雷英

根據(jù)最近的一份報(bào)告，當(dāng)企業(yè)算支付贖金的費(fèi)用以及相關(guān)損失時(shí)，例如停機(jī)時(shí)間、任何丟失的數(shù)據(jù)或硬件的價(jià)值或改善軟件的花費(fèi)，勒索軟件事件的平均損失約為713 000美元?；A(chǔ)架構(gòu)以及修復(fù)品牌形象所需的時(shí)間和金錢及關(guān)鍵系統(tǒng)保持脫機(jī)狀態(tài)的時(shí)間越長，這個(gè)數(shù)字也會(huì)成倍增加。

而且，這些成本可能會(huì)上升。例如，在2019年的最近一次攻擊中，攻擊者要求為受此攻擊影響的每臺(tái)計(jì)算機(jī)支付13比特幣（超過75 000美元），以便用戶可以重新獲得對(duì)文件的訪問權(quán)限———遠(yuǎn)遠(yuǎn)高于正常的勒索需求，之前的贖金要求略低于13 000美元。

由于勒索軟件在經(jīng)濟(jì)上的成功，繼續(xù)吸引著網(wǎng)絡(luò)犯罪分子，他們大規(guī)模攻擊粗心的受害者，或者精心策劃針對(duì)最有可能付費(fèi)的目標(biāo)進(jìn)行高度集中的攻擊。越來越多的技術(shù)犯罪者通過Dark Web上的勒索軟件躍入潮流。

不管這個(gè)消息看起來多么凄涼，組織實(shí)際上都有方法可以有效防御勒索軟件。首先，使用一些最佳實(shí)踐來防止盡可能多的攻擊，然后采取適當(dāng)?shù)念A(yù)防措施，將任何功攻擊的影響降至最低。以下是組織需要考慮的10個(gè)關(guān)鍵步驟：

繪制企業(yè)的攻擊面

企業(yè)無法保護(hù)自己不知道需要保護(hù)的內(nèi)容。首先要確定環(huán)境中開展的業(yè)務(wù)并維護(hù)活動(dòng)清單所依賴的所有系統(tǒng)、設(shè)備和服務(wù)。此過程不僅可以幫助企業(yè)確定最易受攻擊的目標(biāo)，還可以幫助企業(yè)確定系統(tǒng)的基準(zhǔn)，以進(jìn)行恢復(fù)。

修補(bǔ)和升級(jí)易受攻擊的設(shè)備。

建立和維護(hù)常規(guī)的修補(bǔ)，升級(jí)協(xié)議只是一種基本的最佳實(shí)踐。不幸的是，太多組織根本不這樣做。當(dāng)然，并非每個(gè)系統(tǒng)都可以脫機(jī)進(jìn)行修補(bǔ)。在那種情況下，需要使用嚴(yán)格的鄰近控制以及某種隔離或零信任策略來替換他們（在可能的情況下）或?qū)ζ溥M(jìn)行保護(hù)。

更新企業(yè)的基礎(chǔ)安全系統(tǒng)

除了更新網(wǎng)絡(luò)設(shè)備之外，企業(yè)還需要確保所有安全解決方案都在運(yùn)行最新更新。這對(duì)于企業(yè)的安全電子郵件證書尤其重要。大多數(shù)勒索軟件通過電子郵件進(jìn)入組織，而郵件證書能夠保障郵件傳輸過程中不被他人閱讀及篡改，并由郵件接收者進(jìn)行驗(yàn)證，確保電子郵件內(nèi)容的完整性。此外，企業(yè)安全策略需要包括應(yīng)用程序白名單、部署網(wǎng)站SSL證書、特權(quán)限制、在關(guān)鍵系統(tǒng)之間實(shí)現(xiàn)零信任、強(qiáng)制執(zhí)行強(qiáng)密碼策略以及要求使用多因素身份驗(yàn)證之類的事情。

細(xì)分企業(yè)的網(wǎng)絡(luò)

網(wǎng)絡(luò)分段可確保將受感染的系統(tǒng)和惡意軟件包含在網(wǎng)絡(luò)的特定網(wǎng)段中。這包括隔離知識(shí)產(chǎn)權(quán)以及隔離員工和客戶的個(gè)人標(biāo)識(shí)信息。同樣，將關(guān)鍵服務(wù)（如緊急服務(wù)或物理資源和HVAC系統(tǒng)）保持在單獨(dú)的隔離網(wǎng)絡(luò)中。

保護(hù)企業(yè)的擴(kuò)展網(wǎng)絡(luò)

