信息來(lái)源:51cto
僅僅想到勒索軟件就足以使CISO和安全團(tuán)隊(duì)在夜間工作��。受害者被迫選擇支付贖金給可能會(huì)或可能不會(huì)釋放其捕獲的網(wǎng)絡(luò)和數(shù)據(jù)的犯罪分子��,或者可能花費(fèi)數(shù)百萬(wàn)美元自行刪除勒索軟件。根據(jù)最近的一份報(bào)告��,當(dāng)企業(yè)算出支付贖金的費(fèi)用以及相關(guān)損失(例如停機(jī)時(shí)間��,任何丟失的數(shù)據(jù)或硬件的價(jià)值,改善軟件的花費(fèi))時(shí)��,單個(gè)勒索軟件事件的平均損失約為713,000美元��?�;A(chǔ)架構(gòu)以及修復(fù)品牌形象所需的時(shí)間和金錢(qián)��。關(guān)鍵系統(tǒng)保持脫機(jī)狀態(tài)的時(shí)間越長(zhǎng)��,這個(gè)數(shù)字也會(huì)成倍增加��。
而且��,這些成本可能會(huì)上升��。例如��,在今年的最近一次攻擊中��,攻擊者要求為受此攻擊影響的每臺(tái)計(jì)算機(jī)支付13比特幣(超過(guò)75,000美元)��,以便用戶可以重新獲得對(duì)其文件的訪問(wèn)權(quán)限-遠(yuǎn)遠(yuǎn)高于正常的勒索需求��,之前的贖金要求略低于13,000美元��。
其實(shí)企業(yè)不必成為受害者
由于勒索軟件在經(jīng)濟(jì)上的成功,它繼續(xù)吸引著網(wǎng)絡(luò)犯罪分子��,他們發(fā)動(dòng)大規(guī)模攻擊以吸引粗心的受害者��,或者精心策劃針對(duì)最有可能償還目標(biāo)的高度集中的攻擊��。越來(lái)越多的技術(shù)犯罪分子通過(guò)Dark Web上越來(lái)越多的勒索軟件即服務(wù)門(mén)戶躍入潮流��。
不管使用哪種方法��,然而��,在當(dāng)今的數(shù)字世界��,一個(gè)勒索軟件攻擊的更大的問(wèn)題時(shí)��,比如果��。
不管這個(gè)消息看起來(lái)多么凄涼��,組織實(shí)際上都有一種方法可以有效地防御勒索軟件��。首先��,使用一些最佳實(shí)踐來(lái)防止盡可能多的攻擊��,然后采取適當(dāng)?shù)念A(yù)防措施��,以將任何成功攻擊的影響降至很低��。
企業(yè)現(xiàn)在可以做的十件事
那么��,這是每個(gè)組織作為其反勒索軟件策略的一部分需要考慮的10個(gè)關(guān)鍵步驟:
繪制企業(yè)的攻擊面
企業(yè)無(wú)法保護(hù)自己不知道需要保護(hù)的內(nèi)容��。首先確定環(huán)境中開(kāi)展業(yè)務(wù)并維護(hù)活動(dòng)清單所依賴的所有系統(tǒng)��,設(shè)備和服務(wù)��。此過(guò)程不僅可以幫助企業(yè)確定最易受攻擊的目標(biāo)��,還可以幫助企業(yè)確定系統(tǒng)的基準(zhǔn)以進(jìn)行恢復(fù)��。
修補(bǔ)和升級(jí)易受攻擊的設(shè)備��。
建立和維護(hù)常規(guī)的修補(bǔ)和升級(jí)協(xié)議只是一種基本的最佳實(shí)踐��。不幸的是��,太多組織根本不這樣做��。當(dāng)然��,并非每個(gè)系統(tǒng)都可以脫機(jī)進(jìn)行補(bǔ)丁修補(bǔ)。在那種情況下��,需要使用嚴(yán)格的鄰近控制以及某種隔離或零信任策略來(lái)替換它們(在可能的情況下)或?qū)ζ溥M(jìn)行保護(hù)��。
更新企業(yè)的基礎(chǔ)安全系統(tǒng)
除了更新網(wǎng)絡(luò)設(shè)備之外��,企業(yè)還需要確保所有安全解決方案都在運(yùn)行其最新更新��。這對(duì)于企業(yè)的安全電子郵件證書(shū)尤其重要��。大多數(shù)勒索軟件通過(guò)電子郵件進(jìn)入組織��,而郵件證書(shū)應(yīng)該能夠保障了郵件傳輸過(guò)程中不被他人閱讀及篡改��,并由郵件接收者進(jìn)行驗(yàn)證��,確保電子郵件內(nèi)容的完整性��。此外��,企業(yè)安全策略需要包括諸如應(yīng)用程序白名單��,部署網(wǎng)站SSL證書(shū)��,特權(quán)限制��,在關(guān)鍵系統(tǒng)之間實(shí)現(xiàn)零信任��,強(qiáng)制執(zhí)行強(qiáng)密碼策略以及要求使用多因素身份驗(yàn)證之類的事情��。
細(xì)分企業(yè)的網(wǎng)絡(luò)
網(wǎng)絡(luò)分段可確保將受感染的系統(tǒng)和惡意軟件包含在網(wǎng)絡(luò)的特定網(wǎng)段中��。這包括隔離您的知識(shí)產(chǎn)權(quán)以及隔離員工和客戶的個(gè)人標(biāo)識(shí)信息��。同樣��,將關(guān)鍵服務(wù)(如緊急服務(wù)或物理資源��,如HVAC系統(tǒng))保持在單獨(dú)的隔離網(wǎng)絡(luò)中��。
