信息來源:51cto
僅僅想到勒索軟件就足以使CISO和安全團隊在夜間工作。受害者被迫選擇支付贖金給可能會或可能不會釋放其捕獲的網(wǎng)絡和數(shù)據(jù)的犯罪分子�,或者可能花費數(shù)百萬美元自行刪除勒索軟件。根據(jù)最近的一份報告�����,當企業(yè)算出支付贖金的費用以及相關損失(例如停機時間���,任何丟失的數(shù)據(jù)或硬件的價值��,改善軟件的花費)時��,單個勒索軟件事件的平均損失約為713,000美元���。基礎架構以及修復品牌形象所需的時間和金錢�����。關鍵系統(tǒng)保持脫機狀態(tài)的時間越長��,這個數(shù)字也會成倍增加�����。
而且,這些成本可能會上升���。例如�����,在今年的最近一次攻擊中�����,攻擊者要求為受此攻擊影響的每臺計算機支付13比特幣(超過75,000美元)�,以便用戶可以重新獲得對其文件的訪問權限-遠遠高于正常的勒索需求���,之前的贖金要求略低于13,000美元。
其實企業(yè)不必成為受害者
由于勒索軟件在經(jīng)濟上的成功�����,它繼續(xù)吸引著網(wǎng)絡犯罪分子���,他們發(fā)動大規(guī)模攻擊以吸引粗心的受害者�����,或者精心策劃針對最有可能償還目標的高度集中的攻擊��。越來越多的技術犯罪分子通過Dark Web上越來越多的勒索軟件即服務門戶躍入潮流��。
不管使用哪種方法�����,然而��,在當今的數(shù)字世界���,一個勒索軟件攻擊的更大的問題時�����,比如果��。
不管這個消息看起來多么凄涼��,組織實際上都有一種方法可以有效地防御勒索軟件��。首先�����,使用一些最佳實踐來防止盡可能多的攻擊�����,然后采取適當?shù)念A防措施�����,以將任何成功攻擊的影響降至很低�。
企業(yè)現(xiàn)在可以做的十件事
那么,這是每個組織作為其反勒索軟件策略的一部分需要考慮的10個關鍵步驟:
繪制企業(yè)的攻擊面
企業(yè)無法保護自己不知道需要保護的內容���。首先確定環(huán)境中開展業(yè)務并維護活動清單所依賴的所有系統(tǒng)���,設備和服務。此過程不僅可以幫助企業(yè)確定最易受攻擊的目標���,還可以幫助企業(yè)確定系統(tǒng)的基準以進行恢復。
修補和升級易受攻擊的設備���。
建立和維護常規(guī)的修補和升級協(xié)議只是一種基本的最佳實踐���。不幸的是�����,太多組織根本不這樣做�。當然�����,并非每個系統(tǒng)都可以脫機進行補丁修補��。在那種情況下���,需要使用嚴格的鄰近控制以及某種隔離或零信任策略來替換它們(在可能的情況下)或對其進行保護��。
更新企業(yè)的基礎安全系統(tǒng)
除了更新網(wǎng)絡設備之外�����,企業(yè)還需要確保所有安全解決方案都在運行其最新更新���。這對于企業(yè)的安全電子郵件證書尤其重要。大多數(shù)勒索軟件通過電子郵件進入組織���,而郵件證書應該能夠保障了郵件傳輸過程中不被他人閱讀及篡改���,并由郵件接收者進行驗證�����,確保電子郵件內容的完整性���。此外,企業(yè)安全策略需要包括諸如應用程序白名單�����,部署網(wǎng)站SSL證書���,特權限制���,在關鍵系統(tǒng)之間實現(xiàn)零信任,強制執(zhí)行強密碼策略以及要求使用多因素身份驗證之類的事情�。
細分企業(yè)的網(wǎng)絡
網(wǎng)絡分段可確保將受感染的系統(tǒng)和惡意軟件包含在網(wǎng)絡的特定網(wǎng)段中。這包括隔離您的知識產權以及隔離員工和客戶的個人標識信息�����。同樣�����,將關鍵服務(如緊急服務或物理資源�,如HVAC系統(tǒng))保持在單獨的隔離網(wǎng)絡中。
