最近，雙重勒索軟件攻擊對他們的目標使用了兩種不同的勒索軟件變體，攻擊者使用的勒索軟件包括AvosLocker、Diamond、Hive、Karakurt、LockBit、Quantum和Royal。

聯邦調查局警告稱，部署定制數據竊取和雨刷工具的勒索軟件組織有所增加，以迫使受害者進行談判。

在很短的時間內發生兩次勒索軟件攻擊，會推高損害和相關成本，并可能將公司推向毀滅的邊緣。最近針對米高梅的第一次黑客攻擊造成了1億美元的損失。后續的襲擊可能會產生更嚴重的后果。

CIO和CISO需要采取哪些不同的做法來打破無休止的攻擊和再次攻擊的循環?

在網絡攻擊期間，IT團隊成員在高壓下工作，將他們的企業從混亂中拉出來。重要系統應迅速啟動并重新運行，并應適當通知客戶和合作伙伴。每一小時都很重要，因為停機等同于金錢損失。

在這種極端情況下，會出現致命錯誤：IT團隊通常會恢復到為洪水、火災或斷電等傳統災難恢復情況構建的恢復工作流。系統從現有備份重建，以便它們可以快速恢復運行，通常使用最新的副本，因為這最大限度地減少了可能的數據丟失。

在傳統的災難恢復方案中，根本原因是已知的，并且原因已得到緩解，但在網絡攻擊方案中，如果沒有適當的響應操作來調查和緩解你發現的情況，系統將與所有惡意帳戶、泄露的密碼、持久性機制和其他惡意制品一起恢復，而缺少規則或被繞過的保護性控制仍然無效，無法阻止攻擊再次發生。被利用的漏洞仍然沒有被發現，也沒有打補丁。

換句話說，這座房子將被重建，所有打開的窗戶和后門都是襲擊者第一次進入的。事實上，對手可能已經回到走廊里了!無限循環的基礎已經奠定。在勒索軟件時代，將系統恢復重新考慮為一個過程并使其完全現代化是至關重要的。

基礎設施和安全團隊必須共同努力，不僅要恢復系統，還要了解攻擊的性質并降低再次發生的可能性。這需要時間，但它可以防止進一步的代價高昂的影響。

這種合作的理想場所是所謂的潔凈室。在這個隔離的環境中，所有涉及的團隊都可以與生產數據的副本并行工作。使用數據管理解決方案，可以在事故時間線的不同階段獲得系統的快照版本。現代數據安全和管理平臺可以將這些快照交付到隔離的環境中，借助保險存儲、不變存儲、多因素身份驗證和加密，這些快照已針對外部攻擊進行了強化。

數據管理系統協調了運行潔凈室所需的通信、協作、身份驗證、數字取證和事件響應工具的快速準備，確保即使這些系統受到事件響應的影響，也可以在事件發生后幾分鐘內啟動操作。

在這個凈室里，數字取證可以在幾分鐘內重新實例化攻擊生命周期中不同時間點的系統，以檢查文件系統、配置和文件。被規避或缺少相關規則的安全工具可以重新部署到系統上。可以發現準確的攻擊點的漏洞，即使它們發生在常規的漏洞掃描節奏之間。

持久化機制通常存在于未加密的系統上，因此尋線團隊應該在整個系統中尋找危害的指標，從而利用數據管理的快速索引和搜索功能。

防止后續攻擊

這些響應操作推動了可實現的恢復時間目標，但必須修補發現的漏洞，刪除惡意帳戶，加強保護和檢測控制，以防止或檢測再次發生，并且必須在重新部署到生產之前刪除所有惡意人工制品。IT團隊自然希望優先恢復運行最重要服務和存儲最有價值數據的系統。

公司中的CIO和CISO都應該相互協調，重新調整恢復時間和可能的運營成本，因為整個恢復過程需要的時間比之前估計的要長。這種方法的優勢應該是顯而易見的：后續攻擊的風險降低，整個環境的網絡彈性增加。