这方面需要受害方把伤害降到最低,重新上线,提醒相关人员。
勒索病毒攻击后企业恢复数据的五个步骤
勒索软件的回收会根据企业自身情况、数据性质、安全事件等因素而定。勒索病毒攻击后,企业遵循以下五个步骤是有帮助的。
(1)根据响应计划,恢复系统并确定恢复工作的优先级。
在勒索病毒攻击期间,企业需要获得数据的干净副本,以便迁移到分阶段恢复环境并再次上线。这些是企业重新上线所需的最低任务关键型操作。现在,企业将开始优先考虑恢复数据。
IT主管应与其他主管合作,以确保恢复水平与其他利益相关者达成一致。应该明确定义应用程序恢复的优先级或级别,以便业务部门可以知道恢复应用程序的时间表,不会出现意外。其规划还应包括关键基础设施,如和DNS。如果这些任务没有完成,其他业务应用程序可能无法重新联机或正常运行。
(2)继续开展取证工作,配合相关部门、企业网络保险提供商以及任何监管机构。
与其公司取证专家合作,了解更多详细信息,例如:
泄漏发生时是否启用了加密?
或者备份数据的状态是什么?
检查日志以确定违反规则时谁有权访问数据,谁当前有访问权限,他们是否仍然需要他们的访问权限,或者他们的访问权限是否可以被限制/撤销?
哪些类型的数据被损坏?谁受到影响?你有他们的联系方式吗?
在收集法医报告时,与执法机构(如FBI)、监管机构和企业的保险提供商合作很重要。
(3)通过恢复离线沙盒环境开始恢复工作,允许团队识别并根除恶意软件感染。
建议使用分层安全架构和“数据掩体”。这种方法可以帮助企业保留和保护大量数据,并使其立即可用。
当企业开始恢复数据时,需要检查网络分段。在建立网络时,可以对网络进行分段,以便一台服务器或一个站点中的漏洞不会导致另一台服务器或站点出现漏洞。配合其法医专家分析细分方案是否有效遏制了违规行为。如果有任何变化,需要立即进行。
(4)沟通一致,让业务部门及时了解恢复工作的进展。
企业需要制定一个全面的计划,让所有受影响的受众、员工、客户、投资者、商业伙伴和其他利益相关者受益。不要发表讹诈攻击的误导性言论;预测人们会问的问题是有帮助的;解决重大问题,提供明确答案。这有助于减少客户的担忧和挫折,从而节省企业的时间和费用。
另外,不要公开分享可能让消费者或企业面临更大风险的信息。
(5)从调查服务提供商的角度来看
企业是否需要知道任何服务提供商、合作伙伴或供应商是否参与了勒索攻击?检查他们可以访问哪些个人信息,并决定他们是否需要更改访问权限。现在是确保服务提供商自己采取必要措施防止网络攻击再次发生的好时机。如果企业的服务提供商表示已经修复了漏洞,则需要进行验证。
本文链接:http://www.slxf119.com/16453.html 转载需授权!
网友评论