三大關(guān)鍵步驟確?;旌蟿趧?dòng)力的安全

Rick Vanover
勒索病毒對(duì)大大小小的組織構(gòu)成的威脅都是真實(shí)存在的。盡管沒有人能夠預(yù)測(cè)攻擊發(fā)生的時(shí)間或方式,但是擁有強(qiáng)大、多層的防御和策略的IT組織將有更大的恢復(fù)機(jī)會(huì)。無論是在辦公室、遠(yuǎn)程還是混合辦公環(huán)境,通過適當(dāng)?shù)臏?zhǔn)備,上述步驟可以使組織提高抵御勒索病毒的彈性,并避免數(shù)據(jù)丟失、財(cái)務(wù)損失、商業(yè)信譽(yù)受損或更多傷害。

全球向遠(yuǎn)程勞動(dòng)力的轉(zhuǎn)移重新定義了組織構(gòu)建其商業(yè)模式的方式。隨著高管們重新制定工作政策以適應(yīng)遠(yuǎn)遠(yuǎn)超出最初預(yù)期的遠(yuǎn)程辦公需求,一個(gè)新的工作時(shí)代將出現(xiàn):混合勞動(dòng)力,即勞動(dòng)力在很大程度上分布于辦公室和遠(yuǎn)程辦公環(huán)境中。雖然這一轉(zhuǎn)變?yōu)榻M織和員工帶來了機(jī)遇,但也為不良行為者打開了新的大門,因?yàn)镮T部門在混合勞動(dòng)力時(shí)代需要承擔(dān)更多職責(zé),以確保敏感數(shù)據(jù)無論在企業(yè)網(wǎng)絡(luò)的內(nèi)部還是外部都安全無虞,會(huì)在不堪重負(fù)時(shí)被不良行為者伺機(jī)破壞。

威脅公司數(shù)據(jù)的攻擊方式多種多樣,其中勒索病毒被全球組織視為最大風(fēng)險(xiǎn),僅在2019年就增長(zhǎng)了41%。重要的是,在適應(yīng)混合勞動(dòng)力模式之前,企業(yè)應(yīng)專注于了解這一威脅,并部署相應(yīng)的策略以應(yīng)對(duì)、防范和修復(fù)事故。這將防止組織成為攻擊的受害者,一旦被攻擊,必將造成丟失數(shù)據(jù)或支付贖金的惡果。為了打贏這場(chǎng)勒索病毒戰(zhàn)爭(zhēng),組織應(yīng)該為IT部門制定一個(gè)計(jì)劃,以確保他們具有應(yīng)對(duì)任何攻擊所需的彈性。接下來我們將詳細(xì)探討彈性抵御勒索病毒的三個(gè)關(guān)鍵步驟。

先專注于培訓(xùn),才能避免被動(dòng)地應(yīng)對(duì)威脅

在確定威脅因素后,培訓(xùn)是邁向彈性抵御道路的第一步。為了避免陷入被動(dòng),一旦勒索軟件事件發(fā)生,重要的是要了解三種主要的進(jìn)入機(jī)制:互聯(lián)網(wǎng)連接的RDP或其它遠(yuǎn)程訪問、網(wǎng)絡(luò)釣魚攻擊和軟件漏洞。一旦組織知道了威脅的根源,他們就可以進(jìn)行策略培訓(xùn),以完善IT和用戶安全性,并制定更多備選策略。識(shí)別最重要的三種機(jī)制可以幫助IT管理部門將RDP服務(wù)器與備份組件隔離,集成各種工具來評(píng)估網(wǎng)絡(luò)釣魚攻擊的威脅,以幫助發(fā)現(xiàn)漏洞和正確響應(yīng),同時(shí)告知用戶定期更新關(guān)鍵類別的IT資產(chǎn),如操作系統(tǒng)、應(yīng)用程序、數(shù)據(jù)庫(kù)和設(shè)備固件等。

此外,了解如何使用勒索病毒防御工具將有助于IT組織熟悉不同的恢復(fù)方案。無論是在檢測(cè)到惡意軟件時(shí)將中止的安全恢復(fù)進(jìn)程,還是在恢復(fù)系統(tǒng)之前可以檢測(cè)到勒索病毒的軟件,執(zhí)行不同恢復(fù)場(chǎng)景的能力對(duì)于組織而言都是非常寶貴的。當(dāng)攻擊確實(shí)發(fā)生時(shí),他們將認(rèn)識(shí)和了解這一攻擊,并對(duì)恢復(fù)過程充滿信心。通過認(rèn)真對(duì)待培訓(xùn),組織可以減少被勒索病毒攻擊的風(fēng)險(xiǎn)、成本以及應(yīng)對(duì)突如其來的勒索病毒帶來的壓力。

