正如網(wǎng)絡(luò)犯罪分子最近對美國第二大肉類加工商JBS公司進行的勒索軟件攻擊所帶來的后果那樣，對關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊可能會造成數(shù)字領(lǐng)域以外的更多傷害。通過加密關(guān)鍵數(shù)據(jù)和IT系統(tǒng)，這次網(wǎng)絡(luò)攻擊迫使JBS公司關(guān)閉其生產(chǎn)加工設(shè)施數(shù)天的時間，只能勉強緩解在全國范圍內(nèi)的牛肉、豬肉和雞肉短缺情況。

[[436657]]

只要勒索軟件攻擊對網(wǎng)絡(luò)犯罪分子來說仍然有利可圖且相對容易，它們將繼續(xù)對從食品供應(yīng)鏈到燃料管道的關(guān)鍵基礎(chǔ)設(shè)施構(gòu)成實質(zhì)的威脅。

人們通常將安全視為非此即彼的選擇——或者安全，或者不安全。實際上，安全更多是關(guān)于有效管理風(fēng)險。任何企業(yè)都沒有100%阻止入侵嘗試和其他安全事件的把握。但是，企業(yè)可以采取措施確保在發(fā)生網(wǎng)絡(luò)攻擊時，盡可能控制或盡可能降低損害。

緩解的關(guān)鍵是早期檢測——如果檢測不到則需要良好的備份

勒索軟件攻擊如此具有破壞性的原因之一是因為它們是如此公開，很難掩蓋業(yè)務(wù)的全面中斷。而供應(yīng)短缺、恐慌性購買和價格飆升產(chǎn)生的一些問題，也吸引了媒體和民眾的關(guān)注。因此，許多受害者面臨巨大的壓力，需要迅速支付贖金，以期恢復(fù)系統(tǒng)正常運營。然而，對于受害者來說，支付贖金代價高昂。據(jù)報道，JBS公司為此支付了1100萬美元，并且不能保證網(wǎng)絡(luò)攻擊者在收到贖金之后會信守承諾。許多受害者還會再次遭遇攻擊。

幸運的是，很少有網(wǎng)絡(luò)攻擊始于勒索軟件，可以讓企業(yè)有機會在產(chǎn)生嚴重損害之前檢測、隔離和緩解威脅。當(dāng)企業(yè)為客戶調(diào)查勒索軟件事件時，通常會發(fā)現(xiàn)惡意軟件或其他一些危害已經(jīng)在企業(yè)的運營環(huán)境中發(fā)生了幾個月到一年多的時間。

當(dāng)進入受害者的系統(tǒng)時，網(wǎng)絡(luò)攻擊者會找到有用的信息，例如信用卡號碼或社會保險號碼，他們可以竊取這些信息而不被發(fā)現(xiàn)。網(wǎng)絡(luò)攻擊者為此部署勒索軟件，并從違規(guī)行為中獲取贖金。

降低勒索軟件風(fēng)險的五個步驟

如果企業(yè)可以在幾天而不是幾個月內(nèi)檢測到入侵行為，將顯著限制網(wǎng)絡(luò)攻擊的影響——并且可能完全阻止網(wǎng)絡(luò)攻擊者使用勒索軟件。但是，如果企業(yè)確實受到勒索軟件的攻擊，正確的準備工作可以幫助其快速恢復(fù)，同時減少對企業(yè)的業(yè)務(wù)的長期損害。

• 不要忽視資產(chǎn)管理。這聽起來很明顯，但安全的很大一部分是了解運營環(huán)境中的內(nèi)容。如果企業(yè)不知道某個應(yīng)用程序正在其網(wǎng)絡(luò)中的某個系統(tǒng)上運行，則無法修補該應(yīng)用程序。除了簡單地清點擁有的系統(tǒng)之外，還要根據(jù)業(yè)務(wù)關(guān)鍵程度對它們進行優(yōu)先級排序，并尋找它們之間的相互依賴關(guān)系。例如，除非企業(yè)的電子郵件服務(wù)器正在運行，否則其CRM軟件可能無法運行。識別處于多個依賴關(guān)系中心或控制關(guān)鍵基礎(chǔ)設(shè)施(例如工業(yè)設(shè)備)的關(guān)鍵系統(tǒng)，并專注于加強這些資產(chǎn)免受攻擊。每家企業(yè)用于安全的資源都是有限的，則首先需要保護網(wǎng)絡(luò)中最重要的部分。
• 網(wǎng)絡(luò)分段。與大多數(shù)勒索軟件攻擊并非始于勒索軟件一樣，對關(guān)鍵基礎(chǔ)設(shè)施的大多數(shù)攻擊也并非始于破壞這些系統(tǒng)。與其相反，網(wǎng)絡(luò)攻擊者可以訪問安全性較低、優(yōu)先級較低的元素，并從那里跳到更具吸引力的目標。通過對企業(yè)的網(wǎng)絡(luò)進行分段，這將使網(wǎng)絡(luò)攻擊者更難實現(xiàn)他們的目標。
• 密切監(jiān)視系統(tǒng)。僅僅監(jiān)控防火墻或服務(wù)器日志是不夠的。為了快速檢測當(dāng)今互聯(lián)環(huán)境中的入侵，企業(yè)必須定期檢查數(shù)十個組件中的異常情況，其中包括云計算基礎(chǔ)設(shè)施和與第三方的連接。因此，企業(yè)需要投資安全人員、工具和資源，以便可以有效地監(jiān)控相關(guān)日志和工件。
• 正確備份系統(tǒng)。如果企業(yè)受到勒索軟件的攻擊，可能需要從頭開始重建所有技術(shù)基礎(chǔ)設(shè)施。因此，企業(yè)具有足夠的備份來加快進程是非常重要的。不要假設(shè)企業(yè)已有的備份程序可以勝任這項任務(wù)——在考慮勒索軟件的情況下檢查它們。例如，由于勒索軟件攻擊通常先于長達數(shù)月的惡意軟件感染，因此考慮將備份存儲更長的時間，以便擁有一份干凈、未受感染的備份副本。此外，企業(yè)改變備份策略，以便并非所有備份都在某臺服務(wù)器或平臺中。利用內(nèi)部部署、云平臺和異地選項來確保最大的覆蓋范圍。
• 在網(wǎng)絡(luò)攻擊后修復(fù)漏洞。如果企業(yè)讓相同的漏洞再次被利用，那么恢復(fù)其系統(tǒng)是沒有用的。在勒索軟件攻擊之后，投資取證以確定網(wǎng)絡(luò)攻擊者如何獲得對系統(tǒng)的訪問權(quán)限。然后，關(guān)閉該入口點，并解決允許網(wǎng)絡(luò)攻擊者或惡意軟件在整個網(wǎng)絡(luò)中尋找的任何漏洞。并且如上所述，避免使用感染了導(dǎo)致初始漏洞的惡意軟件的備份。

勒索軟件的威脅不會很快消失，尤其是對于接觸關(guān)鍵基礎(chǔ)設(shè)施的企業(yè)。雖然沒有萬無一失的解決方案，但通過加強監(jiān)控、網(wǎng)絡(luò)細分和備份最重要的系統(tǒng)來執(zhí)行盡職調(diào)查可以顯著降低風(fēng)險，并在企業(yè)成為網(wǎng)絡(luò)攻擊者的目標時減輕損害。