揭秘网络勒索攻击从基础知识到应对策略全解析

图书目录:

第 1章 无孔不入——网络勒索攻击及其危害 1

1.1 网络勒索攻击正在快速蔓延 3

1.2 什么是网络勒索攻击 4

1.2.1 系统安全设计三要素 5

1.2.2 常见的网络勒索攻击 5

1.2.3 复合型网络勒索攻击 6

1.3 现代网络勒索攻击的影响 6

1.3.1 运营中断 7

1.3.2 财务损失 8

1.3.3 声誉受损 11

1.3.4 法律诉讼 11

1.4 选择攻击目标 13

1.4.1 随机性攻击 13

1.4.2 针对性攻击 15

1.4.3 混合性攻击 15

1.5 利用技术供应链扩大威胁范围 16

1.5.1 托管服务提供商 16

1.5.2 技术制造商 17

1.5.3 软件漏洞 18

1.5.4 云服务提供商 19

1.6 结论 20

1.7 模拟演练 20

第 2章 暗流涌动——网络勒索攻击的演变 23

2.1 历史起源 23

2.2 加密病毒勒索攻击 25

2.3 早期的勒索攻击 26

2.4 关键技术的进步 27

2.4.1 非对称加密 27

2.4.2 加密货币 29

2.4.3 洋葱路由 31

2.5 勒索软件快速发展 32

2.6 “勒索软件即服务”模式 33

2.7 曝光型网络勒索攻击 34

2.8 双重型网络勒索攻击 36

2.9 网络勒索攻击领域的“工业 革命” 37

2.9.1 团队的分工 38

2.9.2 团队的人员构成 39

2.9.3 自动建立受害者门户网站 41

2.9.4 特许经营模式 41

2.9.5 利用公共关系 44

2.9.6 标准化的操作手册和工具包 48

2.10 结论 49

2.11 模拟演练 50

第3章 一探究竟——网络勒索攻击全过程揭秘 52

3.1 网络勒索攻击的结构概述 52

3.2 入侵 54

3.2.1 钓鱼 55

3.2.2 远程登录 57

3.2.3 软件漏洞 58

3.2.4 技术供应商攻击 59

3.3 扩散 60

3.3.1 持久化控制 61

3.3.2 进行侦察 62

3.3.3 更新攻击策略并提升访问权限 63

3.4 评估 64

3.5 清场 64

3.5.1 防病毒软件和安全软件 65

3.5.2 正在运行的进程和应用程序 65

3.5.3 事件日志与监控软件 66

3.5.4 账户和权限 67

3.6 施加影响 67

3.6.1 引爆勒索软件 68

3.6.2 数据外泄 69

3.7 实施勒索 72

3.7.1 被动通知 72

3.7.2 主动通知 73

3.7.3 让第三方介入 73

3.7.4 直接公开 74

3.8 结论 74

3.9 模拟演练 74

第4章 危机降临——初始响应与分诊策略 76

4.1 网络勒索攻击是一场危机 77

4.2 对网络勒索攻击进行检测 78

4.3 对网络勒索攻击进行响应 79

4.4 实施分诊 82

4.4.1 为什么“分诊”十分重要 83

4.4.2 “分诊”框架示例 83

4.4.3 对当前状态进行评估 84

4.4.4 考虑恢复目标 85

4.4.5 确定下一步 86

4.5 评估组织的资源 86

4.5.1 财务 87

4.5.2 保险 87

4.5.3 证据 88

4.5.4 工作人员 88

4.5.5 技术资源 88

4.5.6 文档 89

4.6 制定初始响应策略 89

4.6.1 建立目标 89

4.6.2 创建行动计划 90

4.6.3 分配职责 90

4.6.4 预算方案——工作量和成本 91

4.7 沟通计划 91

4.7.1 针对响应团队 92

4.7.2 针对受影响的各方 93

4.7.3 针对社会公众 95

4.8 结论 95

4.9 模拟演练 95

第5章 釜底抽薪——快速遏制与威胁捕获 98

5.1 速度的重要性 98

5.2 获得技术环境的访问权 99

5.3 阻止网络勒索攻击的加密和删除行为 100

5.3.1 修改文件访问权限 101

5.3.2 断开电源 102

5.3.3 关掉恶意进程 102

5.4 辨别持久性机制 103

5.4.1 监控进程 104

5.4.2 计划任务 104

5.4.3 自启动项 105

5.5 阻止数据外泄 105

5.6 应对拒绝服务攻击 106

5.7 将黑客拒之门外 106

5.7.1 关闭远程连接服务 107

5.7.2 重置密码 107

5.7.3 审计账户 108

5.7.4 多因素身份验证 109

5.7.5 限制边界通信 109

5.7.6 尽量减少第三方访问 110

5.7.7 降低受损软件带来的危害 110

5.8 威胁捕获 111

5.8.1 方法 111

5.8.2 证据来源 112

5.8.3 工具和技术 112

5.8.4 人员 113

5.8.5 结果 113

5.9 事后复盘 114

5.10 结论 115

5.11 模拟演练 115

第6章 抽丝剥茧——深入调查与证据保存 117

6.1 研究“对手” 118

6.1.1 行动情报 118

6.1.2 识别技巧 120

6.1.3 恶意软件种类 123

6.1.4 战术、技术和程序 124

6.2 确定调查的范围 125

6.2.1 要回答的问题 125

6.2.2 调查过程 126

6.2.3 时间和结果 127

6.2.4 可交付成果 127

6.3 进行数据泄露调查 128

6.3.1 确定法律、监管和合同义务 128

6.3.2 决定是否要进一步调查 129

6.3.3 继续调查 129

