对抗勒索软件的网络安全实践

利北晶

Veritas Technologies最近的研究表明，在过去12个月中，平均每个组织发生了2.57次勒索软件攻击，甚至导致严重停机，其中10 %的停机时间对业务造成了5次以上的影响。

尽管勒索软件可能会对业务和声誉造成严重损害，但它并非不可战胜。事实上，它的强度取决于组织中最薄弱的环节。好消息是，您的组织可以采取明确的步骤，防止成为网络犯罪目标并降低可能使您业务中断的攻击。

让我们来看看可以实施的10个最有影响力的最佳实践，以保护您的数据和业务弹性。

提示系统升级和软件更新

使用过时的软件可能会使攻击者利用未缓解的安全漏洞。为了减少攻击面，请确保经常修补和升级所有基础架构、操作系统和软件应用程序。更新备份应用程序也很重要，不要用昨天的技术对抗今天的勒索软件。

实施3-2-1-1备份规则

如果您经常备份数据、系统映像和配置，那么即使被勒索软件攻击，您也始终有一个最新的位置来恢复操作。更好的是，通过使用3-2-1备份规则分散数据，可进一步避免单点故障。

在不同位置保留3个或更多副本，使用2种不同的存储介质并在异地存储1份副本，将减少攻击者访问所有内容的机会。这种3-2-1方法还能确保一个漏洞不会危及您的所有副本。

許多组织还向3-2-1-1迈进了一步，将至少一个副本保存在不可变（无法更改）和不可磨灭（无法删除）的存储中。

实施零信任模型

零信任模型是一种专注于不信任任何设备或用户的心态，即使它们位于公司网络内。

不仅需要密码（即使它又长又复杂），还需要多因素身份验证（MFA）和基于角色的访问控制（RBAC），监控和减轻恶意活动，并加密传输中的数据和静止状态，这会使泄露的数据无法使用。

此外，如果限制对备份的访问，将关闭勒索软件最常见的进入方法。许多组织正在转向即时（JIT）安全实践，即根据需要或在预定时间段内授予访问权限，这对于业务关键数据而言是需要考虑的。

网络分割

攻击者喜欢单一连续、扁平的网络，这意味着它们可以轻松地分布在整个基础架构中。

阻止攻击者并减少其攻击面的有效方法是网络分段和微分段。使用此模型，网络被划分为多个较小网络区域，并且访问受到管理和限制，尤其是对重要数据的访问。

将最重要的基础设施功能保持在网络之外也是一种常见的最佳实践。此外，作为零信任模型的一部分，请考虑对第三方供应商进行细分，因为供应商管理不善导致了许多对供应链的攻击，Sunbursthack和ColonialPipeline攻击就是两个很好的例子。

端点可见性

大多数组织都严重缺乏对远程端点的可见性。现在，不良行为者越过前线安全人员并闲逛已成为一种常见做法，保持休眠足够长的时间以定位弱点并找到适当的时间进行攻击。实施能够在整个环境中提供完整可见性、检测异常、寻找并提醒网络上的恶意活动的工具至关重要，让勒索软件无处可藏。这将帮助您在不良行为者有机会采取行动之前减轻威胁和漏洞。

不可变和不可磨灭的存储

如前所述，保护您的数据免受勒索软件侵害的最佳方法之一是实施不可变和不可擦除的存储，以确保在确定的时间内无法更改、加密或删除数据。“不可变存储”一词如今已成为备份供应商的流行词，寻找不仅是逻辑上的不变性，还包括物理不变性，并且包含内置安全层很重要。

该行业正在朝着两种类型的不变性发展。在Veritas，我们称它们为企业模式和合规模式。企业模式被称为“四眼”方法———这意味着需要两双眼睛来验证任何更改。例如，第一双眼睛是备份管理员的，第二双眼睛是安全管理员的。如果没有双方提供的批准，则无法进行更改。合规模式是指不可改变的不变性，即数据在任何情况下都不可更改。两种模式都包含一个完全独立于OS的ComplianceClock，这样即使OS时钟被欺骗，也不会影响数据的发布。

快速恢复

大多数勒索软件攻击者希望做两件事：攻击传播的时间和金钱。从历史上看，恢复可能需要数周甚至数月的时间，因为它涉及组织内多个利益相关者。现在，可以使用灵活的替代选项来协调和自动化恢复，例如在公共云提供商上快速建立数据中心，这可以缩短停机时间并提供支付赎金的替代方案。有了正确的系统，恢复时间可以减少到几秒钟。

定期测试和验证

制定全面的数据保护计划并不意味着工作已经完成，测试可确保计划在需要时发挥作用。尽管初始测试可以确认计划的所有方面确实有效，但定期测试至关重要，因为IT环境不断变化。

重要的是，任何计划都只和上次测试一样好，如果不测试，就不能保证能很快恢复。实施对无中断、隔离的恢复或沙盒环境进行测试的解决方案也很重要。

受过教育的员工

员工通常是攻击的门户，不要责怪你的员工———错误必然会发生。现代网络钓鱼攻击和社会工程非常先进，以至于它们经常愚弄安全专业人员。

相反，专注于培训员工识别网络钓鱼和社会工程策略、建立强密码、安全浏览、利用MFA、并且始终使用安全的VPN、从不使用公共WiFi。还要确保员工知道该怎么做以及如果他们成为受害者，应该向谁发出警报。

网络攻击手册

让组织中的每个人都知道在面临勒索软件攻击时该做什么以及何时做。如果您创建一个标准的网络攻击手册来阐明角色，并在紧急情况下通过清晰的通信路径和响应协议来协调、授权跨职能团队，这并非不可能。

一个很好的建议是在安全的短信应用程序上设置紧急通信渠道，以便组织的高级领导在发生网络攻击时进行通信，因为公司电子邮件或聊天系统也可能因攻击而关闭。聘请第三方机构来审核团队的策略并检查工作也是一个好主意。

您有能力采取重要措施打击勒索软件并扭转网络犯罪的局面。通过整合包含上述最佳实践和无可挑剔的网络安全的多层勒索软件弹性策略，可以在攻击者站稳脚跟之前阻止他们。