信息化觀察網(wǎng)

全球向遠(yuǎn)程勞動(dòng)力的轉(zhuǎn)移重新定義了組織構(gòu)建其商業(yè)模式的方式。隨著高管們重新制定工作政策以適應(yīng)遠(yuǎn)遠(yuǎn)超出最初預(yù)期的遠(yuǎn)程辦公需求，一個(gè)新的工作時(shí)代將出現(xiàn)：混合勞動(dòng)力，即勞動(dòng)力在很大程度上分布于辦公室和遠(yuǎn)程辦公環(huán)境中。雖然這一轉(zhuǎn)變?yōu)榻M織和員工帶來(lái)了機(jī)遇，但也為不良行為者打開(kāi)了新的大門(mén)，因?yàn)镮T部門(mén)在混合勞動(dòng)力時(shí)代需要承擔(dān)更多職責(zé)，以確保敏感數(shù)據(jù)無(wú)論在企業(yè)網(wǎng)絡(luò)的內(nèi)部還是外部都安全無(wú)虞，會(huì)在不堪重負(fù)時(shí)被不良行為者伺機(jī)破壞。

威脅公司數(shù)據(jù)的攻擊方式多種多樣，其中勒索病毒被全球組織視為最大風(fēng)險(xiǎn)，僅在2019年就增長(zhǎng)了41％。重要的是，在適應(yīng)混合勞動(dòng)力模式之前，企業(yè)應(yīng)專注于了解這一威脅，并部署相應(yīng)的策略以應(yīng)對(duì)、防范和修復(fù)事故。這將防止組織成為攻擊的受害者，一旦被攻擊，必將造成丟失數(shù)據(jù)或支付贖金的惡果。為了打贏這場(chǎng)勒索病毒戰(zhàn)爭(zhēng)，組織應(yīng)該為IT部門(mén)制定一個(gè)計(jì)劃，以確保他們具有應(yīng)對(duì)任何攻擊所需的彈性。接下來(lái)我們將詳細(xì)探討彈性抵御勒索病毒的三個(gè)關(guān)鍵步驟。

先專注于培訓(xùn)，才能避免被動(dòng)地應(yīng)對(duì)威脅

在確定威脅因素后，培訓(xùn)是邁向彈性抵御道路的第一步。為了避免陷入被動(dòng)，一旦勒索軟件事件發(fā)生，重要的是要了解三種主要的進(jìn)入機(jī)制：互聯(lián)網(wǎng)連接的RDP或其它遠(yuǎn)程訪問(wèn)、網(wǎng)絡(luò)釣魚(yú)攻擊和軟件漏洞。一旦組織知道了威脅的根源，他們就可以進(jìn)行策略培訓(xùn)，以完善IT和用戶安全性，并制定更多備選策略。識(shí)別最重要的三種機(jī)制可以幫助IT管理部門(mén)將RDP服務(wù)器與備份組件隔離，集成各種工具來(lái)評(píng)估網(wǎng)絡(luò)釣魚(yú)攻擊的威脅，以幫助發(fā)現(xiàn)漏洞和正確響應(yīng)，同時(shí)告知用戶定期更新關(guān)鍵類(lèi)別的IT資產(chǎn)，如操作系統(tǒng)、應(yīng)用程序、數(shù)據(jù)庫(kù)和設(shè)備固件等。

此外，了解如何使用勒索病毒防御工具將有助于IT組織熟悉不同的恢復(fù)方案。無(wú)論是在檢測(cè)到惡意軟件時(shí)將中止的安全恢復(fù)進(jìn)程，還是在恢復(fù)系統(tǒng)之前可以檢測(cè)到勒索病毒的軟件，執(zhí)行不同恢復(fù)場(chǎng)景的能力對(duì)于組織而言都是非常寶貴的。當(dāng)攻擊確實(shí)發(fā)生時(shí)，他們將認(rèn)識(shí)和了解這一攻擊，并對(duì)恢復(fù)過(guò)程充滿信心。通過(guò)認(rèn)真對(duì)待培訓(xùn)，組織可以減少被勒索病毒攻擊的風(fēng)險(xiǎn)、成本以及應(yīng)對(duì)突如其來(lái)的勒索病毒帶來(lái)的壓力。

