正如网络犯罪分子最近对美国第二大肉类加工商JBS公司进行的勒索软件攻击所带来的后果那样,对关键基础设施的网络攻击可能会造成数字领域以外的更多伤害。通过加密关键数据和IT系统,这次网络攻击迫使JBS公司关闭其生产加工设施数天的时间,只能勉强缓解在全国范围内的牛肉、猪肉和鸡肉短缺情况。
只要勒索软件攻击对网络犯罪分子来说仍然有利可图且相对容易,它们将继续对从食品供应链到燃料管道的关键基础设施构成实质的威胁。
人们通常将安全视为非此即彼的选择——或者安全,或者不安全。实际上,安全更多是关于有效管理风险。任何企业都没有100%阻止入侵尝试和其他安全事件的把握。但是,企业可以采取措施确保在发生网络攻击时,尽可能控制或尽可能降低损害。
缓解的关键是早期检测——如果检测不到则需要良好的备份
勒索软件攻击如此具有破坏性的原因之一是因为它们是如此公开,很难掩盖业务的全面中断。而供应短缺、恐慌性购买和价格飙升产生的一些问题,也吸引了媒体和民众的关注。因此,许多受害者面临巨大的压力,需要迅速支付赎金,以期恢复系统正常运营。然而,对于受害者来说,支付赎金代价高昂。据报道,JBS公司为此支付了1100万美元,并且不能保证网络攻击者在收到赎金之后会信守承诺。许多受害者还会再次遭遇攻击。
幸运的是,很少有网络攻击始于勒索软件,可以让企业有机会在产生严重损害之前检测、隔离和缓解威胁。当企业为客户调查勒索软件事件时,通常会发现恶意软件或其他一些危害已经在企业的运营环境中发生了几个月到一年多的时间。
当进入受害者的系统时,网络攻击者会找到有用的信息,例如信用卡号码或社会保险号码,他们可以窃取这些信息而不被发现。网络攻击者为此部署勒索软件,并从违规行为中获取赎金。
降低勒索软件风险的五个步骤
如果企业可以在几天而不是几个月内检测到入侵行为,将显著限制网络攻击的影响——并且可能完全阻止网络攻击者使用勒索软件。但是,如果企业确实受到勒索软件的攻击,正确的准备工作可以帮助其快速恢复,同时减少对企业的业务的长期损害。
- 不要忽视资产管理。这听起来很明显,但安全的很大一部分是了解运营环境中的内容。如果企业不知道某个应用程序正在其网络中的某个系统上运行,则无法修补该应用程序。除了简单地清点拥有的系统之外,还要根据业务关键程度对它们进行优先级排序,并寻找它们之间的相互依赖关系。例如,除非企业的电子邮件服务器正在运行,否则其CRM软件可能无法运行。识别处于多个依赖关系中心或控制关键基础设施(例如工业设备)的关键系统,并专注于加强这些资产免受攻击。每家企业用于安全的资源都是有限的,则首先需要保护网络中最重要的部分。
- 网络分段。与大多数勒索软件攻击并非始于勒索软件一样,对关键基础设施的大多数攻击也并非始于破坏这些系统。与其相反,网络攻击者可以访问安全性较低、优先级较低的元素,并从那里跳到更具吸引力的目标。通过对企业的网络进行分段,这将使网络攻击者更难实现他们的目标。
- 密切监视系统。仅仅监控防火墙或服务器日志是不够的。为了快速检测当今互联环境中的入侵,企业必须定期检查数十个组件中的异常情况,其中包括云计算基础设施和与第三方的连接。因此,企业需要投资安全人员、工具和资源,以便可以有效地监控相关日志和工件。
- 正确备份系统。如果企业受到勒索软件的攻击,可能需要从头开始重建所有技术基础设施。因此,企业具有足够的备份来加快进程是非常重要的。不要假设企业已有的备份程序可以胜任这项任务——在考虑勒索软件的情况下检查它们。例如,由于勒索软件攻击通常先于长达数月的恶意软件感染,因此考虑将备份存储更长的时间,以便拥有一份干净、未受感染的备份副本。此外,企业改变备份策略,以便并非所有备份都在某台服务器或平台中。利用内部部署、云平台和异地选项来确保最大的覆盖范围。
- 在网络攻击后修复漏洞。如果企业让相同的漏洞再次被利用,那么恢复其系统是没有用的。在勒索软件攻击之后,投资取证以确定网络攻击者如何获得对系统的访问权限。然后,关闭该入口点,并解决允许网络攻击者或恶意软件在整个网络中寻找的任何漏洞。并且如上所述,避免使用感染了导致初始漏洞的恶意软件的备份。
勒索软件的威胁不会很快消失,尤其是对于接触关键基础设施的企业。虽然没有万无一失的解决方案,但通过加强监控、网络细分和备份最重要的系统来执行尽职调查可以显著降低风险,并在企业成为网络攻击者的目标时减轻损害。