可能性正在增加。事实上,根据Beazley 2018年的数据泄露报告,在2017年所有报告的勒索软件攻击中,医疗保健是45%的受害者。

经历过攻击的首席信息官们对最初的困惑和恐慌所造成的早期错误持开放态度。一份列出在攻击初始阶段该做和不该做的清单,在应对此类危机时可能会有所帮助。

休斯顿,我们有麻烦了
无论组织如何发现勒索软件攻击,每个人都至少会经历某种程度的恐慌。最重要的是深吸一口气,然后启动一个事件响应计划。由于勒索软件攻击速度很快,当攻击开始时,组织将没有时间开始计划过程。一个很好的例子:在一个报道的事件中,第一次感染在14分钟内破坏了2000多台服务器。

隔离
一旦勒索软件攻击开始,讨论为什么昂贵的工具(如防病毒、防火墙、网络访问控制)没有阻止攻击就没有什么价值了。把分析留到以后恢复完全得到控制时再做。遏制勒索软件攻击的唯一方法是首先隔离显示感染迹象的设备。此操作可能需要关闭虚拟局域网(LANs)、建筑物,甚至整个设施或校园。

一些勒索软件变种已经被观察到,在勒索软件开始加密文件之前,首先扫描局域网,试图感染其他设备。因此,受感染的设备很可能存在于隔离周界之外——即使这些设备尚未出现症状。最好是建立一个广泛的隔离边界,而不是将攻击扩展到初始边界之外,并被迫重新开始。勒索软件呈指数级传播,所以响应速度是最好的工具。

在隔离设备时,要从大规模伤亡事件中吸取教训——特别是“分类标签”。在这种策略下,任何被怀疑受到威胁的设备都会被标记并被处理。在损害得到控制后,组织将有时间返回并验证单个设备是否受到损害。


•一旦检测到事件,任何经过培训和授权建立网络边界的人都应该被授权这样做,而无需征得许可。勒索软件攻击很少发生在周二下午2点,所以要准备好在接到通知后立即做出反应。

•启动事件响应计划。确保通知所有参与者,包括法律、首席医疗官、设施、物理安全、公共事务、生物医学、药房、实验室和作为网络一部分的所有其他涉及实体。如果组织有流动站点,则必须通知这些站点负责人。

•指定一名“记录员”,以详细的时间表记录所有事件、行动和决定。这个人不应该被其他职责分散注意力。

•勒索软件攻击将是一个所有可用资源的事件,所以启动电话树。事件的影响将是广泛的,影响到所有部门和业务;因此,无论什么时候,都应该通知整个高管层。

•如果没有事件响应计划,请尽快建立一个。积极主动的计划是及时应对和尽量减少感染负面影响的关键。


•恐慌。否则,IT领导的价值将迅速降低,使他或她成为组织的负担。

•让指挥链在关键的头几分钟延迟警报和响应过程。任何人都可以直接给首席信息官甚至首席执行官打电话,提醒他或她这个问题。

•把这个事件仅仅看作是一个IT问题。勒索软件有可能影响其他领域,如生物医学、实验室、放射学、药房甚至设施。

•尝试单独控制攻击。控制攻击需要很多资源,因此早期预警至关重要。

•延迟向事件响应团队和管理层发出警报,以便实施停机程序。

检疫
所需的隔离方法是识别恶意软件用于感染其他设备的端口和协议,然后是所有路由器、网关和其他网络工具上的端口和协议。不幸的是,很少有组织有能力在攻击期间执行分析。在这种情况下,这些组织应该计划利用他们扩展的事件响应团队,包括防病毒、网络和其他安全工具供应商。如果组织之前执行了包含事件响应保留语言的合同,那么他们将收到更快的响应。

一旦组织隔离了受影响的和可疑的设备,下一步就是通过隔离整个环境来阻止爆发。首先在服务器和存储级别保护最有价值的数据和系统。考虑三层数据中心架构的最佳时机已经过去,因此IT领导者应该提前知道他们是否有能力和程序来批量暂停(冻结)所有虚拟服务器和存储区域网络。

如果没有挂起这些设备的程序,一个很好的替代方法是与LAN进行虚拟或物理断开连接,直到有机会通过端口或虚拟LAN管理实现更有选择性的隔离。

与此同时,断开任何远程站点、合作伙伴和其他云服务的连接,并让他们知道发生了什么。实施防火墙规则,或者,如果组织没有预先设置的脚本,考虑拔掉外部互联网电缆,至少直到组织能够获得新的防火墙规则。考虑将白名单作为短期解决方案。


