對(duì)抗勒索軟件的網(wǎng)絡(luò)安全實(shí)踐

利北晶

Veritas Technologies最近的研究表明，在過(guò)去12個(gè)月中，平均每個(gè)組織發(fā)生了2.57次勒索軟件攻擊，甚至導(dǎo)致嚴(yán)重停機(jī)，其中10 %的停機(jī)時(shí)間對(duì)業(yè)務(wù)造成了5次以上的影響。

盡管勒索軟件可能會(huì)對(duì)業(yè)務(wù)和聲譽(yù)造成嚴(yán)重?fù)p害，但它并非不可戰(zhàn)勝。事實(shí)上，它的強(qiáng)度取決于組織中最薄弱的環(huán)節(jié)。好消息是，您的組織可以采取明確的步驟，防止成為網(wǎng)絡(luò)犯罪目標(biāo)并降低可能使您業(yè)務(wù)中斷的攻擊。

讓我們來(lái)看看可以實(shí)施的10個(gè)最有影響力的最佳實(shí)踐，以保護(hù)您的數(shù)據(jù)和業(yè)務(wù)彈性。

提示系統(tǒng)升級(jí)和軟件更新

使用過(guò)時(shí)的軟件可能會(huì)使攻擊者利用未緩解的安全漏洞。為了減少攻擊面，請(qǐng)確保經(jīng)常修補(bǔ)和升級(jí)所有基礎(chǔ)架構(gòu)、操作系統(tǒng)和軟件應(yīng)用程序。更新備份應(yīng)用程序也很重要，不要用昨天的技術(shù)對(duì)抗今天的勒索軟件。

實(shí)施3-2-1-1備份規(guī)則

如果您經(jīng)常備份數(shù)據(jù)、系統(tǒng)映像和配置，那么即使被勒索軟件攻擊，您也始終有一個(gè)最新的位置來(lái)恢復(fù)操作。更好的是，通過(guò)使用3-2-1備份規(guī)則分散數(shù)據(jù)，可進(jìn)一步避免單點(diǎn)故障。

在不同位置保留3個(gè)或更多副本，使用2種不同的存儲(chǔ)介質(zhì)并在異地存儲(chǔ)1份副本，將減少攻擊者訪問(wèn)所有內(nèi)容的機(jī)會(huì)。這種3-2-1方法還能確保一個(gè)漏洞不會(huì)危及您的所有副本。

許多組織還向3-2-1-1邁進(jìn)了一步，將至少一個(gè)副本保存在不可變（無(wú)法更改）和不可磨滅（無(wú)法刪除）的存儲(chǔ)中。

實(shí)施零信任模型

零信任模型是一種專注于不信任任何設(shè)備或用戶的心態(tài)，即使它們位于公司網(wǎng)絡(luò)內(nèi)。

不僅需要密碼（即使它又長(zhǎng)又復(fù)雜），還需要多因素身份驗(yàn)證（MFA）和基于角色的訪問(wèn)控制（RBAC），監(jiān)控和減輕惡意活動(dòng)，并加密傳輸中的數(shù)據(jù)和靜止?fàn)顟B(tài)，這會(huì)使泄露的數(shù)據(jù)無(wú)法使用。

此外，如果限制對(duì)備份的訪問(wèn)，將關(guān)閉勒索軟件最常見(jiàn)的進(jìn)入方法。許多組織正在轉(zhuǎn)向即時(shí)（JIT）安全實(shí)踐，即根據(jù)需要或在預(yù)定時(shí)間段內(nèi)授予訪問(wèn)權(quán)限，這對(duì)于業(yè)務(wù)關(guān)鍵數(shù)據(jù)而言是需要考慮的。

網(wǎng)絡(luò)分割

攻擊者喜歡單一連續(xù)、扁平的網(wǎng)絡(luò)，這意味著它們可以輕松地分布在整個(gè)基礎(chǔ)架構(gòu)中。

阻止攻擊者并減少其攻擊面的有效方法是網(wǎng)絡(luò)分段和微分段。使用此模型，網(wǎng)絡(luò)被劃分為多個(gè)較小網(wǎng)絡(luò)區(qū)域，并且訪問(wèn)受到管理和限制，尤其是對(duì)重要數(shù)據(jù)的訪問(wèn)。

將最重要的基礎(chǔ)設(shè)施功能保持在網(wǎng)絡(luò)之外也是一種常見(jiàn)的最佳實(shí)踐。此外，作為零信任模型的一部分，請(qǐng)考慮對(duì)第三方供應(yīng)商進(jìn)行細(xì)分，因?yàn)楣?yīng)商管理不善導(dǎo)致了許多對(duì)供應(yīng)鏈的攻擊，Sunbursthack和ColonialPipeline攻擊就是兩個(gè)很好的例子。

端點(diǎn)可見(jiàn)性

大多數(shù)組織都嚴(yán)重缺乏對(duì)遠(yuǎn)程端點(diǎn)的可見(jiàn)性。現(xiàn)在，不良行為者越過(guò)前線安全人員并閑逛已成為一種常見(jiàn)做法，保持休眠足夠長(zhǎng)的時(shí)間以定位弱點(diǎn)并找到適當(dāng)?shù)臅r(shí)間進(jìn)行攻擊。實(shí)施能夠在整個(gè)環(huán)境中提供完整可見(jiàn)性、檢測(cè)異常、尋找并提醒網(wǎng)絡(luò)上的惡意活動(dòng)的工具至關(guān)重要，讓勒索軟件無(wú)處可藏。這將幫助您在不良行為者有機(jī)會(huì)采取行動(dòng)之前減輕威脅和漏洞。

