目 录
第I部分 简介
第1章 勒索软件简介 3
1.1 情况有多严重 3
1.1.1 勒索软件的统计数据变化 5
1.1.2 勒索软件的真实成本 6
1.2 勒索软件的类型 8
1.2.1 伪造类勒索软件 9
1.2.2 立即执行或延迟执行 12
1.2.3 自动引导或手工引导 15
1.2.4 影响一台设备或多台设备 15
1.2.5 勒索软件攻击的根本原因 17
1.2.6 文件加密或启动感染 18
1.2.7 加密严谨或加密不严谨 19
1.2.8 加密或发布盗取的数据 20
1.2.9 勒索软件即服务 25
1.3 典型勒索软件的流程和组件 26
1.3.1 渗入组织 26
1.3.2 初始执行后 28
1.3.3 回拨 28
1.3.4 自动升级 30
1.3.5 检查物理位置 31
1.3.6 初始自动有效载荷 32
1.3.7 等待 32
1.3.8 攻击方检查C&C服务器 32
1.3.9 更多可供使用的工具 33
1.3.10 侦察 33
1.3.11 准备加密 34
1.3.12 数据泄露 35
1.3.13 加密数据 35
1.3.14 提出敲诈诉求 37
1.3.15 谈判 37
1.3.16 提供解密密钥 38
1.4 勒索软件集团化 39
1.5 勒索软件行业组成 42
1.6 小结 45
第2章 预防勒索软件 46
2.1 十九分钟即可接管系统 46
2.2 完善的通用计算机防御战略 47
2.3 理解勒索软件的攻击方式 49
2.3.1 所有攻击方和恶意软件使用的九种漏洞利用方法 50
2.3.2 恶意攻击最常用的方法 51
2.3.3 勒索攻击最常用的方法 51
2.4 预防勒索软件 54
2.4.1 主要防御措施 54
2.4.2 其他预防措施 56
2.5 超越自卫 62
2.6 小结 66
第3章 网络安全保险 67
3.1 网络安全保险变革 67
3.2 网络安全保险是否会导致勒索软件攻击愈演愈烈? 72
3.3 网络安全保险保单 73
3.3.1 保单内容 73
3.3.2 恢复费用 74
3.3.3 赎金 75
3.3.4 根本原因分析 75
3.3.5 业务中断费用 76
3.3.6 通知和保护客户及股东 76
3.3.7 罚款及法律调查 77
3.3.8 网络保单结构示例 77
3.3.9 承保和未承保的费用 78
3.4 网络安全保险流程 81
3.4.1 投保 81
3.4.2 确定网络安全风险 82
3.4.3 核保和批准 83
3.4.4 事故索赔流程 84
3.4.5 初始的技术帮助 84
3.5 网络安全保险注意事项 85
3.5.1 社交工程例外 86
3.5.2 确认保单承保了勒索软件 86
3.5.3 员工过失 86
3.5.4 居家工作场景 87
3.5.5 战争例外条款 87
3.6 网络安全保险的未来 88
3.7 小结 90
第4章 法律考虑因素 91
4.1 比特币和加密货币 92
4.2 支付赎金的法律风险 99
4.2.1 咨询律师 101
4.2.2 尝试追踪赎金 101
4.2.3 执法部门参与 101
4.2.4 获得OFAC 许可后支付赎金 102
4.2.5 尽职调查 102
4.3 是官方数据泄露吗? 103
4.4 保留证据 103
4.5 法律保护摘要 103
4.6 小结 104
第II部分 检测和恢复
第5章 勒索软件响应方案 107
5.1 为什么要制定勒索软件响应方案 107
5.2 什么时候应该制定响应方案 108
5.3 响应方案应覆盖哪些内容 108
5.3.1 小规模响应与大规模响应的阈值 108
5.3.2 关键人员 109
5.3.3 沟通方案 110
5.3.4 公共关系方案 112
5.3.5 可靠的备份 113
5.3.6 赎金支付方案 115
5.3.7 网络安全保险方案 116
5.3.8 宣告数据泄露事件需要哪些条件 117
5.3.9 内部和外部的顾问 117
5.3.10 加密货币钱包 118
5.3.11 响应 120
5.3.12 检查列表 120
5.3.13 定义 122
5.4 熟能生巧 122
5.5 小结 123
第6章 检测勒索软件 124
6.1 勒索软件为何难以检测? 124
