信息來源:51cto
僅僅想到勒索軟件就足以使CISO和安全團隊在夜間工作����。受害者被迫選擇支付贖金給可能會或可能不會釋放其捕獲的網(wǎng)絡(luò)和數(shù)據(jù)的犯罪分子,或者可能花費數(shù)百萬美元自行刪除勒索軟件���。根據(jù)最近的一份報告����,當企業(yè)算出支付贖金的費用以及相關(guān)損失(例如停機時間,任何丟失的數(shù)據(jù)或硬件的價值�,改善軟件的花費)時,單個勒索軟件事件的平均損失約為713,000美元�����?���;A(chǔ)架構(gòu)以及修復(fù)品牌形象所需的時間和金錢�。關(guān)鍵系統(tǒng)保持脫機狀態(tài)的時間越長,這個數(shù)字也會成倍增加��。
而且�����,這些成本可能會上升。例如��,在今年的最近一次攻擊中����,攻擊者要求為受此攻擊影響的每臺計算機支付13比特幣(超過75,000美元),以便用戶可以重新獲得對其文件的訪問權(quán)限-遠遠高于正常的勒索需求����,之前的贖金要求略低于13,000美元�����。
其實企業(yè)不必成為受害者
由于勒索軟件在經(jīng)濟上的成功,它繼續(xù)吸引著網(wǎng)絡(luò)犯罪分子����,他們發(fā)動大規(guī)模攻擊以吸引粗心的受害者�,或者精心策劃針對最有可能償還目標的高度集中的攻擊。越來越多的技術(shù)犯罪分子通過Dark Web上越來越多的勒索軟件即服務(wù)門戶躍入潮流。
不管使用哪種方法�����,然而��,在當今的數(shù)字世界�,一個勒索軟件攻擊的更大的問題時�����,比如果���。
不管這個消息看起來多么凄涼,組織實際上都有一種方法可以有效地防御勒索軟件�����。首先,使用一些最佳實踐來防止盡可能多的攻擊��,然后采取適當?shù)念A(yù)防措施,以將任何成功攻擊的影響降至很低���。
企業(yè)現(xiàn)在可以做的十件事
那么�,這是每個組織作為其反勒索軟件策略的一部分需要考慮的10個關(guān)鍵步驟:
繪制企業(yè)的攻擊面
企業(yè)無法保護自己不知道需要保護的內(nèi)容�����。首先確定環(huán)境中開展業(yè)務(wù)并維護活動清單所依賴的所有系統(tǒng)��,設(shè)備和服務(wù)��。此過程不僅可以幫助企業(yè)確定最易受攻擊的目標��,還可以幫助企業(yè)確定系統(tǒng)的基準以進行恢復(fù)。
修補和升級易受攻擊的設(shè)備���。
建立和維護常規(guī)的修補和升級協(xié)議只是一種基本的最佳實踐��。不幸的是�����,太多組織根本不這樣做��。當然��,并非每個系統(tǒng)都可以脫機進行補丁修補�����。在那種情況下,需要使用嚴格的鄰近控制以及某種隔離或零信任策略來替換它們(在可能的情況下)或?qū)ζ溥M行保護���。
更新企業(yè)的基礎(chǔ)安全系統(tǒng)
除了更新網(wǎng)絡(luò)設(shè)備之外��,企業(yè)還需要確保所有安全解決方案都在運行其最新更新。這對于企業(yè)的安全電子郵件證書尤其重要�。大多數(shù)勒索軟件通過電子郵件進入組織,而郵件證書應(yīng)該能夠保障了郵件傳輸過程中不被他人閱讀及篡改,并由郵件接收者進行驗證����,確保電子郵件內(nèi)容的完整性���。此外����,企業(yè)安全策略需要包括諸如應(yīng)用程序白名單����,部署網(wǎng)站SSL證書,特權(quán)限制��,在關(guān)鍵系統(tǒng)之間實現(xiàn)零信任�����,強制執(zhí)行強密碼策略以及要求使用多因素身份驗證之類的事情�。
細分企業(yè)的網(wǎng)絡(luò)
網(wǎng)絡(luò)分段可確保將受感染的系統(tǒng)和惡意軟件包含在網(wǎng)絡(luò)的特定網(wǎng)段中。這包括隔離您的知識產(chǎn)權(quán)以及隔離員工和客戶的個人標識信息�����。同樣���,將關(guān)鍵服務(wù)(如緊急服務(wù)或物理資源����,如HVAC系統(tǒng))保持在單獨的隔離網(wǎng)絡(luò)中��。