不可變和不可磨滅的存儲(chǔ)

如前所述，保護(hù)您的數(shù)據(jù)免受勒索軟件侵害的最佳方法之一是實(shí)施不可變和不可擦除的存儲(chǔ)，以確保在確定的時(shí)間內(nèi)無(wú)法更改、加密或刪除數(shù)據(jù)。“不可變存儲(chǔ)”一詞如今已成為備份供應(yīng)商的流行詞，尋找不僅是邏輯上的不變性，還包括物理不變性，并且包含內(nèi)置安全層很重要。

該行業(yè)正在朝著兩種類型的不變性發(fā)展。在Veritas，我們稱它們?yōu)槠髽I(yè)模式和合規(guī)模式。企業(yè)模式被稱為“四眼”方法———這意味著需要兩雙眼睛來(lái)驗(yàn)證任何更改。例如，第一雙眼睛是備份管理員的，第二雙眼睛是安全管理員的。如果沒(méi)有雙方提供的批準(zhǔn)，則無(wú)法進(jìn)行更改。合規(guī)模式是指不可改變的不變性，即數(shù)據(jù)在任何情況下都不可更改。兩種模式都包含一個(gè)完全獨(dú)立于OS的ComplianceClock，這樣即使OS時(shí)鐘被欺騙，也不會(huì)影響數(shù)據(jù)的發(fā)布。

快速恢復(fù)

大多數(shù)勒索軟件攻擊者希望做兩件事：攻擊傳播的時(shí)間和金錢。從歷史上看，恢復(fù)可能需要數(shù)周甚至數(shù)月的時(shí)間，因?yàn)樗婕敖M織內(nèi)多個(gè)利益相關(guān)者。現(xiàn)在，可以使用靈活的替代選項(xiàng)來(lái)協(xié)調(diào)和自動(dòng)化恢復(fù)，例如在公共云提供商上快速建立數(shù)據(jù)中心，這可以縮短停機(jī)時(shí)間并提供支付贖金的替代方案。有了正確的系統(tǒng)，恢復(fù)時(shí)間可以減少到幾秒鐘。

定期測(cè)試和驗(yàn)證

制定全面的數(shù)據(jù)保護(hù)計(jì)劃并不意味著工作已經(jīng)完成，測(cè)試可確保計(jì)劃在需要時(shí)發(fā)揮作用。盡管初始測(cè)試可以確認(rèn)計(jì)劃的所有方面確實(shí)有效，但定期測(cè)試至關(guān)重要，因?yàn)镮T環(huán)境不斷變化。

重要的是，任何計(jì)劃都只和上次測(cè)試一樣好，如果不測(cè)試，就不能保證能很快恢復(fù)。實(shí)施對(duì)無(wú)中斷、隔離的恢復(fù)或沙盒環(huán)境進(jìn)行測(cè)試的解決方案也很重要。

受過(guò)教育的員工

員工通常是攻擊的門戶，不要責(zé)怪你的員工———錯(cuò)誤必然會(huì)發(fā)生。現(xiàn)代網(wǎng)絡(luò)釣魚(yú)攻擊和社會(huì)工程非常先進(jìn)，以至于它們經(jīng)常愚弄安全專業(yè)人員。

相反，專注于培訓(xùn)員工識(shí)別網(wǎng)絡(luò)釣魚(yú)和社會(huì)工程策略、建立強(qiáng)密碼、安全瀏覽、利用MFA、并且始終使用安全的VPN、從不使用公共WiFi。還要確保員工知道該怎么做以及如果他們成為受害者，應(yīng)該向誰(shuí)發(fā)出警報(bào)。

網(wǎng)絡(luò)攻擊手冊(cè)

讓組織中的每個(gè)人都知道在面臨勒索軟件攻擊時(shí)該做什么以及何時(shí)做。如果您創(chuàng)建一個(gè)標(biāo)準(zhǔn)的網(wǎng)絡(luò)攻擊手冊(cè)來(lái)闡明角色，并在緊急情況下通過(guò)清晰的通信路徑和響應(yīng)協(xié)議來(lái)協(xié)調(diào)、授權(quán)跨職能團(tuán)隊(duì)，這并非不可能。

一個(gè)很好的建議是在安全的短信應(yīng)用程序上設(shè)置緊急通信渠道，以便組織的高級(jí)領(lǐng)導(dǎo)在發(fā)生網(wǎng)絡(luò)攻擊時(shí)進(jìn)行通信，因?yàn)楣倦娮余]件或聊天系統(tǒng)也可能因攻擊而關(guān)閉。聘請(qǐng)第三方機(jī)構(gòu)來(lái)審核團(tuán)隊(duì)的策略并檢查工作也是一個(gè)好主意。

您有能力采取重要措施打擊勒索軟件并扭轉(zhuǎn)網(wǎng)絡(luò)犯罪的局面。通過(guò)整合包含上述最佳實(shí)踐和無(wú)可挑剔的網(wǎng)絡(luò)安全的多層勒索軟件彈性策略，可以在攻擊者站穩(wěn)腳跟之前阻止他們。