實(shí)施備份解決方案以保持業(yè)務(wù)連續(xù)性

彈性抵御勒索病毒的關(guān)鍵是實(shí)施備份基礎(chǔ)架構(gòu)，從而創(chuàng)建和維護(hù)強(qiáng)大的業(yè)務(wù)連續(xù)性。組織需要有一個(gè)可靠的系統(tǒng)來(lái)保護(hù)其服務(wù)器，并使其不必再為取回?cái)?shù)據(jù)而付費(fèi)。組織也應(yīng)考慮使備份服務(wù)器與互聯(lián)網(wǎng)隔離，并限制將共享賬戶的訪問(wèn)權(quán)限授予所有用戶。相反，需要在服務(wù)器內(nèi)分配與用戶相關(guān)的特定任務(wù)，這些任務(wù)需要雙重身份驗(yàn)證才能進(jìn)行遠(yuǎn)程桌面訪問(wèn)。此外，與3-2-1規(guī)則配合使用的網(wǎng)閘式離線數(shù)據(jù)存儲(chǔ)、離線或不可變數(shù)據(jù)副本，將提供關(guān)鍵防御措施以應(yīng)對(duì)勒索病毒、內(nèi)部威脅和意外刪除。

此外，盡早發(fā)現(xiàn)勒索病毒威脅為IT組織帶來(lái)顯著的優(yōu)勢(shì)。這需要適當(dāng)?shù)墓ぞ邅?lái)標(biāo)記可能的威脅活動(dòng)。對(duì)于遠(yuǎn)程移動(dòng)的終端設(shè)備，為識(shí)別風(fēng)險(xiǎn)而設(shè)置的備份存儲(chǔ)庫(kù)將使IT部門(mén)進(jìn)一步深入了解表面區(qū)域，以分析潛在的威脅。如果實(shí)施方案無(wú)法阻止攻擊，則另一個(gè)可行的選擇是盡可能加密備份以增加保護(hù)層，這樣可以避免將數(shù)據(jù)泄漏給威脅者，畢竟他們只想獲得贖金，并不想解密數(shù)據(jù)。當(dāng)發(fā)生勒索病毒攻擊時(shí)，沒(méi)有單一的恢復(fù)方法，除了這些方法外，還有許多其它選擇。需要記住的重要一點(diǎn)是，恢復(fù)能力將取決于備份解決方案的實(shí)施方式、威脅行為和補(bǔ)救過(guò)程。需要花時(shí)間研究可用的方法，并確保實(shí)施解決方案以保護(hù)公司。

提前做好補(bǔ)救準(zhǔn)備

即使組織已經(jīng)采取了一些預(yù)防措施，比如在攻擊發(fā)生前就通過(guò)培訓(xùn)員工和實(shí)施技術(shù)來(lái)應(yīng)對(duì)勒索病毒，但組織仍應(yīng)做好出現(xiàn)威脅時(shí)的補(bǔ)救準(zhǔn)備。針對(duì)攻擊的層層防御大有裨益，但組織還需要具體規(guī)劃發(fā)現(xiàn)威脅時(shí)的處理方式。如果發(fā)生勒索病毒攻擊，組織需要有適當(dāng)?shù)闹С謥?lái)指導(dǎo)恢復(fù)過(guò)程，以使備份不會(huì)面臨風(fēng)險(xiǎn)。溝通是關(guān)鍵，在組織內(nèi)部或者外部創(chuàng)建一份涵蓋安全部門(mén)、事件響應(yīng)和身份管理的聯(lián)系人通訊錄，將有助于簡(jiǎn)化補(bǔ)救過(guò)程。

接下來(lái)，建立預(yù)先批準(zhǔn)的決策鏈。當(dāng)需要做出決策時(shí)，例如在發(fā)生攻擊時(shí)是恢復(fù)公司數(shù)據(jù)還是進(jìn)行故障轉(zhuǎn)移，組織應(yīng)該知道由誰(shuí)來(lái)進(jìn)行決策。如果具備恢復(fù)條件，IT部門(mén)應(yīng)熟悉采用哪些恢復(fù)措施來(lái)應(yīng)對(duì)勒索病毒。在將系統(tǒng)重新連接到網(wǎng)絡(luò)之前，應(yīng)執(zhí)行額外的安全檢查，就像在恢復(fù)完成之前進(jìn)行防病毒掃描一樣，并確保流程的正確運(yùn)行。該過(guò)程完成后，實(shí)施徹底的強(qiáng)制更改密碼，以減少威脅的再次出現(xiàn)。

勒索病毒對(duì)大大小小的組織構(gòu)成的威脅都是真實(shí)存在的。盡管沒(méi)有人能夠預(yù)測(cè)攻擊發(fā)生的時(shí)間或方式，但是擁有強(qiáng)大、多層的防御和策略的IT組織將有更大的恢復(fù)機(jī)會(huì)。無(wú)論是在辦公室、遠(yuǎn)程還是混合辦公環(huán)境，通過(guò)適當(dāng)?shù)臏?zhǔn)備，上述步驟可以使組織提高抵御勒索病毒的彈性，并避免數(shù)據(jù)丟失、財(cái)務(wù)損失、商業(yè)信譽(yù)受損或更多傷害。