6.3.4 调查结果 130

6.4 保存证据 130

6.4.1 证据来源 131

6.4.2 证据易失性的顺序 136

6.4.3 第三方证据保存 137

6.4.4 保存证据的副本 137

6.5 结论 138

6.6 模拟演练 138

第7章 以退为进——谈判的艺术与策略 140

7.1 特殊的“商业行为” 140

7.2 建立谈判目标 142

7.2.1 预算 142

7.2.2 时间框架 143

7.2.3 信息安全 144

7.3 潜在结果 145

7.3.1 购买解密工具 145

7.3.2 防止数据的发布或销售 146

7.4 沟通方式 147

7.4.1 电子邮件 148

7.4.2 门户网站 148

7.4.3 聊天应用程序 149

7.5 施压策略 150

7.6 语气、及时性和信任 151

7.6.1 语气 152

7.6.2 及时性 152

7.6.3 信任 153

7.7 第 一次接触 154

7.7.1 最初的外联消息 154

7.7.2 “对手”的最初回应 154

7.8 分享信息 155

7.8.1 不应分享的内容 156

7.8.2 可以分享的内容 157

7.8.3 后续可能用到的信息 158

7.9 谈判者常犯的错误 158

7.10 生存证明 159

7.10.1 目标和局限性 159

7.10.2 拒绝服务型勒索攻击案例 160

7.10.3 曝光型勒索攻击案例 160

7.10.4 如果“对手”拒绝提供“生存证明”，怎么办 161

7.11 讨价还价 161

7.11.1 询问折扣 162

7.11.2 设定价格 163

7.11.3 还价 163

7.11.4 权衡 164

7.12 完成交易 165

7.12.1 如何完成交易 165

7.12.2 中途变卦 165

7.12.3 交易结束后 166

7.13 结论 166

7.14 模拟演练 166

第8章 权衡利弊——赎金支付的抉择与实践 169

8.1 支付还是不支付 169

8.1.1 支付赎金可行吗 170

8.1.2 反对支付赎金的依据 170

8.1.3 支持支付赎金的依据 171

8.2 付款方式 172

8.3 禁止支付的情况 173

8.3.1 合规性 174

8.3.2 例外 175

8.3.3 豁免因素 175

8.4 中介机构 175

8.5 时间问题 176

8.5.1 资金转移延迟 177

8.5.2 保险审批流程 177

8.5.3 加密货币价格的波动 177

8.6 付款之后 178

8.7 结论 179

8.8 模拟演练 179

第9章 重整旗鼓——从网络勒索攻击中恢复 181

9.1 备份重要数据 182

9.2 构建恢复环境 183

9.2.1 网段 183

9.2.2 网络设备 184

9.3 设置监测和日志 185

9.3.1 监测目标 186

9.3.2 时间安排 186

9.3.3 组件 187

9.3.4 监测和响应过程 188

9.4 建立恢复各个计算机的流程 189

9.5 按操作顺序开展恢复工作 190

9.5.1 域控制器 191

9.5.2 高价值的服务器 192

9.5.3 网络架构 193

9.5.4 工作站 194

9.6 恢复数据 195

9.6.1 传输数据 196

9.6.2 从备份中恢复 196

9.6.3 从当前生产系统中收集 197

9.6.4 重新录入和创建数据 198

9.7 解密 198

9.7.1 解密过程概述 199

9.7.2 解密工具的类型 200

9.7.3 解密工具的风险 201

9.7.4 测试解密工具 202

9.7.5 解密操作 203

9.7.6 验证文件完整性 203

9.7.7 检查恶意软件 204

9.7.8 将数据传输到生产网络 204

9.8 行动尚未结束 205

9.9 进一步调整 205

9.10 结论 206

9.11 模拟演练 207

第 10章 防患未然——网络勒索攻击的预防 209

10.1 执行有效的网络安全计划 210

10.1.1 知道你要保护的是什么 210

10.1.2 了解你的义务 211

10.1.3 管理你的风险 212

10.1.4 监测风险 217

10.2 防止入侵 218

10.2.1 网络钓鱼防御 218

10.2.2 强身份验证 220

10.2.3 安全的远程接入解决方案 221

10.2.4 补丁管理 222

10.3 检测和消除威胁 225

10.3.1 端点检测和响应 225

10.3.2 网络检测和响应 226

10.3.3 威胁捕获 227

10.3.4 持续监测过程 227

10.4 运营弹性 228

10.4.1 业务连续性计划 228

10.4.2 灾难恢复计划 229

10.4.3 备份 231

10.5 降低数据盗窃的风险 233

10.5.1 数据缩减 233

10.5.2 数据丢失预防工具 234

10.6 解决网络勒索攻击问题 235

10.6.1 让信息透明 236

10.6.2 激励检测和监测 236

10.6.3 鼓励积极、主动的解决方案 237

10.6.4 减少“对手”的筹码 237

10.6.5 提高“对手”的风险 238

10.6.6 最大限度地减少“对手”的收益 239

10.7 结论 239

10.8 模拟演练 240

后记 242

附录 检查清单 244

清单 A　网络勒索响应 244

清单 B　提前预备的资源 248

清单C 对响应进行规划 252

清单D 实施有效的网络安全计划 253