不要成为下一个旅行：为勒索软件做好准备

当计算机每周第一次报道，外币兑换服务提供商Travelex的系统在1月3日星期五的黑客之后，它似乎只是另一个赎金软件攻击，仅仅是因为我们将在2020年报告的许多人。这不是。

在周末，到本周，很快就会显然，这是更多的。实际上，对于Travelex来说，它已成为最糟糕的情况。通过零售银行客户关闭外汇系统，千万的商业和休闲旅客无法访问资金，Travelex是摇晃的钱并摧毁其声誉。

同时，负责传染Travelex系统的尚未取消的群体 - 通常通过电子邮件传播PDF或.doc文件 - 继续提高其需求。在撰写本文时，网络罪犯在几天前从200万英镑征得超过4米。

根据新的报道，公司内部的情况是混乱的，匿名员工告诉英国广播公司在Travelex中的领导力和沟通中的崩溃，这一直被攻击震惊。

目前，现在，大量明确地，旅行未能为这种攻击做好准备，因此无辜的员工和客户正在遭受后果。

那么你如何为勒索软件准备？

如果Travelex的不幸强调一件事，需要计划您对每种可能角度的安全事件的回应。显然，这必须提前完成，以避免成为下一个高调的受害者，所以现在是欧洲，中东和非洲的销售副主席Alan Stewart-Brown表示，现在是任何时候的时间。 （EMEA）在OpenGear。

“最佳实践表明您应该在事件发生之前有一个事件计划，所以如果发生某些事情，您就准备好了。应该有一个修复计划，以便合适的人实时地完成正确的事情，“他说。

Cyber​​ ay的首席安全官员山姆咖喱补充说：“如果你没有被违反，你应该考虑你所做的事情。如果你不知道如何，请求建议，包括从回应良好的人那里。

“我们喜欢花很多时间谈论预算，产品路线图等，但作为高级管理人员，我们需要花时间评估风险，如果发生某些事情。在当下的热度中，你会有一个战斗或飞行的反应，你不希望肾上腺素推动作为公司的重要决策。“

重要的是要记住，这正是这种肾上腺素驱动的响应，可能导致瞬间动作，例如将插头从您的服务器中延伸出来。

这些行动可以具有可怕的后果。您的风险销毁将有助于调查或损害数据，这些证据将有助于您可以帮助您快速启动和运行的数据。

斯图尔特雷德是在宗教培训中的网络安全主管，对安全事件的恐慌回应缺乏准备。“很多它恢复了了解网络可见性，以及您的数据的位置，”他说。“在您的网络中发生的事情以及与其实际沟通的全面了解，这是理解组织健康和风险足迹的真正重要的部分。

“无论他们是否被违反，这是Cisos应该努力理解的东西。您可以创建的可见性越多，您就可以提早识别异常。“

REED建议了一份清单，可以形成响应计划的核心，并帮助您合理地关注如何通过事件进行。首先，他说，您必须了解已损害和可能的影响，然后了解需要隔离或关闭的内容。

之后，是时候沟通到业务并在技术上以及通知受影响的人的情况下激活修复计划，并在适当的监管机构和执法部门。

与此同时，技术团队必须在关闭攻击表面的工作中努力，从您所做的备份中定位和恢复。最后，您可以开始工作，确保不再发生这种情况。

玻璃墙解决方案威胁情报副总裁Lewis Henderson表示，如果安全事件更加透明和开放，可能会避免出现许多旅行的问题。

“透明度是新的安全性，”他说。“这并不意味着告诉世界你使用的东西，但是告诉它你所做的事。

“所有各方的各个层面的沟通是我们可能批评的一件事。我们不是在这里过分批评，而是当你是，你是如何做出反应以及如何与员工交流，董事会和客户至关重要。“

在这种情况下，Travelex的响应肯定留下了很多需要。Securedata的高级研究员WiCus Ross说：“公共沟通不常见，备份模糊，如果不是误导性的话，消息传递。“按计划维护”的信息与后一种陈述说话。领导需要几天时间提供某种形式的清晰公开消息。

“即使在此之后，缺乏官方更新，一些外部来源提供唯一通过他们声称被泄露的来源的更新。Travelex很可能与其业务合作伙伴进行私人讨论，但有明确的公开指导可以放心地放置平均客户。这种侵蚀品牌声誉和信任，进一步提出怀疑。“

