全球向遠程勞動力的轉(zhuǎn)移重新定義了組織構(gòu)建其商業(yè)模式的方式。隨著高管們重新制定工作政策以適應(yīng)遠遠超出最初預(yù)期的遠程辦公需求，一個新的工作時代將出現(xiàn)：混合勞動力，即勞動力在很大程度上分布于辦公室和遠程辦公環(huán)境中。雖然這一轉(zhuǎn)變?yōu)榻M織和員工帶來了機遇，但也為不良行為者打開了新的大門，因為IT部門在混合勞動力時代需要承擔(dān)更多職責(zé)，以確保敏感數(shù)據(jù)無論在企業(yè)網(wǎng)絡(luò)的內(nèi)部還是外部都安全無虞，會在不堪重負時被不良行為者伺機破壞。

　　威脅公司數(shù)據(jù)的攻擊方式多種多樣，其中勒索病毒被全球組織視為最大風(fēng)險，僅在2019年就增長了41%。重要的是，在適應(yīng)混合勞動力模式之前，企業(yè)應(yīng)專注于了解這一威脅，并部署相應(yīng)的策略以應(yīng)對、防范和修復(fù)事故。這將防止組織成為攻擊的受害者，一旦被攻擊，必將造成丟失數(shù)據(jù)或支付贖金的惡果。為了打贏這場勒索病毒戰(zhàn)爭，組織應(yīng)該為IT部門制定一個計劃，以確保他們具有應(yīng)對任何攻擊所需的彈性。接下來我們將詳細探討彈性抵御勒索病毒的三個關(guān)鍵步驟。

　　先專注于培訓(xùn)，才能避免被動地應(yīng)對威脅

　　在確定威脅因素后，培訓(xùn)是邁向彈性抵御道路的第一步。為了避免陷入被動，一旦勒索軟件事件發(fā)生，重要的是要了解三種主要的進入機制：互聯(lián)網(wǎng)連接的RDP或其它遠程訪問、網(wǎng)絡(luò)釣魚攻擊和軟件漏洞。一旦組織知道了威脅的根源，他們就可以進行策略培訓(xùn)，以完善IT和用戶安全性，并制定更多備選策略。識別最重要的三種機制可以幫助IT管理部門將RDP服務(wù)器與備份組件隔離，集成各種工具來評估網(wǎng)絡(luò)釣魚攻擊的威脅，以幫助發(fā)現(xiàn)漏洞和正確響應(yīng)，同時告知用戶定期更新關(guān)鍵類別的IT資產(chǎn)，如操作系統(tǒng)、應(yīng)用程序、數(shù)據(jù)庫和設(shè)備固件等。

　　此外，了解如何使用勒索病毒防御工具將有助于IT組織熟悉不同的恢復(fù)方案。無論是在檢測到惡意軟件時將中止的安全恢復(fù)進程，還是在恢復(fù)系統(tǒng)之前可以檢測到勒索病毒的軟件，執(zhí)行不同恢復(fù)場景的能力對于組織而言都是非常寶貴的。當(dāng)攻擊確實發(fā)生時，他們將認識和了解這一攻擊，并對恢復(fù)過程充滿信心。通過認真對待培訓(xùn)，組織可以減少被勒索病毒攻擊的風(fēng)險、成本以及應(yīng)對突如其來的勒索病毒帶來的壓力。

　　實施備份解決方案以保持業(yè)務(wù)連續(xù)性

　　彈性抵御勒索病毒的關(guān)鍵是實施備份基礎(chǔ)架構(gòu)，從而創(chuàng)建和維護強大的業(yè)務(wù)連續(xù)性。組織需要有一個可靠的系統(tǒng)來保護其服務(wù)器，并使其不必再為取回數(shù)據(jù)而付費。組織也應(yīng)考慮使備份服務(wù)器與互聯(lián)網(wǎng)隔離，并限制將共享賬戶的訪問權(quán)限授予所有用戶。相反，需要在服務(wù)器內(nèi)分配與用戶相關(guān)的特定任務(wù)，這些任務(wù)需要雙重身份驗證才能進行遠程桌面訪問。此外，與3-2-1規(guī)則配合使用的網(wǎng)閘式離線數(shù)據(jù)存儲、離線或不可變數(shù)據(jù)副本，將提供關(guān)鍵防御措施以應(yīng)對勒索病毒、內(nèi)部威脅和意外刪除。

　　此外，盡早發(fā)現(xiàn)勒索病毒威脅為IT組織帶來顯著的優(yōu)勢。這需要適當(dāng)?shù)墓ぞ邅順?biāo)記可能的威脅活動。對于遠程移動的終端設(shè)備，為識別風(fēng)險而設(shè)置的備份存儲庫將使IT部門進一步深入了解表面區(qū)域，以分析潛在的威脅。如果實施方案無法阻止攻擊，則另一個可行的選擇是盡可能加密備份以增加保護層，這樣可以避免將數(shù)據(jù)泄漏給威脅者，畢竟他們只想獲得贖金，并不想解密數(shù)據(jù)。當(dāng)發(fā)生勒索病毒攻擊時，沒有單一的恢復(fù)方法，除了這些方法外，還有許多其它選擇。需要記住的重要一點是，恢復(fù)能力將取決于備份解決方案的實施方式、威脅行為和補救過程。需要花時間研究可用的方法，并確保實施解決方案以保護公司。

　　提前做好補救準(zhǔn)備

　　即使組織已經(jīng)采取了一些預(yù)防措施，比如在攻擊發(fā)生前就通過培訓(xùn)員工和實施技術(shù)來應(yīng)對勒索病毒，但組織仍應(yīng)做好出現(xiàn)威脅時的補救準(zhǔn)備。針對攻擊的層層防御大有裨益，但組織還需要具體規(guī)劃發(fā)現(xiàn)威脅時的處理方式。如果發(fā)生勒索病毒攻擊，組織需要有適當(dāng)?shù)闹С謥碇笇?dǎo)恢復(fù)過程，以使備份不會面臨風(fēng)險。溝通是關(guān)鍵，在組織內(nèi)部或者外部創(chuàng)建一份涵蓋安全部門、事件響應(yīng)和身份管理的聯(lián)系人通訊錄，將有助于簡化補救過程。

　　接下來，建立預(yù)先批準(zhǔn)的決策鏈。當(dāng)需要做出決策時，例如在發(fā)生攻擊時是恢復(fù)公司數(shù)據(jù)還是進行故障轉(zhuǎn)移，組織應(yīng)該知道由誰來進行決策。如果具備恢復(fù)條件，IT部門應(yīng)熟悉采用哪些恢復(fù)措施來應(yīng)對勒索病毒。在將系統(tǒng)重新連接到網(wǎng)絡(luò)之前，應(yīng)執(zhí)行額外的安全檢查，就像在恢復(fù)完成之前進行防病毒掃描一樣，并確保流程的正確運行。該過程完成后，實施徹底的強制更改密碼，以減少威脅的再次出現(xiàn)。

　　勒索病毒對大大小小的組織構(gòu)成的威脅都是真實存在的。盡管沒有人能夠預(yù)測攻擊發(fā)生的時間或方式，但是擁有強大、多層的防御和策略的IT組織將有更大的恢復(fù)機會。無論是在辦公室、遠程還是混合辦公環(huán)境，通過適當(dāng)?shù)臏?zhǔn)備，上述步驟可以使組織提高抵御勒索病毒的彈性，并避免數(shù)據(jù)丟失、財務(wù)損失、商業(yè)信譽受損或更多傷害。