近年來，勒索軟件攻擊已成為一個(gè)重大且令人擔(dān)憂的趨勢(shì)，其頻率和規(guī)模都在不斷增加，僅2024年就發(fā)生了幾起顯著事件：

? 對(duì)United Health的網(wǎng)絡(luò)攻擊，被描述為“同類中最嚴(yán)重的事件”。

? 對(duì)愛荷華州一家公用事業(yè)公司的攻擊，影響了37000名客戶。

? 警告稱可能有多個(gè)聯(lián)邦機(jī)構(gòu)成為攻擊目標(biāo)。

這些事件凸顯了加強(qiáng)網(wǎng)絡(luò)安全措施的迫切需求，傳統(tǒng)的主要針對(duì)自然災(zāi)害的數(shù)據(jù)保護(hù)方法已明顯不足，通常導(dǎo)致恢復(fù)緩慢，并使寶貴數(shù)據(jù)暴露在風(fēng)險(xiǎn)之中。停機(jī)時(shí)間的潛在后果正在推動(dòng)企業(yè)尋找替代方案，因?yàn)閭鹘y(tǒng)數(shù)據(jù)保護(hù)方法已無法滿足他們的需求。

在當(dāng)今環(huán)境中，許多企業(yè)嚴(yán)重依賴于持續(xù)運(yùn)行，短時(shí)間的停機(jī)都會(huì)造成財(cái)務(wù)破壞。長(zhǎng)時(shí)間的停機(jī)——持續(xù)數(shù)小時(shí)、數(shù)天甚至數(shù)周——可能是災(zāi)難性的。現(xiàn)實(shí)促使組織探索提供更快恢復(fù)和增強(qiáng)安全性的替代網(wǎng)絡(luò)保護(hù)和恢復(fù)方法，尤其是在更嚴(yán)格的法規(guī)驅(qū)動(dòng)下，這種緊迫感愈加明顯。以下是一些提高網(wǎng)絡(luò)安全策略恢復(fù)速度的方法。

協(xié)調(diào)更強(qiáng)的安全態(tài)勢(shì)

傳統(tǒng)的數(shù)據(jù)備份和恢復(fù)方法是為攻擊頻率較低且破壞性較小的時(shí)代設(shè)計(jì)的，這些方法優(yōu)先考慮成本效益，使用較低級(jí)別的存儲(chǔ)。

此外，計(jì)算密集型的基于文件的安全掃描會(huì)減慢恢復(fù)速度，然而，這些方法依然普遍，因?yàn)槠髽I(yè)認(rèn)為它們易于實(shí)施并且足以滿足基本的網(wǎng)絡(luò)安全合規(guī)要求。

不幸的是，攻擊者的能力顯著增長(zhǎng)，超越了許多企業(yè)調(diào)整防御的能力。當(dāng)快速恢復(fù)比簡(jiǎn)單地滿足合規(guī)標(biāo)準(zhǔn)更為重要時(shí)，這尤其如此。在這種情況下，建立強(qiáng)大、主動(dòng)的內(nèi)部安全態(tài)勢(shì)的重要性顯著增加。在(可能)發(fā)生災(zāi)難的情況下，你不希望發(fā)現(xiàn)自己后悔沒有采取必要的步驟。

雖然外部合作伙伴可以在這方面提供寶貴的專業(yè)知識(shí)，但不能忽視強(qiáng)大的內(nèi)部安全態(tài)勢(shì)。要通過安全的視角重新規(guī)劃你的組織，你需要加強(qiáng)內(nèi)部團(tuán)隊(duì)。理想情況下，這些團(tuán)隊(duì)由一名專職的內(nèi)部項(xiàng)目經(jīng)理協(xié)調(diào)，他們負(fù)責(zé)高層次的規(guī)劃和執(zhí)行。他們的首要目標(biāo)應(yīng)該是評(píng)估：準(zhǔn)確了解數(shù)據(jù)的位置及其訪問者，識(shí)別系統(tǒng)中的潛在脆弱點(diǎn)，并定義現(xiàn)有的威脅暴露程度。

理論上，這很簡(jiǎn)單，但任何嘗試過這種評(píng)估的人都知道，實(shí)踐中可能會(huì)變得混亂。首先，項(xiàng)目經(jīng)理負(fù)責(zé)整理和分析的數(shù)據(jù)可能是孤立的。僅僅搞清楚哪個(gè)團(tuán)隊(duì)擁有哪些數(shù)據(jù)就可能是一項(xiàng)巨大的挑戰(zhàn)，特別是考慮到在一個(gè)組織中使用的各種有時(shí)互相沖突的工具。此外，還有大量數(shù)據(jù)可能會(huì)重復(fù)、不正確格式化或與不兼容的分析工具相關(guān)聯(lián)，導(dǎo)致潛在的數(shù)據(jù)完整性問題。