Cyber​​ ay的咖喱说，在旅行事件的内部，不可能说出促进公司的蒙昧主义行为，以应对攻击而没有猜测。但他说，组织在网络安全事件发生后，组织的安静有两个原因。

第一个，更良心的原因是，当发生一个黑客时，可能很难判断，并建立正在发生的事情。

第二个原因是有人可能会尝试掩护或害怕他们的工作。顺便提及，没有建议在旅游发生这种情况。

“你应该及时行动，”咖喱说。“透明行动并提前行事。我对发现自己在旅游情况下的人的建议始终默认透明度。“

金属供应商Norsk Hydro，去年披露了它在活动的时间内将受害者归于赎金软件攻击，是良好反应惯例的一个很好的例子。或者咖喱把它置于：“违约透明度培育长期信任。”

伊索塔罗斯表示，来自Norsk Hydro事件的旅行和其他人都有明确的课程。“从诺斯克Hydro处理这一事件的方式出发了什么，这是高管控制局势的方式，特别是公司的消息，”他说。“沟通是透明的，经常和公众的。

“这允许Norsk Hydro显示成熟度并在保持信任的同时限制声誉损害。Norsk Hydro回应的方式感觉很好地执行了，几乎就像他们之前已经重新排练一样了。通常管理这些行动的程序必须已经事先发生，这显示了远见和尽职调查。“

拥有公共关系和媒体策略的适当也是至关重要的。在Travelex的情况下，匿名员工现在正在向媒体网点达到自己，虽然这对新闻表现有益，但对于该组织来说，这是可怕的，因为它正在失去对消息的控制。

GlassWall的亨德森表示，为记者提供清晰，清晰的故事非常有助于塑造公众对事件的看法。

“如果Travelex所说，'我们正在遇到事件，我们认为它是赎金软件，我们正在捍卫它并试图恢复'，每个人都会有不同的接受，”他说。“您可以将媒体用作高效的通信工具。人们去公众的地方，它结束了猜测，它正在解除武装。“

亨德森建议组织在内部和外部通信剧本中，作为其事件准备策略的一部分。

Cisos必须充分准备将消息传达给董事会和员工，然后在外面向供应商，合作伙伴，客户和记者提供。

在RedMoSquito的网络安全总监Andy Stark表示，在违约之后重建信任时，维护沟通渠道也很重要。

“我建议旅行需要与公关公司密切合作，并与他们联络，以重获公众资料，”他说。“他们可能还需要与人力资源密切合作，以重建员工的信心。”

但是，在历史悠久的黑客方面增加了斯塔克，这导致高调公司的声誉击中，他们确实很快恢复了。毕竟，他说，人们仍然使用Equifax。

最后，受影响的组织必须决定支付或不支付赎金。这是一个更强硬的决定，而不是似乎，即使是执法的大多数官方指导敦促你不支付。

“是的，你正在为犯罪地下提供资金，这是令人发指和可怕的，”咖喱说。“但是说你正在运行一个医疗中心，人们可能因网络攻击而死。那你做什么？

“每个受害者都不同，所以现在设置你的政策，决定你的门槛，以及什么损失量表太多了。如果生命处于面向50兰赎金的医院的平衡中，请支付。

“在法律所说的时间内，有关风险的决定必须留给受感染的组织。应该是我们在网络安全方面的工作，以装备人们做出正确的决定。“

Opengear的Stewart-Brown采取了类似的立场。“这是一件危险的事情，”他说。“一旦你支付赎金，它会打开一罐蠕虫，并鼓励犯罪分子再次这样做。我的个人感觉是，旅行不应该支付，但我不是那些必须为这项数据丢失这一数据的损害将是什么伤害的风险评估。“

GlassWall的亨德森承认支付赎金是有风险的，但指出的是，拥有强大的事件计划实际上会帮助您提出思绪。

“如果Travelex有一个计划并重新吃它，他们就可以在24小时内恢复并跑步，”他说。“所以，如果你在准备好的情况和可以恢复的情况下，那么你为什么要支付赎金？”

但是，Nominet的芦苇是坚定的“永不支付”营地。“很简单，不要这样做，”他说。“首先，它发出了一条消息，您可能是有利可图的目标，其次，没有保证您将获得数据。

“这些不是由合法实体提供Travelex的商品和服务。他们是寻求勒索金钱的罪犯，所以没有，绝对，我的建议是不支付赎金。“

下一步

专家说，联邦调查局IC3报告“兰布瓶数量低