實(shí)施備份解決方案以保持業(yè)務(wù)連續(xù)性

彈性抵御勒索病毒的關(guān)鍵是實(shí)施備份基礎(chǔ)架構(gòu),從而創(chuàng)建和維護(hù)強(qiáng)大的業(yè)務(wù)連續(xù)性。組織需要有一個(gè)可靠的系統(tǒng)來保護(hù)其服務(wù)器,并使其不必再為取回?cái)?shù)據(jù)而付費(fèi)。組織也應(yīng)考慮使備份服務(wù)器與互聯(lián)網(wǎng)隔離,并限制將共享賬戶的訪問權(quán)限授予所有用戶。相反,需要在服務(wù)器內(nèi)分配與用戶相關(guān)的特定任務(wù),這些任務(wù)需要雙重身份驗(yàn)證才能進(jìn)行遠(yuǎn)程桌面訪問。此外,與3-2-1規(guī)則配合使用的網(wǎng)閘式離線數(shù)據(jù)存儲(chǔ)、離線或不可變數(shù)據(jù)副本,將提供關(guān)鍵防御措施以應(yīng)對(duì)勒索病毒、內(nèi)部威脅和意外刪除。

此外,盡早發(fā)現(xiàn)勒索病毒威脅為IT組織帶來顯著的優(yōu)勢(shì)。這需要適當(dāng)?shù)墓ぞ邅順?biāo)記可能的威脅活動(dòng)。對(duì)于遠(yuǎn)程移動(dòng)的終端設(shè)備,為識(shí)別風(fēng)險(xiǎn)而設(shè)置的備份存儲(chǔ)庫(kù)將使IT部門進(jìn)一步深入了解表面區(qū)域,以分析潛在的威脅。如果實(shí)施方案無法阻止攻擊,則另一個(gè)可行的選擇是盡可能加密備份以增加保護(hù)層,這樣可以避免將數(shù)據(jù)泄漏給威脅者,畢竟他們只想獲得贖金,并不想解密數(shù)據(jù)。當(dāng)發(fā)生勒索病毒攻擊時(shí),沒有單一的恢復(fù)方法,除了這些方法外,還有許多其它選擇。需要記住的重要一點(diǎn)是,恢復(fù)能力將取決于備份解決方案的實(shí)施方式、威脅行為和補(bǔ)救過程。需要花時(shí)間研究可用的方法,并確保實(shí)施解決方案以保護(hù)公司。

提前做好補(bǔ)救準(zhǔn)備

即使組織已經(jīng)采取了一些預(yù)防措施,比如在攻擊發(fā)生前就通過培訓(xùn)員工和實(shí)施技術(shù)來應(yīng)對(duì)勒索病毒,但組織仍應(yīng)做好出現(xiàn)威脅時(shí)的補(bǔ)救準(zhǔn)備。針對(duì)攻擊的層層防御大有裨益,但組織還需要具體規(guī)劃發(fā)現(xiàn)威脅時(shí)的處理方式。如果發(fā)生勒索病毒攻擊,組織需要有適當(dāng)?shù)闹С謥碇笇?dǎo)恢復(fù)過程,以使備份不會(huì)面臨風(fēng)險(xiǎn)。溝通是關(guān)鍵,在組織內(nèi)部或者外部創(chuàng)建一份涵蓋安全部門、事件響應(yīng)和身份管理的聯(lián)系人通訊錄,將有助于簡(jiǎn)化補(bǔ)救過程。

接下來,建立預(yù)先批準(zhǔn)的決策鏈。當(dāng)需要做出決策時(shí),例如在發(fā)生攻擊時(shí)是恢復(fù)公司數(shù)據(jù)還是進(jìn)行故障轉(zhuǎn)移,組織應(yīng)該知道由誰(shuí)來進(jìn)行決策。如果具備恢復(fù)條件,IT部門應(yīng)熟悉采用哪些恢復(fù)措施來應(yīng)對(duì)勒索病毒。在將系統(tǒng)重新連接到網(wǎng)絡(luò)之前,應(yīng)執(zhí)行額外的安全檢查,就像在恢復(fù)完成之前進(jìn)行防病毒掃描一樣,并確保流程的正確運(yùn)行。該過程完成后,實(shí)施徹底的強(qiáng)制更改密碼,以減少威脅的再次出現(xiàn)。

勒索病毒對(duì)大大小小的組織構(gòu)成的威脅都是真實(shí)存在的。盡管沒有人能夠預(yù)測(cè)攻擊發(fā)生的時(shí)間或方式,但是擁有強(qiáng)大、多層的防御和策略的IT組織將有更大的恢復(fù)機(jī)會(huì)。無論是在辦公室、遠(yuǎn)程還是混合辦公環(huán)境,通過適當(dāng)?shù)臏?zhǔn)備,上述步驟可以使組織提高抵御勒索病毒的彈性,并避免數(shù)據(jù)丟失、財(cái)務(wù)損失、商業(yè)信譽(yù)受損或更多傷害。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無評(píng)論