Veritas Technologies的數(shù)據(jù)保護(hù)專家SonyaDuffin提供了構(gòu)建多層彈性配置文件的10大步驟。

如果您像大多數(shù)IT專業(yè)人員一樣，勒索軟件攻擊的威脅可能會讓您夜不能寐。你有充分的理由擔(dān)心——勒索軟件不會歧視。每個行業(yè)的組織，無論是公共的還是私人的，都是潛在的受害者，如果他們還沒有成為受害者的話。

事實(shí)上，Veritas Technologies最近的研究表明，在過去12個月中，平均每個組織發(fā)生了2.57次勒索軟件攻擊，導(dǎo)致嚴(yán)重停機(jī)，其中10%的停機(jī)時間對業(yè)務(wù)造成了5次以上的影響。

盡管勒索軟件可能會對您的業(yè)務(wù)和聲譽(yù)造成嚴(yán)重?fù)p害，但它并非不可戰(zhàn)勝。事實(shí)上，它的強(qiáng)度取決于您組織中最薄弱的環(huán)節(jié)。好消息是，您的組織可以采取明確的步驟來防止成為網(wǎng)絡(luò)犯罪目標(biāo)并降低攻擊可能使您的業(yè)務(wù)中斷的可能性。

讓我們來看看您今天可以實(shí)施的10個最有影響力的最佳實(shí)踐，以保護(hù)您的數(shù)據(jù)并確保業(yè)務(wù)彈性。

1. 提示系統(tǒng)升級和軟件更新

使用過時的軟件可能允許攻擊者利用未緩解的安全漏洞。為了減少攻擊面，請確保經(jīng)常修補(bǔ)和升級所有基礎(chǔ)架構(gòu)、操作系統(tǒng)和軟件應(yīng)用程序。更新備份應(yīng)用程序也很重要。不要用昨天的技術(shù)對抗今天的勒索軟件。

2. 實(shí)施3-2-1-1備份規(guī)則

如果您經(jīng)常備份數(shù)據(jù)、系統(tǒng)映像和配置，那么如果勒索軟件確實(shí)發(fā)生了，您將始終有一個最新的位置來恢復(fù)操作。更好的是，通過使用3-2-1備份規(guī)則分散數(shù)據(jù)，更進(jìn)一步避免單點(diǎn)故障。

這意味著在不同位置保留三個或更多副本，使用兩種不同的存儲介質(zhì)并在異地存儲一份副本。這將減少攻擊者訪問所有內(nèi)容的機(jī)會。這種3-2-1方法還確保其中一個漏洞不會危及您的所有副本，并且如果攻擊摧毀整個數(shù)據(jù)中心，它會提供選項(xiàng)。

許多組織現(xiàn)在還向3-2-1-1邁進(jìn)了一步，將至少一個副本保存在不可變(無法更改)和不可磨滅(無法刪除)的存儲中。

3. 實(shí)施零信任模型

零信任模型是一種專注于不信任任何設(shè)備或用戶的心態(tài)，即使它們默認(rèn)位于公司網(wǎng)絡(luò)內(nèi)。

不僅需要密碼(是的，即使它又長又復(fù)雜)，還需要多因素身份驗(yàn)證(MFA)和基于角色的訪問控制(RBAC)，監(jiān)控和減輕惡意活動，并加密傳輸中的數(shù)據(jù)和靜止?fàn)顟B(tài)，這會使泄露的數(shù)據(jù)無法使用。

它保證大聲和公開地分享您永遠(yuǎn)不應(yīng)該在任何地方使用工廠密碼。

此外，如果您限制對備份的訪問，您將關(guān)閉勒索軟件最常見的進(jìn)入方法。許多組織正在轉(zhuǎn)向即時(JIT)安全實(shí)踐，即根據(jù)需要或在預(yù)定時間段內(nèi)授予訪問權(quán)限，這對于關(guān)鍵和業(yè)務(wù)關(guān)鍵數(shù)據(jù)而言是需要考慮的。

4. 網(wǎng)絡(luò)分割

攻擊者喜歡單一連續(xù)、扁平的網(wǎng)絡(luò)。這意味著它們可以輕松地分布在您的整個基礎(chǔ)架構(gòu)中。

阻止攻擊者并顯著減少其攻擊面的有效方法是網(wǎng)絡(luò)分段和微分段。使用此模型，網(wǎng)絡(luò)被劃分為多個較小網(wǎng)絡(luò)區(qū)域，并且訪問受到管理和限制，尤其是對您最重要的數(shù)據(jù)的訪問。

將最重要的基礎(chǔ)設(shè)施功能保持在網(wǎng)絡(luò)之外也是一種常見的最佳實(shí)踐。此外，作為貴公司零信任模型的一部分，請考慮對第三方供應(yīng)商進(jìn)行細(xì)分，因?yàn)楣?yīng)商管理不善導(dǎo)致了許多對供應(yīng)鏈的顯著攻擊。Sunbursthack和ColonialPipeline攻擊是兩個很好的例子。

