Veritas Technologies的數(shù)據(jù)保護(hù)專(zhuān)家SonyaDuffin提供了構(gòu)建多層彈性配置文件的10大步驟。

如果您像大多數(shù)IT專(zhuān)業(yè)人員一樣，勒索軟件攻擊的威脅可能會(huì)讓您夜不能寐。你有充分的理由擔(dān)心——勒索軟件不會(huì)歧視。每個(gè)行業(yè)的組織，無(wú)論是公共的還是私人的，都是潛在的受害者，如果他們還沒(méi)有成為受害者的話。

事實(shí)上，Veritas Technologies最近的研究表明，在過(guò)去12個(gè)月中，平均每個(gè)組織發(fā)生了2.57次勒索軟件攻擊，導(dǎo)致嚴(yán)重停機(jī)，其中10%的停機(jī)時(shí)間對(duì)業(yè)務(wù)造成了5次以上的影響。

盡管勒索軟件可能會(huì)對(duì)您的業(yè)務(wù)和聲譽(yù)造成嚴(yán)重?fù)p害，但它并非不可戰(zhàn)勝。事實(shí)上，它的強(qiáng)度取決于您組織中最薄弱的環(huán)節(jié)。好消息是，您的組織可以采取明確的步驟來(lái)防止成為網(wǎng)絡(luò)犯罪目標(biāo)并降低攻擊可能使您的業(yè)務(wù)中斷的可能性。

讓我們來(lái)看看您今天可以實(shí)施的10個(gè)最有影響力的最佳實(shí)踐，以保護(hù)您的數(shù)據(jù)并確保業(yè)務(wù)彈性。

1. 提示系統(tǒng)升級(jí)和軟件更新

使用過(guò)時(shí)的軟件可能允許攻擊者利用未緩解的安全漏洞。為了減少攻擊面，請(qǐng)確保經(jīng)常修補(bǔ)和升級(jí)所有基礎(chǔ)架構(gòu)、操作系統(tǒng)和軟件應(yīng)用程序。更新備份應(yīng)用程序也很重要。不要用昨天的技術(shù)對(duì)抗今天的勒索軟件。

2. 實(shí)施3-2-1-1備份規(guī)則

如果您經(jīng)常備份數(shù)據(jù)、系統(tǒng)映像和配置，那么如果勒索軟件確實(shí)發(fā)生了，您將始終有一個(gè)最新的位置來(lái)恢復(fù)操作。更好的是，通過(guò)使用3-2-1備份規(guī)則分散數(shù)據(jù)，更進(jìn)一步避免單點(diǎn)故障。

這意味著在不同位置保留三個(gè)或更多副本，使用兩種不同的存儲(chǔ)介質(zhì)并在異地存儲(chǔ)一份副本。這將減少攻擊者訪問(wèn)所有內(nèi)容的機(jī)會(huì)。這種3-2-1方法還確保其中一個(gè)漏洞不會(huì)危及您的所有副本，并且如果攻擊摧毀整個(gè)數(shù)據(jù)中心，它會(huì)提供選項(xiàng)。

許多組織現(xiàn)在還向3-2-1-1邁進(jìn)了一步，將至少一個(gè)副本保存在不可變(無(wú)法更改)和不可磨滅(無(wú)法刪除)的存儲(chǔ)中。

3. 實(shí)施零信任模型

零信任模型是一種專(zhuān)注于不信任任何設(shè)備或用戶的心態(tài)，即使它們默認(rèn)位于公司網(wǎng)絡(luò)內(nèi)。

不僅需要密碼(是的，即使它又長(zhǎng)又復(fù)雜)，還需要多因素身份驗(yàn)證(MFA)和基于角色的訪問(wèn)控制(RBAC)，監(jiān)控和減輕惡意活動(dòng)，并加密傳輸中的數(shù)據(jù)和靜止?fàn)顟B(tài)，這會(huì)使泄露的數(shù)據(jù)無(wú)法使用。

