防范勒索軟件攻擊的六個行動
譯文【51CTO.com快譯】2020年報告的惡意軟件事件中27%歸因于勒索軟件。勒索軟件是惡意軟件滲入到計算機系統后加密數據時發生的網絡勒索,將其淪為人質,直到受害者支付贖金,它對組織帶來的影響比數據泄密事件的影響更大。
從短期來看,勒索軟件可能使公司損失數百萬美元;從長期來看,甚至可能造成更大的損失,從而影響聲譽和可靠性。從美國的知名醫療保健機構和零售商到中東的保險提供商,勒索軟件攻擊者是持續存在的網絡安全威脅。
Gartner的高級分析師Paul Webber說:“在最近的一些勒索軟件攻擊案例中,受害組織向攻擊者支付了巨額贖金,這可能是這種攻擊越來越猖獗的原因之一。相反,如果組織希望減少勒索軟件引起的損失,需要專注于準備和早期應對。”
CISO和安全領導人可以采用應對計劃來降低勒索軟件攻擊的可能性,減小漏洞暴露面,并保護組織的安全。這項計劃須涵蓋以下六個行動。
1.進行初期的勒索軟件評估
進行風險評估和滲透測試,以確定攻擊面、安全防范現狀以及防范攻擊的工具、流程和技能等方面的準備狀況。
Webber說:“在您以為付錢是唯一出路之前,請使用免費的勒索軟件解密軟件調查一番。”
2.實施勒索軟件治理
即使在準備利用技術應對勒索軟件攻擊之前,也要制定牽涉組織中主要決策者的流程和合規程序。勒索軟件可能會由問題立即演變為危機,導致組織收入減少、名譽掃地。
首席執行官、董事會及其他重要利益相關者等關鍵人員必須參與準備工作。萬一發生了勒索軟件攻擊,會與董事會聯系的很可能是新聞記者及其他外部利益相關者,而不是安全領導人或CISO。
3.保持一致的操作準備
進行頻繁的練習和演習,以確保系統始終能夠檢測到勒索軟件攻擊。將事件響應場景的常規測試納入到勒索軟件響應計劃中。
定期進行測試和重新測試,檢查是否存在漏洞、不合規的系統以及錯誤配置。確保事件響應流程本身并不依賴可能受到勒索軟件攻擊或發生嚴重事件后不可用的IT系統。
4.備份、測試和重復勒索軟件響應
不僅要備份數據,還要備份每個非標準應用軟件及支撐性的IT基礎架構。確保擁有頻繁且可靠的備份和恢復功能。如果使用在線備份,確保它們不會被勒索軟件加密。定期檢查備份應用軟件、存儲和網絡訪問,并將其與預期或基準的活動進行比較,從而加固企業備份和恢復基礎架構的部件、免受攻擊。
創建特定的恢復時間目標(RTO)和恢復點目標(RPO)參數,保護備份存儲介質和可訪問性,從而為整個系統遭到勒索軟件攻擊后恢復關鍵應用軟件做好準備。
5.實施最低權限原則
限制權限并拒絕未經授權的人訪問設備。刪除最終用戶的本地管理員權限,并阻止標準用戶安裝應用軟件,以集中管理的軟件分發工具取而代之。
CISO和安全領導人須盡量部署多因子身份驗證,對于特權帳戶而言更是如此。加大對所有關鍵服務器、網絡設備和目錄服務實行驗證日志記錄的力度,并確保日志未刪除。通知安全運營團隊任何意外的活動,并確保他們主動查找異常的登錄/失敗的身份驗證嘗試。
6.教育和培訓用戶,了解勒索軟件應對措施
了解哪些政府和地區當局提供了有關組織如何加強網絡基礎架構防范勒索軟件的指導準則。 CISO和安全領導人可以利用這類指導準則為組織中的所有員工制定一項基本的培訓計劃。然而,勒索軟件防備培訓需要針對組織進行定制,那樣才能取得更好的效果。
Webber說:“利用網絡危機模擬工具進行模擬演練和培訓,以便盡量模擬實際情況,從而使最終用戶可以更有效地防備勒索軟件。”
勒索軟件及其他形式的惡意軟件帶來的挑戰在于,黑客的手法和目標在不斷變化。制定防備策略有助于減小損失并保護組織。
原文標題:6 Ways to Defend Against a Ransomware Attack,作者:Manasi Sakpal
【51CTO譯稿,合作站點轉載請注明原文譯者和出處為51CTO.com】