5. 端點(diǎn)可見性

大多數(shù)組織都嚴(yán)重缺乏對遠(yuǎn)程端點(diǎn)的可見性。現(xiàn)在，不良行為者越過前線安全人員并閑逛已成為一種常見做法-保持休眠足夠長的時間以定位弱點(diǎn)并找到適當(dāng)?shù)臅r間進(jìn)行攻擊。實(shí)施能夠在整個環(huán)境中提供完整可見性、檢測異常、尋找并提醒您網(wǎng)絡(luò)上的惡意活動的工具至關(guān)重要，讓勒索軟件無處可藏。這將幫助您在不良行為者有機(jī)會采取行動之前減輕威脅和漏洞。

6. 不可變和不可磨滅的存儲

如前所述，保護(hù)您的數(shù)據(jù)免受勒索軟件侵害的最佳方法之一是實(shí)施不可變和不可擦除的存儲，以確保在確定的時間內(nèi)無法更改、加密或刪除數(shù)據(jù)。然而，“不可變存儲”一詞如今已成為備份供應(yīng)商的流行詞。尋找不僅是邏輯上的不變性，還包括物理不變性，并且包含內(nèi)置安全層很重要。

該行業(yè)正在朝著兩種類型的不變性發(fā)展。在Veritas，我們稱它們?yōu)槠髽I(yè)模式和合規(guī)模式。企業(yè)模式被稱為“四眼”方法——這意味著您需要兩只眼睛來驗(yàn)證任何更改。例如，第一雙眼睛是備份管理員的，第二雙眼睛是安全管理員的。如果沒有雙方提供批準(zhǔn)，則無法進(jìn)行更改。合規(guī)模式是指不可改變的不變性，即數(shù)據(jù)在任何情況下都不可更改。兩種模式都包含一個完全獨(dú)立于OS的ComplianceClock，這樣即使OS時鐘被欺騙，也不會影響數(shù)據(jù)的發(fā)布。

7. 快速恢復(fù)

大多數(shù)勒索軟件攻擊者希望做兩件事：攻擊傳播的時間;和金錢(來自你)讓它停止。從歷史上看，恢復(fù)可能需要數(shù)周甚至數(shù)月的時間，因?yàn)樗且粋€涉及組織內(nèi)多個利益相關(guān)者的極其手動和勞動密集型的過程。現(xiàn)在，可以使用靈活的替代選項(xiàng)來協(xié)調(diào)和自動化恢復(fù)——例如在公共云提供商上快速建立數(shù)據(jù)中心——這可以縮短停機(jī)時間并提供支付贖金的替代方案。有了正確的系統(tǒng)，如有必要，恢復(fù)時間可以減少到幾秒鐘。

8. 定期測試和驗(yàn)證

制定全面的數(shù)據(jù)保護(hù)計劃并不意味著您的工作已經(jīng)完成。測試可確保您的計劃在您需要時發(fā)揮作用。盡管初始測試可以確認(rèn)計劃的所有方面確實(shí)有效，但定期測試至關(guān)重要，因?yàn)镮T環(huán)境不斷變化。

重要的是，任何計劃都只和上次測試一樣好，如果你不測試，那么不能保證你能很快恢復(fù)!實(shí)施對無中斷、隔離的恢復(fù)或沙盒環(huán)境進(jìn)行測試的解決方案也很重要。

9. 受過教育的員工

眾所周知，員工通常是攻擊的門戶。不要責(zé)怪你的員工——錯誤會發(fā)生?，F(xiàn)代網(wǎng)絡(luò)釣魚攻擊和社會工程現(xiàn)在非常先進(jìn)，以至于它們經(jīng)常愚弄安全專業(yè)人員。

相反，專注于培訓(xùn)員工識別網(wǎng)絡(luò)釣魚和社會工程策略;建立強(qiáng)密碼;安全瀏覽;利用MFA;并且始終使用安全的VPN，從不使用公共Wi-Fi。還要確保員工知道該怎么做以及如果他們成為受害者，應(yīng)該向誰發(fā)出警報。

10. 網(wǎng)絡(luò)攻擊手冊

想象一下，如果您的組織中的每個人都知道在面臨勒索軟件攻擊時該做什么以及何時該做什么。如果您創(chuàng)建一個標(biāo)準(zhǔn)的網(wǎng)絡(luò)攻擊手冊來闡明角色，并在緊急情況下通過清晰的通信路徑和響應(yīng)協(xié)議協(xié)調(diào)和授權(quán)跨職能團(tuán)隊，這并非不可能。

一個很好的建議是在安全的短信應(yīng)用程序上設(shè)置緊急通信渠道，以便您組織的高級領(lǐng)導(dǎo)在發(fā)生網(wǎng)絡(luò)攻擊時進(jìn)行通信，因?yàn)楣倦娮余]件或聊天系統(tǒng)也可能因攻擊而關(guān)閉。聘請第三方機(jī)構(gòu)來審核您團(tuán)隊的策略并檢查您的工作也是一個好主意。

您有能力采取重要措施打擊勒索軟件并扭轉(zhuǎn)網(wǎng)絡(luò)犯罪的局面。通過整合包含上述最佳實(shí)踐和無可挑剔的網(wǎng)絡(luò)安全衛(wèi)生的多層勒索軟件彈性策略，您可以在攻擊者站穩(wěn)腳跟之前阻止他們。