•向员工明确表示,如果发生勒索软件攻击,他们有权启动紧急响应。把时间花在寻求许可上是适得其反的,尤其是在有文件记录的程序存在的情况下。

•为如何隔离和检疫系统制定明确的说明和清单。打印列表并将其放置在已知位置,而不是依赖可能不可用的在线系统。

•与主要供应商协商事件响应合同,并与主要工作人员共享紧急联系信息,他们应将这些信息存储在个人设备上。如果系统无法访问,对在线合同、共享驱动器或其他关键文档的访问可能会延迟。

•创建一个所有外部网络连接的列表,并定期更新。包括关于如何联系外部各方的紧急联系信息。


•恐慌。不要让其他表现出压力迹象的人不加干预地继续下去。监控工作表现,并理解让员工“暂停”是可以的,这样他们就可以重新调整自己的想法。勒索软件攻击会造成压力,而压力本身又会传染给他人。考虑聘请咨询师。

•认为任何组织都可以在没有外界帮助的情况下从广泛的勒索软件攻击中恢复过来——这需要一个内部和外部资源的团队。尽早通知扩展小组。

•相信IT预算会维持下去。例如,一家中型医院将其年度IT总预算的60%用于应对一次勒索软件攻击。

治疗
到目前为止,应该已经组建了事件响应团队,并启动了停机程序。事件响应团队应该能够识别所有受影响的流程,而不仅仅是临床服务。非临床流程,如计时、人力资源、患者财务、供应链管理和设施也可能需要启动停机程序。

勒索软件攻击可能会在一小时内识别并感染所有易受攻击的设备。挑战在于识别受损设备并启动修复过程。在这一点上的紧迫感可以降低到一个可控的水平。

技术团队应该专注于识别恶意软件文件,以及“索引”或第一个被感染的机器。恶意软件文件,连同源ip,应该与各种安全供应商共享,允许他们更新他们的反病毒和僵尸网络定义文件,以帮助防止原始域之外的其他感染。索引机应该按原样保存——希望是由计算机取证专家保存。将其从网络中删除并隔离,以便将来由执法部门和其他第三方进行分析。


•提醒执法部门——如果事件规模较大,通知联邦调查局。

•提醒可能愿意提供工作人员帮助补救的同级医院。额外的工作人员缩短了恢复期。记住要正式授权外部资源,这个过程可能需要手动完成。

•了解IT领导者的主要角色是在情感上和物质上支持团队。考虑提供健康食品以支持昼夜工作。

•触摸所有设备,包括非it管理系统中的设备。有证据表明,生物医学和实验室设备可被感染。

•首先启动关键系统,并按区域连接。

•制定沟通计划。


•期望迅速恢复。典型的医院技术恢复期超过两周。可能有必要强制休假,以防止员工倦怠。

•支付赎金。只有不到50%的付费用户收到了解锁钥匙。最终,支付赎金对总停机时间没有影响。它还鼓励犯罪者攻击其他组织。

•忘记组织在恢复期间容易受到其他攻击。

监控
技术恢复的最后阶段是监控所有系统,以确保它们已被清理和修补。预计某些设备可能在攻击期间处于离线状态,使它们容易再次感染。对于生物医学设备、家庭卫生系统和流动工作人员使用的设备来说尤其如此。密切关注放置在仍通过网络监测的流动病人身上的设备。


•花时间记录事件,密切关注根本原因分析。

•审查民权办公室的勒索软件和HIPAA指南,特别是当它涉及到勒索软件是可报告的违规行为的假设时。

•对安全、隐私和合规项目进行全面的技术和流程评估。beplay最新备用网站预计监管机构或调查该事件的第三方将进行某种形式的调查。HIPAA安全规则关于安全事件程序、响应和报告的标准(45 CFR第164.308(a)(6)(ii)条)要求受保护实体和业务伙伴“……记录安全事件及其结果。”此外,164.308(a)(1)(ii)(D)要求他们“定期审查……安全事件跟踪报告。”


•假设一旦IT部门将系统恢复在线,事件就结束了。将数据从停机表单手动输入到系统中需要几个月的时间。这是提交保险索赔和重新启动患者财务流程的关键步骤。除非能够获得外部资金来源,否则将在许多月内出现严重的现金流短缺。

•忘记重新评估组织网络安全保险的限制。

•认为每个人晚上都会睡得更好。大规模的勒索软件攻击有可能造成创伤后应激障碍症状。

后记
从重大勒索软件事件中恢复至少需要几个月的时间。在恢复期间,医疗保健组织必须引入额外的工作人员将纸质停机文件转录到EHR中。这将有助于恢复大部分失去的电荷捕获,但预计会有遗漏。

首席信息官们应该花时间反思他们的经验,然后对本文提出建议和修改。把它贴在墙上,希望下次不需要它。

——Clyde Hewitt是CynergisTek安全策略副总裁。