Veritas Technologies的数据保护专家SonyaDuffin提供了构建多层弹性配置文件的10大步骤。
如果您像大多数IT专业人员一样,勒索软件攻击的威胁可能会让您夜不能寐。你有充分的理由担心——勒索软件不会歧视。每个行业的组织,无论是公共的还是私人的,都是潜在的受害者,如果他们还没有成为受害者的话。
事实上,Veritas Technologies最近的研究表明,在过去12个月中,平均每个组织发生了2.57次勒索软件攻击,导致严重停机,其中10%的停机时间对业务造成了5次以上的影响。
尽管勒索软件可能会对您的业务和声誉造成严重损害,但它并非不可战胜。事实上,它的强度取决于您组织中最薄弱的环节。好消息是,您的组织可以采取明确的步骤来防止成为网络犯罪目标并降低攻击可能使您的业务中断的可能性。
让我们来看看您今天可以实施的10个最有影响力的最佳实践,以保护您的数据并确保业务弹性。
1. 提示系统升级和软件更新
使用过时的软件可能允许攻击者利用未缓解的安全漏洞。为了减少攻击面,请确保经常修补和升级所有基础架构、操作系统和软件应用程序。更新备份应用程序也很重要。不要用昨天的技术对抗今天的勒索软件。
2. 实施3-2-1-1备份规则
如果您经常备份数据、系统映像和配置,那么如果勒索软件确实发生了,您将始终有一个最新的位置来恢复操作。更好的是,通过使用3-2-1备份规则分散数据,更进一步避免单点故障。
这意味着在不同位置保留三个或更多副本,使用两种不同的存储介质并在异地存储一份副本。这将减少攻击者访问所有内容的机会。这种3-2-1方法还确保其中一个漏洞不会危及您的所有副本,并且如果攻击摧毁整个数据中心,它会提供选项。
许多组织现在还向3-2-1-1迈进了一步,将至少一个副本保存在不可变(无法更改)和不可磨灭(无法删除)的存储中。
3. 实施零信任模型
零信任模型是一种专注于不信任任何设备或用户的心态,即使它们默认位于公司网络内。
不仅需要密码(是的,即使它又长又复杂),还需要多因素身份验证(MFA)和基于角色的访问控制(RBAC),监控和减轻恶意活动,并加密传输中的数据和静止状态,这会使泄露的数据无法使用。
它保证大声和公开地分享您永远不应该在任何地方使用工厂密码。
此外,如果您限制对备份的访问,您将关闭勒索软件最常见的进入方法。许多组织正在转向即时(JIT)安全实践,即根据需要或在预定时间段内授予访问权限,这对于关键和业务关键数据而言是需要考虑的。
4. 网络分割
攻击者喜欢单一连续、扁平的网络。这意味着它们可以轻松地分布在您的整个基础架构中。
阻止攻击者并显着减少其攻击面的有效方法是网络分段和微分段。使用此模型,网络被划分为多个较小网络区域,并且访问受到管理和限制,尤其是对您最重要的数据的访问。
将最重要的基础设施功能保持在网络之外也是一种常见的最佳实践。此外,作为贵公司零信任模型的一部分,请考虑对第三方供应商进行细分,因为供应商管理不善导致了许多对供应链的显着攻击。Sunbursthack和ColonialPipeline攻击是两个很好的例子。
5. 端点可见性
大多数组织都严重缺乏对远程端点的可见性。现在,不良行为者越过前线安全人员并闲逛已成为一种常见做法-保持休眠足够长的时间以定位弱点并找到适当的时间进行攻击。实施能够在整个环境中提供完整可见性、检测异常、寻找并提醒您网络上的恶意活动的工具至关重要,让勒索软件无处可藏。这将帮助您在不良行为者有机会采取行动之前减轻威胁和漏洞。
6. 不可变和不可磨灭的存储
如前所述,保护您的数据免受勒索软件侵害的最佳方法之一是实施不可变和不可擦除的存储,以确保在确定的时间内无法更改、加密或删除数据。然而,“不可变存储”一词如今已成为备份供应商的流行词。寻找不仅是逻辑上的不变性,还包括物理不变性,并且包含内置安全层很重要。
该行业正在朝着两种类型的不变性发展。在Veritas,我们称它们为企业模式和合规模式。企业模式被称为“四眼”方法——这意味着您需要两只眼睛来验证任何更改。例如,第一双眼睛是备份管理员的,第二双眼睛是安全管理员的。如果没有双方提供批准,则无法进行更改。合规模式是指不可改变的不变性,即数据在任何情况下都不可更改。两种模式都包含一个完全独立于OS的ComplianceClock,这样即使OS时钟被欺骗,也不会影响数据的发布。
7. 快速恢复
大多数勒索软件攻击者希望做两件事:攻击传播的时间;和金钱(来自你)让它停止。从历史上看,恢复可能需要数周甚至数月的时间,因为它是一个涉及组织内多个利益相关者的极其手动和劳动密集型的过程。现在,可以使用灵活的替代选项来协调和自动化恢复——例如在公共云提供商上快速建立数据中心——这可以缩短停机时间并提供支付赎金的替代方案。有了正确的系统,如有必要,恢复时间可以减少到几秒钟。
8. 定期测试和验证
制定全面的数据保护计划并不意味着您的工作已经完成。测试可确保您的计划在您需要时发挥作用。尽管初始测试可以确认计划的所有方面确实有效,但定期测试至关重要,因为IT环境不断变化。
重要的是,任何计划都只和上次测试一样好,如果你不测试,那么不能保证你能很快恢复!实施对无中断、隔离的恢复或沙盒环境进行测试的解决方案也很重要。
9. 受过教育的员工
众所周知,员工通常是攻击的门户。不要责怪你的员工——错误会发生。现代网络钓鱼攻击和社会工程现在非常先进,以至于它们经常愚弄安全专业人员。
相反,专注于培训员工识别网络钓鱼和社会工程策略;建立强密码;安全浏览;利用MFA;并且始终使用安全的VPN,从不使用公共Wi-Fi。还要确保员工知道该怎么做以及如果他们成为受害者,应该向谁发出警报。
10. 网络攻击手册
想象一下,如果您的组织中的每个人都知道在面临勒索软件攻击时该做什么以及何时该做什么。如果您创建一个标准的网络攻击手册来阐明角色,并在紧急情况下通过清晰的通信路径和响应协议协调和授权跨职能团队,这并非不可能。
一个很好的建议是在安全的短信应用程序上设置紧急通信渠道,以便您组织的高级领导在发生网络攻击时进行通信,因为公司电子邮件或聊天系统也可能因攻击而关闭。聘请第三方机构来审核您团队的策略并检查您的工作也是一个好主意。
您有能力采取重要措施打击勒索软件并扭转网络犯罪的局面。通过整合包含上述最佳实践和无可挑剔的网络安全卫生的多层勒索软件弹性策略,您可以在攻击者站稳脚跟之前阻止他们。