仅仅想到勒索软件就足以使CISO和安全团队在夜间工作。受害者被迫选择支付赎金给可能会或可能不会释放其捕获的网络和数据的犯罪分子,或者可能花费数百万美元自行删除勒索软件。根据最近的一份报告,当企业算出支付赎金的费用以及相关损失(例如停机时间,任何丢失的数据或硬件的价值,改善软件的花费)时,单个勒索软件事件的平均损失约为713,000美元。基础架构以及修复品牌形象所需的时间和金钱。关键系统保持脱机状态的时间越长,这个数字也会成倍增加。
而且,这些成本可能会上升。例如,在今年的最近一次攻击中,攻击者要求为受此攻击影响的每台计算机支付13比特币(超过75,000美元),以便用户可以重新获得对其文件的访问权限-远远高于正常的勒索需求,之前的赎金要求略低于13,000美元。
其实企业不必成为受害者
由于勒索软件在经济上的成功,它继续吸引着网络犯罪分子,他们发动大规模攻击以吸引粗心的受害者,或者精心策划针对最有可能偿还目标的高度集中的攻击。越来越多的技术犯罪分子通过Dark Web上越来越多的勒索软件即服务门户跃入潮流。
不管使用哪种方法,然而,在当今的数字世界,一个勒索软件攻击的更大的问题时,比如果。
不管这个消息看起来多么凄凉,组织实际上都有一种方法可以有效地防御勒索软件。首先,使用一些最佳实践来防止尽可能多的攻击,然后采取适当的预防措施,以将任何成功攻击的影响降至很低。
企业现在可以做的十件事
那么,这是每个组织作为其反勒索软件策略的一部分需要考虑的10个关键步骤:
绘制企业的攻击面
企业无法保护自己不知道需要保护的内容。首先确定环境中开展业务并维护活动清单所依赖的所有系统,设备和服务。此过程不仅可以帮助企业确定最易受攻击的目标,还可以帮助企业确定系统的基准以进行恢复。
修补和升级易受攻击的设备。
建立和维护常规的修补和升级协议只是一种基本的最佳实践。不幸的是,太多组织根本不这样做。当然,并非每个系统都可以脱机进行补丁修补。在那种情况下,需要使用严格的邻近控制以及某种隔离或零信任策略来替换它们(在可能的情况下)或对其进行保护。
更新企业的基础安全系统
除了更新网络设备之外,企业还需要确保所有安全解决方案都在运行其最新更新。这对于企业的安全电子邮件证书尤其重要。大多数勒索软件通过电子邮件进入组织,而邮件证书应该能够保障了邮件传输过程中不被他人阅读及篡改,并由邮件接收者进行验证,确保电子邮件内容的完整性。此外,企业安全策略需要包括诸如应用程序白名单,部署网站SSL证书,特权限制,在关键系统之间实现零信任,强制执行强密码策略以及要求使用多因素身份验证之类的事情。
细分企业的网络
网络分段可确保将受感染的系统和恶意软件包含在网络的特定网段中。这包括隔离您的知识产权以及隔离员工和客户的个人标识信息。同样,将关键服务(如紧急服务或物理资源,如HVAC系统)保持在单独的隔离网络中。
保护企业的扩展网络
确保在您的扩展网络(包括运营技术(OT)网络,云环境和分支机构)中复制部署在核心网络上的安全解决方案,以防止出现安全漏洞。此外,还需要花一些时间来查看来自其他组织(客户,合作伙伴,供应商)的与企业的网络相关的任何连接。确保加固了这些连接,并确保适当的安全性和筛选。接下来,警告那些合作伙伴企业可能发现的任何问题,尤其是与通过这些连接共享或传播恶意内容的可能性有关的问题。
隔离企业的恢复系统并备份数据
企业需要执行常规的数据和系统备份,并且同样重要的是,将这些备份存储在网络外,这样就不会在发生安全漏洞时破坏它们。组织还应该扫描这些备份以寻找恶意软件的证据。企业还需要确保完全系统恢复所需的所有系统,设备和软件都与网络隔离,以便在企业需要从成功的攻击中恢复时完全可用。
运行恢复演练
定期进行恢复演练可确保企业已备份的数据随时可用,可以还原所有必需的资源,并且所有系统都能按预期运行。它还确保指挥链到位,并且所有个人和团队都了解他们的责任。演练期间提出的任何问题都需要解决并记录下来。
利用外部专家
建立受信任的专家和顾问的列表,如果出现妥协,可以与他们联系,以帮助企业完成恢复过程。如果可能,企业还应该让他们参与恢复练习。注意:组织还应立即将任何勒索软件事件报告给CISA,本地FBI现场办公室或特勤局现场办公室。
注意勒索软件事件
订阅威胁情报和新闻提要,以跟上新的勒索软件新闻,使企业的团队有一个习惯来学习如何以及为何破坏系统,然后将这些课程应用于您自己的环境。
教育员工
员工不是企业安全链中最薄弱的环节,而必须成为企业的网络防御的第一线。由于勒索软件通常从网络钓鱼活动开始,因此必须对网络犯罪分子进行新的欺骗手段进行教育,无论网络犯罪分子是针对公司,个人还是移动设备的,都必须以此为手段。除了要求大多数员工参加的定期的年度安全检查之外,还应考虑定期进行意识提高活动。30到60秒的快速视频更新,网络钓鱼模拟游戏,执行人员发来的电子邮件以及内容丰富的海报有助于保持知名度。此外,运行自己的内部网络钓鱼活动可以帮助确定可能需要额外培训的员工。
传递下去
当涉及网络犯罪时,我们全都在一起。确保与行业同行,顾问和业务合作伙伴定期举行会议,尤其是对企业的业务运营至关重要的会议,以分享这些策略并鼓励其被采用。这不仅将确保他们不会在上游或下游传播勒索软件感染,对自己和企业造成责任,而且还可以保护企业,因为其网络的任何中断都可能对企业的业务产生连锁反应。