保護企業(yè)的擴展網(wǎng)絡(luò)
確保在您的擴展網(wǎng)絡(luò)(包括運營技術(shù)(OT)網(wǎng)絡(luò)��,云環(huán)境和分支機構(gòu))中復(fù)制部署在核心網(wǎng)絡(luò)上的安全解決方案���,以防止出現(xiàn)安全漏洞���。此外,還需要花一些時間來查看來自其他組織(客戶��,合作伙伴���,供應(yīng)商)的與企業(yè)的網(wǎng)絡(luò)相關(guān)的任何連接�����。確保加固了這些連接��,并確保適當?shù)陌踩院秃Y選�。接下來���,警告那些合作伙伴企業(yè)可能發(fā)現(xiàn)的任何問題�,尤其是與通過這些連接共享或傳播惡意內(nèi)容的可能性有關(guān)的問題。
隔離企業(yè)的恢復(fù)系統(tǒng)并備份數(shù)據(jù)
企業(yè)需要執(zhí)行常規(guī)的數(shù)據(jù)和系統(tǒng)備份�����,并且同樣重要的是����,將這些備份存儲在網(wǎng)絡(luò)外,這樣就不會在發(fā)生安全漏洞時破壞它們���。組織還應(yīng)該掃描這些備份以尋找惡意軟件的證據(jù)���。企業(yè)還需要確保完全系統(tǒng)恢復(fù)所需的所有系統(tǒng)�,設(shè)備和軟件都與網(wǎng)絡(luò)隔離��,以便在企業(yè)需要從成功的攻擊中恢復(fù)時完全可用��。
運行恢復(fù)演練
定期進行恢復(fù)演練可確保企業(yè)已備份的數(shù)據(jù)隨時可用���,可以還原所有必需的資源��,并且所有系統(tǒng)都能按預(yù)期運行��。它還確保指揮鏈到位���,并且所有個人和團隊都了解他們的責任。演練期間提出的任何問題都需要解決并記錄下來�。
利用外部專家
建立受信任的專家和顧問的列表,如果出現(xiàn)妥協(xié)�����,可以與他們聯(lián)系,以幫助企業(yè)完成恢復(fù)過程����。如果可能,企業(yè)還應(yīng)該讓他們參與恢復(fù)練習�。注意:組織還應(yīng)立即將任何勒索軟件事件報告給CISA,本地FBI現(xiàn)場辦公室或特勤局現(xiàn)場辦公室��。
注意勒索軟件事件
訂閱威脅情報和新聞提要,以跟上新的勒索軟件新聞�,使企業(yè)的團隊有一個習慣來學(xué)習如何以及為何破壞系統(tǒng),然后將這些課程應(yīng)用于您自己的環(huán)境�����。
教育員工
員工不是企業(yè)安全鏈中最薄弱的環(huán)節(jié),而必須成為企業(yè)的網(wǎng)絡(luò)防御的第一線�。由于勒索軟件通常從網(wǎng)絡(luò)釣魚活動開始,因此必須對網(wǎng)絡(luò)犯罪分子進行新的欺騙手段進行教育��,無論網(wǎng)絡(luò)犯罪分子是針對公司�,個人還是移動設(shè)備的,都必須以此為手段�。除了要求大多數(shù)員工參加的定期的年度安全檢查之外�����,還應(yīng)考慮定期進行意識提高活動����。30到60秒的快速視頻更新,網(wǎng)絡(luò)釣魚模擬游戲,執(zhí)行人員發(fā)來的電子郵件以及內(nèi)容豐富的海報有助于保持知名度����。此外,運行自己的內(nèi)部網(wǎng)絡(luò)釣魚活動可以幫助確定可能需要額外培訓(xùn)的員工。
傳遞下去
當涉及網(wǎng)絡(luò)犯罪時����,我們?nèi)荚谝黄?���。確保與行業(yè)同行���,顧問和業(yè)務(wù)合作伙伴定期舉行會議�����,尤其是對企業(yè)的業(yè)務(wù)運營至關(guān)重要的會議�����,以分享這些策略并鼓勵其被采用��。這不僅將確保他們不會在上游或下游傳播勒索軟件感染����,對自己和企業(yè)造成責任,而且還可以保護企業(yè)���,因為其網(wǎng)絡(luò)的任何中斷都可能對企業(yè)的業(yè)務(wù)產(chǎn)生連鎖反應(yīng)��。