它保證大聲和公開(kāi)地分享您永遠(yuǎn)不應(yīng)該在任何地方使用工廠密碼。

此外，如果您限制對(duì)備份的訪問(wèn)，您將關(guān)閉勒索軟件最常見(jiàn)的進(jìn)入方法。許多組織正在轉(zhuǎn)向即時(shí)(JIT)安全實(shí)踐，即根據(jù)需要或在預(yù)定時(shí)間段內(nèi)授予訪問(wèn)權(quán)限，這對(duì)于關(guān)鍵和業(yè)務(wù)關(guān)鍵數(shù)據(jù)而言是需要考慮的。

4. 網(wǎng)絡(luò)分割

攻擊者喜歡單一連續(xù)、扁平的網(wǎng)絡(luò)。這意味著它們可以輕松地分布在您的整個(gè)基礎(chǔ)架構(gòu)中。

阻止攻擊者并顯著減少其攻擊面的有效方法是網(wǎng)絡(luò)分段和微分段。使用此模型，網(wǎng)絡(luò)被劃分為多個(gè)較小網(wǎng)絡(luò)區(qū)域，并且訪問(wèn)受到管理和限制，尤其是對(duì)您最重要的數(shù)據(jù)的訪問(wèn)。

將最重要的基礎(chǔ)設(shè)施功能保持在網(wǎng)絡(luò)之外也是一種常見(jiàn)的最佳實(shí)踐。此外，作為貴公司零信任模型的一部分，請(qǐng)考慮對(duì)第三方供應(yīng)商進(jìn)行細(xì)分，因?yàn)楣?yīng)商管理不善導(dǎo)致了許多對(duì)供應(yīng)鏈的顯著攻擊。Sunbursthack和ColonialPipeline攻擊是兩個(gè)很好的例子。

5. 端點(diǎn)可見(jiàn)性

大多數(shù)組織都嚴(yán)重缺乏對(duì)遠(yuǎn)程端點(diǎn)的可見(jiàn)性?，F(xiàn)在，不良行為者越過(guò)前線安全人員并閑逛已成為一種常見(jiàn)做法-保持休眠足夠長(zhǎng)的時(shí)間以定位弱點(diǎn)并找到適當(dāng)?shù)臅r(shí)間進(jìn)行攻擊。實(shí)施能夠在整個(gè)環(huán)境中提供完整可見(jiàn)性、檢測(cè)異常、尋找并提醒您網(wǎng)絡(luò)上的惡意活動(dòng)的工具至關(guān)重要，讓勒索軟件無(wú)處可藏。這將幫助您在不良行為者有機(jī)會(huì)采取行動(dòng)之前減輕威脅和漏洞。

6. 不可變和不可磨滅的存儲(chǔ)

如前所述，保護(hù)您的數(shù)據(jù)免受勒索軟件侵害的最佳方法之一是實(shí)施不可變和不可擦除的存儲(chǔ)，以確保在確定的時(shí)間內(nèi)無(wú)法更改、加密或刪除數(shù)據(jù)。然而，“不可變存儲(chǔ)”一詞如今已成為備份供應(yīng)商的流行詞。尋找不僅是邏輯上的不變性，還包括物理不變性，并且包含內(nèi)置安全層很重要。

該行業(yè)正在朝著兩種類(lèi)型的不變性發(fā)展。在Veritas，我們稱(chēng)它們?yōu)槠髽I(yè)模式和合規(guī)模式。企業(yè)模式被稱(chēng)為“四眼”方法——這意味著您需要兩只眼睛來(lái)驗(yàn)證任何更改。例如，第一雙眼睛是備份管理員的，第二雙眼睛是安全管理員的。如果沒(méi)有雙方提供批準(zhǔn)，則無(wú)法進(jìn)行更改。合規(guī)模式是指不可改變的不變性，即數(shù)據(jù)在任何情況下都不可更改。兩種模式都包含一個(gè)完全獨(dú)立于OS的ComplianceClock，這樣即使OS時(shí)鐘被欺騙，也不會(huì)影響數(shù)據(jù)的發(fā)布。

7. 快速恢復(fù)

