對抗勒索軟件的網(wǎng)絡安全實踐

利北晶

Veritas Technologies最近的研究表明，在過去12個月中，平均每個組織發(fā)生了2.57次勒索軟件攻擊，甚至導致嚴重停機，其中10 %的停機時間對業(yè)務造成了5次以上的影響。

盡管勒索軟件可能會對業(yè)務和聲譽造成嚴重損害，但它并非不可戰(zhàn)勝。事實上，它的強度取決于組織中最薄弱的環(huán)節(jié)。好消息是，您的組織可以采取明確的步驟，防止成為網(wǎng)絡犯罪目標并降低可能使您業(yè)務中斷的攻擊。

讓我們來看看可以實施的10個最有影響力的最佳實踐，以保護您的數(shù)據(jù)和業(yè)務彈性。

提示系統(tǒng)升級和軟件更新

使用過時的軟件可能會使攻擊者利用未緩解的安全漏洞。為了減少攻擊面，請確保經(jīng)常修補和升級所有基礎(chǔ)架構(gòu)、操作系統(tǒng)和軟件應用程序。更新備份應用程序也很重要，不要用昨天的技術(shù)對抗今天的勒索軟件。

實施3-2-1-1備份規(guī)則

如果您經(jīng)常備份數(shù)據(jù)、系統(tǒng)映像和配置，那么即使被勒索軟件攻擊，您也始終有一個最新的位置來恢復操作。更好的是，通過使用3-2-1備份規(guī)則分散數(shù)據(jù)，可進一步避免單點故障。

在不同位置保留3個或更多副本，使用2種不同的存儲介質(zhì)并在異地存儲1份副本，將減少攻擊者訪問所有內(nèi)容的機會。這種3-2-1方法還能確保一個漏洞不會危及您的所有副本。

許多組織還向3-2-1-1邁進了一步，將至少一個副本保存在不可變（無法更改）和不可磨滅（無法刪除）的存儲中。

實施零信任模型

零信任模型是一種專注于不信任任何設備或用戶的心態(tài)，即使它們位于公司網(wǎng)絡內(nèi)。

不僅需要密碼（即使它又長又復雜），還需要多因素身份驗證（MFA）和基于角色的訪問控制（RBAC），監(jiān)控和減輕惡意活動，并加密傳輸中的數(shù)據(jù)和靜止狀態(tài)，這會使泄露的數(shù)據(jù)無法使用。

此外，如果限制對備份的訪問，將關(guān)閉勒索軟件最常見的進入方法。許多組織正在轉(zhuǎn)向即時（JIT）安全實踐，即根據(jù)需要或在預定時間段內(nèi)授予訪問權(quán)限，這對于業(yè)務關(guān)鍵數(shù)據(jù)而言是需要考慮的。

網(wǎng)絡分割

攻擊者喜歡單一連續(xù)、扁平的網(wǎng)絡，這意味著它們可以輕松地分布在整個基礎(chǔ)架構(gòu)中。

阻止攻擊者并減少其攻擊面的有效方法是網(wǎng)絡分段和微分段。使用此模型，網(wǎng)絡被劃分為多個較小網(wǎng)絡區(qū)域，并且訪問受到管理和限制，尤其是對重要數(shù)據(jù)的訪問。

將最重要的基礎(chǔ)設施功能保持在網(wǎng)絡之外也是一種常見的最佳實踐。此外，作為零信任模型的一部分，請考慮對第三方供應商進行細分，因為供應商管理不善導致了許多對供應鏈的攻擊，Sunbursthack和ColonialPipeline攻擊就是兩個很好的例子。

端點可見性

大多數(shù)組織都嚴重缺乏對遠程端點的可見性。現(xiàn)在，不良行為者越過前線安全人員并閑逛已成為一種常見做法，保持休眠足夠長的時間以定位弱點并找到適當?shù)臅r間進行攻擊。實施能夠在整個環(huán)境中提供完整可見性、檢測異常、尋找并提醒網(wǎng)絡上的惡意活動的工具至關(guān)重要，讓勒索軟件無處可藏。這將幫助您在不良行為者有機會采取行動之前減輕威脅和漏洞。