確保在擴(kuò)展網(wǎng)絡(luò)（包括運(yùn)營技術(shù)網(wǎng)絡(luò)、云環(huán)境和分支機(jī)構(gòu)）中復(fù)制部署在核心網(wǎng)絡(luò)上的安全解決方案，以防止出現(xiàn)安全漏洞。此外，還需要花一些時(shí)間來查看來自其他組織（客戶、合作伙伴和供應(yīng)商）與企業(yè)網(wǎng)絡(luò)相關(guān)的任何連接。確保加固了這些連接，并確保適當(dāng)?shù)陌踩院秃Y選。接下來，警告那些合作伙伴企業(yè)可能發(fā)現(xiàn)的任何問題，尤其是與連接共享或可能傳播惡意內(nèi)容的有關(guān)問題。

隔離企業(yè)的系統(tǒng)恢復(fù)與備份數(shù)據(jù)

企業(yè)需要執(zhí)行常規(guī)的數(shù)據(jù)和系統(tǒng)備份，并且將這些備份存儲(chǔ)在網(wǎng)絡(luò)外，這樣它們就不會(huì)在發(fā)生安全漏洞時(shí)遭到破壞。組織還應(yīng)該掃描這些備份以尋找惡意軟件的證據(jù)。企業(yè)還需要確保完全系統(tǒng)恢復(fù)所需的所有系統(tǒng)、設(shè)備和軟件都與網(wǎng)絡(luò)隔離，以便在企業(yè)需要從攻擊中恢復(fù)時(shí)完全可用。

運(yùn)行恢復(fù)演練

定期進(jìn)行恢復(fù)演練可確保企業(yè)已備份的數(shù)據(jù)隨時(shí)可用，可以還原所有必需的資源，并且所有系統(tǒng)都能按預(yù)期運(yùn)行。確保指揮鏈到位，并且所有個(gè)人和團(tuán)隊(duì)都了解他們的責(zé)任。演練期間提出的任何問題都需要記錄下來并解決。

利用外部專家

建立受信任的專家和顧問的列表，如果出現(xiàn)妥協(xié)，可以與他們聯(lián)系，以幫助企業(yè)完成恢復(fù)過程。如果可能，企業(yè)還應(yīng)該讓他們參與恢復(fù)練習(xí)。注意：組織還應(yīng)將任何勒索軟件事件立即報(bào)告給相關(guān)政府機(jī)構(gòu)。

注意勒索軟件事件

訂閱威脅情報(bào)和新聞提要，以跟上新的勒索軟件新聞，使企業(yè)團(tuán)隊(duì)養(yǎng)成習(xí)慣學(xué)習(xí)如何、為何破壞系統(tǒng)，然后將這些課程應(yīng)用于自己的環(huán)境。

教育員工

員工不是企業(yè)安全鏈中最薄弱的環(huán)節(jié)，而必須成為企業(yè)網(wǎng)絡(luò)防御的第一線。由于勒索軟件通常從網(wǎng)絡(luò)釣魚活動(dòng)開始，因此必須對(duì)網(wǎng)絡(luò)犯罪分子新的欺騙手段進(jìn)行教育，無論網(wǎng)絡(luò)犯罪分子是針對(duì)公司、個(gè)人還是移動(dòng)設(shè)備，都必須以此為手段。除了要求大多數(shù)員工參加定期的年度安全檢查之外，還應(yīng)考慮定期進(jìn)行意識(shí)提高活動(dòng)。30 ～ 60秒的快速視頻更新，網(wǎng)絡(luò)釣魚模擬游戲，執(zhí)行人員發(fā)來的電子郵件以及內(nèi)容豐富的海報(bào)有助于保持知名度。此外，運(yùn)行自己的內(nèi)部網(wǎng)絡(luò)釣魚活動(dòng)可以幫助確定需要額外培訓(xùn)的員工。

傳遞下去

當(dāng)涉及網(wǎng)絡(luò)犯罪時(shí)，我們?cè)谝黄?，確保與行業(yè)同行、顧問和業(yè)務(wù)合作伙伴定期舉行會(huì)議，尤其是對(duì)企業(yè)業(yè)務(wù)運(yùn)營至關(guān)重要的會(huì)議，以分享這些策略并鼓勵(lì)其被采用。這不僅可以確保他們不會(huì)在上游或下游傳播勒索軟件，對(duì)自己和企業(yè)造成責(zé)任，還可以保護(hù)企業(yè)，因?yàn)榫W(wǎng)絡(luò)的任何中斷都可能對(duì)企業(yè)的業(yè)務(wù)產(chǎn)生連鎖反應(yīng)。