增強網絡防御能力的10個步驟

雷英

根據最近的一份報告，當企業算支付贖金的費用以及相關損失時，例如停機時間、任何丟失的數據或硬件的價值或改善軟件的花費，勒索軟件事件的平均損失約為713 000美元。基礎架構以及修復品牌形象所需的時間和金錢及關鍵系統保持脫機狀態的時間越長，這個數字也會成倍增加。

而且，這些成本可能會上升。例如，在2019年的最近一次攻擊中，攻擊者要求為受此攻擊影響的每臺計算機支付13比特幣（超過75 000美元），以便用戶可以重新獲得對文件的訪問權限———遠遠高于正常的勒索需求，之前的贖金要求略低于13 000美元。

由于勒索軟件在經濟上的成功，繼續吸引著網絡犯罪分子，他們大規模攻擊粗心的受害者，或者精心策劃針對最有可能付費的目標進行高度集中的攻擊。越來越多的技術犯罪者通過Dark Web上的勒索軟件躍入潮流。

不管這個消息看起來多么凄涼，組織實際上都有方法可以有效防御勒索軟件。首先，使用一些最佳實踐來防止盡可能多的攻擊，然后采取適當的預防措施，將任何功攻擊的影響降至最低。以下是組織需要考慮的10個關鍵步驟：

繪制企業的攻擊面

企業無法保護自己不知道需要保護的內容。首先要確定環境中開展的業務并維護活動清單所依賴的所有系統、設備和服務。此過程不僅可以幫助企業確定最易受攻擊的目標，還可以幫助企業確定系統的基準，以進行恢復。

修補和升級易受攻擊的設備。

建立和維護常規的修補，升級協議只是一種基本的最佳實踐。不幸的是，太多組織根本不這樣做。當然，并非每個系統都可以脫機進行修補。在那種情況下，需要使用嚴格的鄰近控制以及某種隔離或零信任策略來替換他們（在可能的情況下）或對其進行保護。

更新企業的基礎安全系統

除了更新網絡設備之外，企業還需要確保所有安全解決方案都在運行最新更新。這對于企業的安全電子郵件證書尤其重要。大多數勒索軟件通過電子郵件進入組織，而郵件證書能夠保障郵件傳輸過程中不被他人閱讀及篡改，并由郵件接收者進行驗證，確保電子郵件內容的完整性。此外，企業安全策略需要包括應用程序白名單、部署網站SSL證書、特權限制、在關鍵系統之間實現零信任、強制執行強密碼策略以及要求使用多因素身份驗證之類的事情。

細分企業的網絡

網絡分段可確保將受感染的系統和惡意軟件包含在網絡的特定網段中。這包括隔離知識產權以及隔離員工和客戶的個人標識信息。同樣，將關鍵服務（如緊急服務或物理資源和HVAC系統）保持在單獨的隔離網絡中。

保護企業的擴展網絡

確保在擴展網絡（包括運營技術網絡、云環境和分支機構）中復制部署在核心網絡上的安全解決方案，以防止出現安全漏洞。此外，還需要花一些時間來查看來自其他組織（客戶、合作伙伴和供應商）與企業網絡相關的任何連接。確保加固了這些連接，并確保適當的安全性和篩選。接下來，警告那些合作伙伴企業可能發現的任何問題，尤其是與連接共享或可能傳播惡意內容的有關問題。

隔離企業的系統恢復與備份數據

企業需要執行常規的數據和系統備份，并且將這些備份存儲在網絡外，這樣它們就不會在發生安全漏洞時遭到破壞。組織還應該掃描這些備份以尋找惡意軟件的證據。企業還需要確保完全系統恢復所需的所有系統、設備和軟件都與網絡隔離，以便在企業需要從攻擊中恢復時完全可用。

運行恢復演練

定期進行恢復演練可確保企業已備份的數據隨時可用，可以還原所有必需的資源，并且所有系統都能按預期運行。確保指揮鏈到位，并且所有個人和團隊都了解他們的責任。演練期間提出的任何問題都需要記錄下來并解決。

利用外部專家

建立受信任的專家和顧問的列表，如果出現妥協，可以與他們聯系，以幫助企業完成恢復過程。如果可能，企業還應該讓他們參與恢復練習。注意：組織還應將任何勒索軟件事件立即報告給相關政府機構。

注意勒索軟件事件

訂閱威脅情報和新聞提要，以跟上新的勒索軟件新聞，使企業團隊養成習慣學習如何、為何破壞系統，然后將這些課程應用于自己的環境。

教育員工

員工不是企業安全鏈中最薄弱的環節，而必須成為企業網絡防御的第一線。由于勒索軟件通常從網絡釣魚活動開始，因此必須對網絡犯罪分子新的欺騙手段進行教育，無論網絡犯罪分子是針對公司、個人還是移動設備，都必須以此為手段。除了要求大多數員工參加定期的年度安全檢查之外，還應考慮定期進行意識提高活動。30 ～ 60秒的快速視頻更新，網絡釣魚模擬游戲，執行人員發來的電子郵件以及內容豐富的海報有助于保持知名度。此外，運行自己的內部網絡釣魚活動可以幫助確定需要額外培訓的員工。

傳遞下去

當涉及網絡犯罪時，我們在一起，確保與行業同行、顧問和業務合作伙伴定期舉行會議，尤其是對企業業務運營至關重要的會議，以分享這些策略并鼓勵其被采用。這不僅可以確保他們不會在上游或下游傳播勒索軟件，對自己和企業造成責任，還可以保護企業，因為網絡的任何中斷都可能對企業的業務產生連鎖反應。