保護企業(yè)的擴展網(wǎng)絡
確保在您的擴展網(wǎng)絡(包括運營技術(OT)網(wǎng)絡�,云環(huán)境和分支機構)中復制部署在核心網(wǎng)絡上的安全解決方案,以防止出現(xiàn)安全漏洞���。此外��,還需要花一些時間來查看來自其他組織(客戶���,合作伙伴,供應商)的與企業(yè)的網(wǎng)絡相關的任何連接���。確保加固了這些連接�����,并確保適當?shù)陌踩院秃Y選�。接下來��,警告那些合作伙伴企業(yè)可能發(fā)現(xiàn)的任何問題,尤其是與通過這些連接共享或傳播惡意內容的可能性有關的問題��。
隔離企業(yè)的恢復系統(tǒng)并備份數(shù)據(jù)
企業(yè)需要執(zhí)行常規(guī)的數(shù)據(jù)和系統(tǒng)備份�,并且同樣重要的是,將這些備份存儲在網(wǎng)絡外�����,這樣就不會在發(fā)生安全漏洞時破壞它們�����。組織還應該掃描這些備份以尋找惡意軟件的證據(jù)��。企業(yè)還需要確保完全系統(tǒng)恢復所需的所有系統(tǒng)���,設備和軟件都與網(wǎng)絡隔離��,以便在企業(yè)需要從成功的攻擊中恢復時完全可用���。
運行恢復演練
定期進行恢復演練可確保企業(yè)已備份的數(shù)據(jù)隨時可用,可以還原所有必需的資源�,并且所有系統(tǒng)都能按預期運行。它還確保指揮鏈到位�����,并且所有個人和團隊都了解他們的責任���。演練期間提出的任何問題都需要解決并記錄下來��。
利用外部專家
建立受信任的專家和顧問的列表��,如果出現(xiàn)妥協(xié)�����,可以與他們聯(lián)系�����,以幫助企業(yè)完成恢復過程��。如果可能��,企業(yè)還應該讓他們參與恢復練習�����。注意:組織還應立即將任何勒索軟件事件報告給CISA�����,本地FBI現(xiàn)場辦公室或特勤局現(xiàn)場辦公室�。
注意勒索軟件事件
訂閱威脅情報和新聞提要,以跟上新的勒索軟件新聞��,使企業(yè)的團隊有一個習慣來學習如何以及為何破壞系統(tǒng)�����,然后將這些課程應用于您自己的環(huán)境�����。
教育員工
員工不是企業(yè)安全鏈中最薄弱的環(huán)節(jié)��,而必須成為企業(yè)的網(wǎng)絡防御的第一線�。由于勒索軟件通常從網(wǎng)絡釣魚活動開始,因此必須對網(wǎng)絡犯罪分子進行新的欺騙手段進行教育�����,無論網(wǎng)絡犯罪分子是針對公司���,個人還是移動設備的��,都必須以此為手段��。除了要求大多數(shù)員工參加的定期的年度安全檢查之外���,還應考慮定期進行意識提高活動。30到60秒的快速視頻更新�����,網(wǎng)絡釣魚模擬游戲��,執(zhí)行人員發(fā)來的電子郵件以及內容豐富的海報有助于保持知名度���。此外��,運行自己的內部網(wǎng)絡釣魚活動可以幫助確定可能需要額外培訓的員工��。
傳遞下去
當涉及網(wǎng)絡犯罪時�,我們全都在一起�����。確保與行業(yè)同行�,顧問和業(yè)務合作伙伴定期舉行會議��,尤其是對企業(yè)的業(yè)務運營至關重要的會議���,以分享這些策略并鼓勵其被采用。這不僅將確保他們不會在上游或下游傳播勒索軟件感染�����,對自己和企業(yè)造成責任���,而且還可以保護企業(yè)���,因為其網(wǎng)絡的任何中斷都可能對企業(yè)的業(yè)務產生連鎖反應。