專注于恢復(fù)速度

協(xié)調(diào)這些工作的人將面臨兩個(gè)任務(wù)：修復(fù)過去的錯(cuò)誤，同時(shí)實(shí)施防止未來錯(cuò)誤的協(xié)議。例如，在數(shù)據(jù)完整性方面，一旦現(xiàn)有數(shù)據(jù)得到驗(yàn)證，就需要跨團(tuán)隊(duì)獲得對(duì)未來數(shù)據(jù)實(shí)踐的認(rèn)可，這些實(shí)踐必須遵守特定規(guī)則，這種標(biāo)準(zhǔn)化要求公司文化發(fā)生轉(zhuǎn)變。即使是最先進(jìn)的自動(dòng)化工具也無法彌補(bǔ)內(nèi)部數(shù)據(jù)基礎(chǔ)設(shè)施的分裂?！按嘶虮恕钡牡谌浇鉀Q方案可以提供幫助，但只有高質(zhì)量的領(lǐng)導(dǎo)才能顯著降低攻擊風(fēng)險(xiǎn)。

當(dāng)然，即使是最優(yōu)秀的領(lǐng)導(dǎo)團(tuán)隊(duì)也無法完全消除這種風(fēng)險(xiǎn)。在當(dāng)今的威脅環(huán)境中，攻擊只是生活的一個(gè)事實(shí)。預(yù)防措施非常重要，但當(dāng)防御最終被突破時(shí)，你需要一個(gè)應(yīng)急計(jì)劃。

Sophos 的研究表明，平均組織需要一個(gè)月的時(shí)間才能從中斷中恢復(fù)。較長(zhǎng)的備份窗口、過時(shí)的備份副本和長(zhǎng)時(shí)間的停機(jī)都會(huì)導(dǎo)致緩慢的恢復(fù)時(shí)間目標(biāo)(RTO)。根據(jù)行業(yè)的不同，停機(jī)可能會(huì)產(chǎn)生重大后果，包括業(yè)務(wù)和收入損失、運(yùn)營(yíng)放緩以及客戶不滿。

要實(shí)現(xiàn)有效策略，還需要考慮其他幾個(gè)解決方案。例如，內(nèi)部氣隙數(shù)據(jù)金庫可以充當(dāng)隔離的存儲(chǔ)庫，這將數(shù)據(jù)從潛在的網(wǎng)絡(luò)入侵中物理分離出來，并在創(chuàng)建后生成數(shù)據(jù)的不可變副本。配合持續(xù)數(shù)據(jù)保護(hù)(CDP)——可以近乎瞬時(shí)地將數(shù)據(jù)傳輸?shù)浇饚臁梢詭椭鷮?shù)據(jù)丟失降到最低，并在幾分鐘或幾小時(shí)內(nèi)而不是幾天或幾周內(nèi)將關(guān)鍵系統(tǒng)重新上線。

人工智能(AI)和機(jī)器學(xué)習(xí)(ML)在網(wǎng)絡(luò)保護(hù)領(lǐng)域也顯示出顯著的前景。在環(huán)境中實(shí)施ML算法進(jìn)行異常檢測(cè)可以幫助減少受損數(shù)據(jù)進(jìn)入金庫的風(fēng)險(xiǎn)，這可以通過減少掃描和篩選不同時(shí)間戳以識(shí)別干凈的數(shù)據(jù)和系統(tǒng)副本的需求來縮短恢復(fù)時(shí)間。

為了找到最適合組織特定需求的解決方案，對(duì)齊內(nèi)部團(tuán)隊(duì)(即基礎(chǔ)設(shè)施、運(yùn)營(yíng)和安全)至關(guān)重要。業(yè)務(wù)方的領(lǐng)導(dǎo)應(yīng)指導(dǎo)服務(wù)水平協(xié)議(SLA)的制定，以反映公司的目標(biāo)。評(píng)估組織的最佳能力并戰(zhàn)略性地投資時(shí)間和資源是關(guān)鍵，這可能意味著考慮托管服務(wù)提供商(MSP)來處理公司非主要關(guān)注的任務(wù)，如網(wǎng)絡(luò)安全。此外，將災(zāi)難恢復(fù)和網(wǎng)絡(luò)安全策略整合到整體彈性計(jì)劃中是實(shí)現(xiàn)全面風(fēng)險(xiǎn)管理方法的關(guān)鍵。

最后的思考

勒索軟件的持續(xù)蔓延需要一種新的應(yīng)對(duì)方法，真正的保護(hù)需要多方面的策略。實(shí)時(shí)數(shù)據(jù)保護(hù)、AI異常檢測(cè)以及與安全專家的合作都是快速恢復(fù)和最小化停機(jī)時(shí)間的關(guān)鍵武器。

通過優(yōu)先考慮RTO并采用分層安全方法，企業(yè)可以建立彈性并經(jīng)受住勒索軟件的風(fēng)暴。記住，網(wǎng)絡(luò)安全是一段持續(xù)的旅程，而不是終點(diǎn)。警惕、主動(dòng)措施和適應(yīng)是成功防御的關(guān)鍵。