保護(hù)企業(yè)的擴(kuò)展網(wǎng)絡(luò)
確保在您的擴(kuò)展網(wǎng)絡(luò)(包括運(yùn)營(yíng)技術(shù)(OT)網(wǎng)絡(luò)��,云環(huán)境和分支機(jī)構(gòu))中復(fù)制部署在核心網(wǎng)絡(luò)上的安全解決方案��,以防止出現(xiàn)安全漏洞��。此外��,還需要花一些時(shí)間來(lái)查看來(lái)自其他組織(客戶��,合作伙伴,供應(yīng)商)的與企業(yè)的網(wǎng)絡(luò)相關(guān)的任何連接��。確保加固了這些連接��,并確保適當(dāng)?shù)陌踩院秃Y選��。接下來(lái)��,警告那些合作伙伴企業(yè)可能發(fā)現(xiàn)的任何問(wèn)題��,尤其是與通過(guò)這些連接共享或傳播惡意內(nèi)容的可能性有關(guān)的問(wèn)題��。
隔離企業(yè)的恢復(fù)系統(tǒng)并備份數(shù)據(jù)
企業(yè)需要執(zhí)行常規(guī)的數(shù)據(jù)和系統(tǒng)備份��,并且同樣重要的是��,將這些備份存儲(chǔ)在網(wǎng)絡(luò)外��,這樣就不會(huì)在發(fā)生安全漏洞時(shí)破壞它們��。組織還應(yīng)該掃描這些備份以尋找惡意軟件的證據(jù)��。企業(yè)還需要確保完全系統(tǒng)恢復(fù)所需的所有系統(tǒng)��,設(shè)備和軟件都與網(wǎng)絡(luò)隔離��,以便在企業(yè)需要從成功的攻擊中恢復(fù)時(shí)完全可用��。
運(yùn)行恢復(fù)演練
定期進(jìn)行恢復(fù)演練可確保企業(yè)已備份的數(shù)據(jù)隨時(shí)可用��,可以還原所有必需的資源��,并且所有系統(tǒng)都能按預(yù)期運(yùn)行��。它還確保指揮鏈到位��,并且所有個(gè)人和團(tuán)隊(duì)都了解他們的責(zé)任��。演練期間提出的任何問(wèn)題都需要解決并記錄下來(lái)��。
利用外部專家
建立受信任的專家和顧問(wèn)的列表��,如果出現(xiàn)妥協(xié)��,可以與他們聯(lián)系��,以幫助企業(yè)完成恢復(fù)過(guò)程��。如果可能��,企業(yè)還應(yīng)該讓他們參與恢復(fù)練習(xí)��。注意:組織還應(yīng)立即將任何勒索軟件事件報(bào)告給CISA,本地FBI現(xiàn)場(chǎng)辦公室或特勤局現(xiàn)場(chǎng)辦公室��。
注意勒索軟件事件
訂閱威脅情報(bào)和新聞提要��,以跟上新的勒索軟件新聞��,使企業(yè)的團(tuán)隊(duì)有一個(gè)習(xí)慣來(lái)學(xué)習(xí)如何以及為何破壞系統(tǒng)��,然后將這些課程應(yīng)用于您自己的環(huán)境��。
教育員工
員工不是企業(yè)安全鏈中最薄弱的環(huán)節(jié)��,而必須成為企業(yè)的網(wǎng)絡(luò)防御的第一線��。由于勒索軟件通常從網(wǎng)絡(luò)釣魚(yú)活動(dòng)開(kāi)始��,因此必須對(duì)網(wǎng)絡(luò)犯罪分子進(jìn)行新的欺騙手段進(jìn)行教育��,無(wú)論網(wǎng)絡(luò)犯罪分子是針對(duì)公司��,個(gè)人還是移動(dòng)設(shè)備的��,都必須以此為手段��。除了要求大多數(shù)員工參加的定期的年度安全檢查之外��,還應(yīng)考慮定期進(jìn)行意識(shí)提高活動(dòng)。30到60秒的快速視頻更新��,網(wǎng)絡(luò)釣魚(yú)模擬游戲��,執(zhí)行人員發(fā)來(lái)的電子郵件以及內(nèi)容豐富的海報(bào)有助于保持知名度��。此外��,運(yùn)行自己的內(nèi)部網(wǎng)絡(luò)釣魚(yú)活動(dòng)可以幫助確定可能需要額外培訓(xùn)的員工��。
傳遞下去
當(dāng)涉及網(wǎng)絡(luò)犯罪時(shí)��,我們?nèi)荚谝黄?�。確保與行業(yè)同行��,顧問(wèn)和業(yè)務(wù)合作伙伴定期舉行會(huì)議��,尤其是對(duì)企業(yè)的業(yè)務(wù)運(yùn)營(yíng)至關(guān)重要的會(huì)議��,以分享這些策略并鼓勵(lì)其被采用��。這不僅將確保他們不會(huì)在上游或下游傳播勒索軟件感染��,對(duì)自己和企業(yè)造成責(zé)任��,而且還可以保護(hù)企業(yè)��,因?yàn)槠渚W(wǎng)絡(luò)的任何中斷都可能對(duì)企業(yè)的業(yè)務(wù)產(chǎn)生連鎖反應(yīng)��。