不可變和不可磨滅的存儲

如前所述，保護您的數(shù)據(jù)免受勒索軟件侵害的最佳方法之一是實施不可變和不可擦除的存儲，以確保在確定的時間內(nèi)無法更改、加密或刪除數(shù)據(jù)。“不可變存儲”一詞如今已成為備份供應商的流行詞，尋找不僅是邏輯上的不變性，還包括物理不變性，并且包含內(nèi)置安全層很重要。

該行業(yè)正在朝著兩種類型的不變性發(fā)展。在Veritas，我們稱它們?yōu)槠髽I(yè)模式和合規(guī)模式。企業(yè)模式被稱為“四眼”方法———這意味著需要兩雙眼睛來驗證任何更改。例如，第一雙眼睛是備份管理員的，第二雙眼睛是安全管理員的。如果沒有雙方提供的批準，則無法進行更改。合規(guī)模式是指不可改變的不變性，即數(shù)據(jù)在任何情況下都不可更改。兩種模式都包含一個完全獨立于OS的ComplianceClock，這樣即使OS時鐘被欺騙，也不會影響數(shù)據(jù)的發(fā)布。

快速恢復

大多數(shù)勒索軟件攻擊者希望做兩件事：攻擊傳播的時間和金錢。從歷史上看，恢復可能需要數(shù)周甚至數(shù)月的時間，因為它涉及組織內(nèi)多個利益相關(guān)者。現(xiàn)在，可以使用靈活的替代選項來協(xié)調(diào)和自動化恢復，例如在公共云提供商上快速建立數(shù)據(jù)中心，這可以縮短停機時間并提供支付贖金的替代方案。有了正確的系統(tǒng)，恢復時間可以減少到幾秒鐘。

定期測試和驗證

制定全面的數(shù)據(jù)保護計劃并不意味著工作已經(jīng)完成，測試可確保計劃在需要時發(fā)揮作用。盡管初始測試可以確認計劃的所有方面確實有效，但定期測試至關(guān)重要，因為IT環(huán)境不斷變化。

重要的是，任何計劃都只和上次測試一樣好，如果不測試，就不能保證能很快恢復。實施對無中斷、隔離的恢復或沙盒環(huán)境進行測試的解決方案也很重要。

受過教育的員工

員工通常是攻擊的門戶，不要責怪你的員工———錯誤必然會發(fā)生。現(xiàn)代網(wǎng)絡釣魚攻擊和社會工程非常先進，以至于它們經(jīng)常愚弄安全專業(yè)人員。

相反，專注于培訓員工識別網(wǎng)絡釣魚和社會工程策略、建立強密碼、安全瀏覽、利用MFA、并且始終使用安全的VPN、從不使用公共WiFi。還要確保員工知道該怎么做以及如果他們成為受害者，應該向誰發(fā)出警報。

網(wǎng)絡攻擊手冊

讓組織中的每個人都知道在面臨勒索軟件攻擊時該做什么以及何時做。如果您創(chuàng)建一個標準的網(wǎng)絡攻擊手冊來闡明角色，并在緊急情況下通過清晰的通信路徑和響應協(xié)議來協(xié)調(diào)、授權(quán)跨職能團隊，這并非不可能。

一個很好的建議是在安全的短信應用程序上設置緊急通信渠道，以便組織的高級領(lǐng)導在發(fā)生網(wǎng)絡攻擊時進行通信，因為公司電子郵件或聊天系統(tǒng)也可能因攻擊而關(guān)閉。聘請第三方機構(gòu)來審核團隊的策略并檢查工作也是一個好主意。

您有能力采取重要措施打擊勒索軟件并扭轉(zhuǎn)網(wǎng)絡犯罪的局面。通過整合包含上述最佳實踐和無可挑剔的網(wǎng)絡安全的多層勒索軟件彈性策略，可以在攻擊者站穩(wěn)腳跟之前阻止他們。