近年来,勒索软件攻击已成为一个重大且令人担忧的趋势,其频率和规模都在不断增加,仅2024年就发生了几起显著事件:
• 对United Health的网络攻击,被描述为“同类中最严重的事件”。
• 对爱荷华州一家公用事业公司的攻击,影响了37000名客户。
• 警告称可能有多个联邦机构成为攻击目标。
这些事件凸显了加强网络安全措施的迫切需求,传统的主要针对自然灾害的数据保护方法已明显不足,通常导致恢复缓慢,并使宝贵数据暴露在风险之中。停机时间的潜在后果正在推动企业寻找替代方案,因为传统数据保护方法已无法满足他们的需求。
在当今环境中,许多企业严重依赖于持续运行,短时间的停机都会造成财务破坏。长时间的停机——持续数小时、数天甚至数周——可能是灾难性的。现实促使组织探索提供更快恢复和增强安全性的替代网络保护和恢复方法,尤其是在更严格的法规驱动下,这种紧迫感愈加明显。以下是一些提高网络安全策略恢复速度的方法。
协调更强的安全态势
传统的数据备份和恢复方法是为攻击频率较低且破坏性较小的时代设计的,这些方法优先考虑成本效益,使用较低级别的存储。
此外,计算密集型的基于文件的安全扫描会减慢恢复速度,然而,这些方法依然普遍,因为企业认为它们易于实施并且足以满足基本的网络安全合规要求。
不幸的是,攻击者的能力显著增长,超越了许多企业调整防御的能力。当快速恢复比简单地满足合规标准更为重要时,这尤其如此。在这种情况下,建立强大、主动的内部安全态势的重要性显著增加。在(可能)发生灾难的情况下,你不希望发现自己后悔没有采取必要的步骤。
虽然外部合作伙伴可以在这方面提供宝贵的专业知识,但不能忽视强大的内部安全态势。要通过安全的视角重新规划你的组织,你需要加强内部团队。理想情况下,这些团队由一名专职的内部项目经理协调,他们负责高层次的规划和执行。他们的首要目标应该是评估:准确了解数据的位置及其访问者,识别系统中的潜在脆弱点,并定义现有的威胁暴露程度。
理论上,这很简单,但任何尝试过这种评估的人都知道,实践中可能会变得混乱。首先,项目经理负责整理和分析的数据可能是孤立的。仅仅搞清楚哪个团队拥有哪些数据就可能是一项巨大的挑战,特别是考虑到在一个组织中使用的各种有时互相冲突的工具。此外,还有大量数据可能会重复、不正确格式化或与不兼容的分析工具相关联,导致潜在的数据完整性问题。
专注于恢复速度
协调这些工作的人将面临两个任务:修复过去的错误,同时实施防止未来错误的协议。例如,在数据完整性方面,一旦现有数据得到验证,就需要跨团队获得对未来数据实践的认可,这些实践必须遵守特定规则,这种标准化要求公司文化发生转变。即使是最先进的自动化工具也无法弥补内部数据基础设施的分裂。“此或彼”的第三方解决方案可以提供帮助,但只有高质量的领导才能显著降低攻击风险。
当然,即使是最优秀的领导团队也无法完全消除这种风险。在当今的威胁环境中,攻击只是生活的一个事实。预防措施非常重要,但当防御最终被突破时,你需要一个应急计划。
Sophos 的研究表明,平均组织需要一个月的时间才能从中断中恢复。较长的备份窗口、过时的备份副本和长时间的停机都会导致缓慢的恢复时间目标(RTO)。根据行业的不同,停机可能会产生重大后果,包括业务和收入损失、运营放缓以及客户不满。
要实现有效策略,还需要考虑其他几个解决方案。例如,内部气隙数据金库可以充当隔离的存储库,这将数据从潜在的网络入侵中物理分离出来,并在创建后生成数据的不可变副本。配合持续数据保护(CDP)——可以近乎瞬时地将数据传输到金库——它可以帮助将数据丢失降到最低,并在几分钟或几小时内而不是几天或几周内将关键系统重新上线。
人工智能(AI)和机器学习(ML)在网络保护领域也显示出显著的前景。在环境中实施ML算法进行异常检测可以帮助减少受损数据进入金库的风险,这可以通过减少扫描和筛选不同时间戳以识别干净的数据和系统副本的需求来缩短恢复时间。
为了找到最适合组织特定需求的解决方案,对齐内部团队(即基础设施、运营和安全)至关重要。业务方的领导应指导服务水平协议(SLA)的制定,以反映公司的目标。评估组织的最佳能力并战略性地投资时间和资源是关键,这可能意味着考虑托管服务提供商(MSP)来处理公司非主要关注的任务,如网络安全。此外,将灾难恢复和网络安全策略整合到整体弹性计划中是实现全面风险管理方法的关键。
最后的思考
勒索软件的持续蔓延需要一种新的应对方法,真正的保护需要多方面的策略。实时数据保护、AI异常检测以及与安全专家的合作都是快速恢复和最小化停机时间的关键武器。
通过优先考虑RTO并采用分层安全方法,企业可以建立弹性并经受住勒索软件的风暴。记住,网络安全是一段持续的旅程,而不是终点。警惕、主动措施和适应是成功防御的关键。