6.2 检测方法 126
6.2.1 安全意识宣贯培训 127
6.2.2 AV/EDR辅助检测 127
6.2.3 检测新进程 128
6.2.4 异常的网络连接 132
6.2.5 无法解释的新发现 133
6.2.6 不明原因停工 134
6.2.7 积极持续监测 135
6.3 检测解决方案的示例 136
6.4 小结 141
第7章 最小化危害 142
7.1 初期勒索软件响应概述 142
7.2 阻止进一步扩散 144
7.2.1 关闭或隔离已感染的设备 144
7.2.2 断开网络连接 145
7.3 初步危害评估 148
7.3.1 会受到的影响 149
7.3.2 确保备份数据有效 149
7.3.3 检查数据与凭证泄露征兆 150
7.3.4 检查恶意邮件规则 150
7.3.5 对勒索软件的了解程度 151
7.4 首次团队会议 151
7.5 决定下一步 152
7.5.1 决定是否支付赎金 153
7.5.2 恢复还是重新部署 153
7.6 小结 155
第8章 早期响应 156
8.1 响应团队应该知晓的事项 156
8.2 应牢记的若干事项 158
8.2.1 数据加密往往不是组织唯一需要面对的问题 158
8.2.2 可能造成声誉损害 159
8.2.3 可能导致人员解雇 160
8.2.4 事情可能变得更严重 161
8.3 重大决策 162
8.3.1 业务影响分析 162
8.3.2 确定业务中断的解决方法 163
8.3.3 确定数据是否已经泄露 163
8.3.4 确定能否在不支付赎金的情况下解密数据 164
8.3.5 确定是否应支付赎金 168
8.3.6 确定是恢复还是重建相关系统 170
8.3.7 确定勒索软件隐匿的时长 171
8.3.8 确定根本原因 171
8.3.9 确定是局部修复还是全局修复 172
8.4 早期行动 173
8.4.1 保存证据 173
8.4.2 删除恶意软件 173
8.4.3 更改所有口令 175
8.5 小结 175
第9章 环境恢复 176
9.1 重大决策 176
9.1.1 恢复与重建 177
9.1.2 恢复或重建的优先级 177
9.2 重建流程总结 181
9.3 总结恢复流程 184
9.3.1 恢复Windows计算机 185
9.3.2 恢复/还原Microsoft Active Directory 186
9.4 小结 187
第10章 后续步骤 189
10.1 范式转换 189
10.1.1 实施数据驱动的防御 190
10.1.2 跟踪进程和网络流量 195
10.2 全面改善网络和数据安全卫生 196
10.2.1 使用多因素身份验证 196
10.2.2 使用强口令策略 197
10.2.3 安全地管理特权组成员权限 198
10.2.4 完善安全态势的持续监测 199
10.2.5 PowerShell安全 199
10.2.6 数据安全 199
10.2.7 安全备份 200
10.3 小结 201
第11章 禁止行为 202
11.1 假设自己不可能成为受害方 202
11.2 认为超级工具能够预防所有攻击 203
11.3 假定备份技术完美无缺 203
11.4 聘用毫无经验的响应团队 204
11.5 对是否支付赎金考虑不足 205
11.6 欺骗攻击方 205
11.7 用小额赎金侮辱勒索团伙 206
11.8 立即支付全部赎金 207
11.9 与勒索软件团伙发生争执 207
11.10 将解密密钥用于唯一数据副本 208
11.11 不要关心根本原因 208
11.12 仅在线保存勒索软件响应方案 209
11.13 允许团队成员违规操作 209
11.14 接受网络保险策略中的社交工程攻击免责条款 209
11.15 小结 210
第12章 勒索软件的未来 211
12.1 勒索软件的未来 211
12.1.1 超越传统计算机攻击 212
12.1.2 物联网赎金 213
12.1.3 混合目的的攻击方团伙 215
12.2 勒索软件防御的未来 216
12.2.1 未来的技术防御 216
12.2.2 战略防御 218
12.3 小结 220
12.4 书末赠言 220