大多數(shù)勒索軟件攻擊者希望做兩件事：攻擊傳播的時(shí)間;和金錢(qián)(來(lái)自你)讓它停止。從歷史上看，恢復(fù)可能需要數(shù)周甚至數(shù)月的時(shí)間，因?yàn)樗且粋€(gè)涉及組織內(nèi)多個(gè)利益相關(guān)者的極其手動(dòng)和勞動(dòng)密集型的過(guò)程?，F(xiàn)在，可以使用靈活的替代選項(xiàng)來(lái)協(xié)調(diào)和自動(dòng)化恢復(fù)——例如在公共云提供商上快速建立數(shù)據(jù)中心——這可以縮短停機(jī)時(shí)間并提供支付贖金的替代方案。有了正確的系統(tǒng)，如有必要，恢復(fù)時(shí)間可以減少到幾秒鐘。

8. 定期測(cè)試和驗(yàn)證

制定全面的數(shù)據(jù)保護(hù)計(jì)劃并不意味著您的工作已經(jīng)完成。測(cè)試可確保您的計(jì)劃在您需要時(shí)發(fā)揮作用。盡管初始測(cè)試可以確認(rèn)計(jì)劃的所有方面確實(shí)有效，但定期測(cè)試至關(guān)重要，因?yàn)镮T環(huán)境不斷變化。

重要的是，任何計(jì)劃都只和上次測(cè)試一樣好，如果你不測(cè)試，那么不能保證你能很快恢復(fù)!實(shí)施對(duì)無(wú)中斷、隔離的恢復(fù)或沙盒環(huán)境進(jìn)行測(cè)試的解決方案也很重要。

9. 受過(guò)教育的員工

眾所周知，員工通常是攻擊的門(mén)戶。不要責(zé)怪你的員工——錯(cuò)誤會(huì)發(fā)生?，F(xiàn)代網(wǎng)絡(luò)釣魚(yú)攻擊和社會(huì)工程現(xiàn)在非常先進(jìn)，以至于它們經(jīng)常愚弄安全專(zhuān)業(yè)人員。

相反，專(zhuān)注于培訓(xùn)員工識(shí)別網(wǎng)絡(luò)釣魚(yú)和社會(huì)工程策略;建立強(qiáng)密碼;安全瀏覽;利用MFA;并且始終使用安全的VPN，從不使用公共Wi-Fi。還要確保員工知道該怎么做以及如果他們成為受害者，應(yīng)該向誰(shuí)發(fā)出警報(bào)。

10. 網(wǎng)絡(luò)攻擊手冊(cè)

想象一下，如果您的組織中的每個(gè)人都知道在面臨勒索軟件攻擊時(shí)該做什么以及何時(shí)該做什么。如果您創(chuàng)建一個(gè)標(biāo)準(zhǔn)的網(wǎng)絡(luò)攻擊手冊(cè)來(lái)闡明角色，并在緊急情況下通過(guò)清晰的通信路徑和響應(yīng)協(xié)議協(xié)調(diào)和授權(quán)跨職能團(tuán)隊(duì)，這并非不可能。

一個(gè)很好的建議是在安全的短信應(yīng)用程序上設(shè)置緊急通信渠道，以便您組織的高級(jí)領(lǐng)導(dǎo)在發(fā)生網(wǎng)絡(luò)攻擊時(shí)進(jìn)行通信，因?yàn)楣倦娮余]件或聊天系統(tǒng)也可能因攻擊而關(guān)閉。聘請(qǐng)第三方機(jī)構(gòu)來(lái)審核您團(tuán)隊(duì)的策略并檢查您的工作也是一個(gè)好主意。

您有能力采取重要措施打擊勒索軟件并扭轉(zhuǎn)網(wǎng)絡(luò)犯罪的局面。通過(guò)整合包含上述最佳實(shí)踐和無(wú)可挑剔的網(wǎng)絡(luò)安全衛(wèi)生的多層勒索軟件彈性策略，您可以在攻擊者站穩(wěn)腳跟之前阻止他們。