云計算的發(fā)展推動更快的協(xié)作和數(shù)據(jù)傳輸，同樣也讓網(wǎng)絡(luò)罪犯快速傳播勒索軟件提供了便利條件，面對這種嚴(yán)峻形勢我們應(yīng)該怎樣去做呢?別慌，學(xué)會這8步，讓你的云環(huán)境不再懼怕勒索軟件!

[[197292]]

保護(hù)云計算層

Evident.io公司創(chuàng)始人兼首席執(zhí)行官Tim Prendergast表示：“你可以做的最關(guān)鍵的事情就是保護(hù)云計算層，這很容易自動化，對于初創(chuàng)公司和大型企業(yè)來說，這也容易實現(xiàn)。”

[[197293]]

保護(hù)云計算層可確保系統(tǒng)和數(shù)據(jù)的可用性，并防止攻擊者利用你的計算能力來推動惡意軟件的傳播。在最開始，可通過向個人發(fā)送SSH密鑰來確保安全登錄。

分離數(shù)據(jù)存儲

Shpantzer建議了解正式和非正式資產(chǎn)所在位置—這是解決勒索軟件攻擊常見但重要的步驟。

[[197294]]

他解釋說，很多開發(fā)人員在云端啟用服務(wù)器進(jìn)行快速測試，但他們并沒有完全了解這樣做的安全及合規(guī)風(fēng)險。有時候，他們會暴露生產(chǎn)數(shù)據(jù)庫的完整副本，除了勒索軟件和可用性問題外，這還會增加保密性問題。

Shpantzer稱：“了解你的資產(chǎn)情況，以及影子IT，并學(xué)習(xí)如何緩解這個問題。”

對于恢復(fù)，他建議使用便宜的云存儲來抓取快照、文件、文件夾以及重新恢復(fù)操作所需的任何東西。這些信息可存儲在單獨受MFA保護(hù)的云賬戶中。

“這是關(guān)于災(zāi)難恢復(fù)，而不只是入侵事件—即有人復(fù)制個人身份信息但網(wǎng)絡(luò)和數(shù)據(jù)都沒有受到影響。”

Reavis還建議分離數(shù)據(jù)存儲，特別是脫機備份，以便在勒索攻擊時保持安全。

“我們都在使用實時云備份，這非常好，”他說道，“但快速同步意味著所有副本都會受到影響，因此這并不能取代定期備份。”

網(wǎng)絡(luò)分段

Pironti表示，企業(yè)應(yīng)該利用這個機會來分段他們的網(wǎng)絡(luò)，現(xiàn)在的架構(gòu)可允許他們做。這可限制勒索軟件攻擊的傳播速度。

[[197295]]

“如果我處于非分段網(wǎng)絡(luò)，我的整個網(wǎng)絡(luò)將在本地暴露，”他解釋說，這可以Target數(shù)據(jù)泄漏事故為例。攻擊者只需要感染HVAC系統(tǒng)就可進(jìn)行災(zāi)難性攻擊。

在云端，Pironti稱，安全團隊可利用架構(gòu)讓他們在關(guān)鍵活動之間建立“聯(lián)系”，當(dāng)出現(xiàn)問題時，它們可得到保護(hù)。

身份管理

Prendergast認(rèn)為身份管理是僅次于保護(hù)云計算層的第二個關(guān)鍵步驟。

[[197296]]

“如果沒有強大的身份管理，你就無法了解誰正在關(guān)鍵安全層外做什么。身份管理可幫助你作出更明智的業(yè)務(wù)決策。”

身份管理變得越來越重要，因為越來越多的人利用云計算從各個地方工作。這種分散勞動力給監(jiān)控活動以及尋找異?；顒拥膸砭薮笞兓?/p>

數(shù)據(jù)訪問管理

除了執(zhí)行復(fù)雜、安全的密碼和多因素身份驗證，企業(yè)還應(yīng)限制員工對敏感信息的訪問。人們應(yīng)該只能訪問其工作需要的賬戶和系統(tǒng)，這可限制攻擊者利用賬戶可執(zhí)行的攻擊。

身份和訪問管理(IAM)政策和訪問控制列表可幫助管理和控制對云存儲的訪問權(quán)限。Bucket政策可根據(jù)賬戶、用戶或者IP地址及日期等允許或拒絕訪問權(quán)限。

Pironti還強調(diào)監(jiān)控用戶活動及賬戶權(quán)限的重要性。勒索軟件攻擊者目標(biāo)是獲得目標(biāo)賬戶更高級別單獨權(quán)限，如果他們獲得訪問權(quán)限，他們可創(chuàng)建不應(yīng)該存在的賬戶。

保護(hù)特權(quán)賬戶的挑戰(zhàn)可能不僅僅是安全專家與管理層之間斗爭的挑戰(zhàn)。他表示：“我可能無法覆蓋數(shù)千個用戶賬戶，但我可覆蓋200個管理賬戶。”

使用跳轉(zhuǎn)主機

跳轉(zhuǎn)主機位于不同的安全區(qū)域，提供訪問系統(tǒng)中其他服務(wù)器或主機的唯一方法。Prendergast稱：“從管理層面來看，這是入站訪問的一站式方法。這種方法已經(jīng)出現(xiàn)一段時間，但還沒有被廣泛部署。”

[[197297]]

該主機是進(jìn)入企業(yè)的單一管理入口點，它配置有標(biāo)準(zhǔn)DNS名稱和IP地址，只允許企業(yè)IP登錄才能進(jìn)行更廣泛地訪問環(huán)境。

由于跳轉(zhuǎn)主機是單個入口點，這可簡化保護(hù)該服務(wù)器以及維護(hù)嚴(yán)格訪問控制的過程。

這可將攻擊面減小到非常小的接入點，保護(hù)一臺服務(wù)器要比保護(hù)數(shù)千臺更容易，特別是面對新興攻擊。

基于云的安全即服務(wù)

最重要的考慮因素之一是意識到現(xiàn)在越來越難知道哪些端點容易受到勒索軟件的攻擊，更別提嘗試安裝安全軟件來保護(hù)它們。

[[197298]]

Reavis建議企業(yè)部署基于云的安全即服務(wù)解決方案，共享共同的威脅情報庫以及阻止勒索軟件下載。雖然他沒有提及具體解決方案，但他表示需要Secure Web Gateway和CASB類型的功能。

設(shè)置管理程序防火墻規(guī)則

在管理程序級別管理防火墻讓安全領(lǐng)導(dǎo)者可設(shè)置規(guī)則，誰可發(fā)送、接收以及訪問入站及出站數(shù)據(jù)，哪些數(shù)據(jù)可被發(fā)送以及程度。

[[197299]]

很多安全專業(yè)人員對設(shè)置出站規(guī)則感到猶豫，但這很重要，因為勒索軟件威脅著知識產(chǎn)權(quán)。如果你可在防火墻編寫實時監(jiān)控和執(zhí)行操作，可更好地在整個環(huán)境保持一致性。

Pironti稱，領(lǐng)導(dǎo)者應(yīng)該進(jìn)行入站和出站過濾，監(jiān)控命令控制活動，只有可離開環(huán)境的數(shù)據(jù)才能離開環(huán)境。