勒索软件已成为最大的网络安全威胁之一。《Veeam 2020年数据保护趋势报告》指出,网络导致的停机时间最多,勒索软件已成为组织最大的担忧。近年来,国内企业被勒索病毒攻击的事件层出不穷。2019年5月26日,易到用车服务器遭到黑客攻击,APP全面瘫痪,黑客索要巨额比特币。2020年3月26日,京东等网站被中间人劫持攻击。波及多个省市,涉及所有运营商。2020年4月27日,B站知名UP主“党妹”被勒索攻击,数百G视频资料丢失,损失惨重。面对勒索软件的威胁,组织需要意识到威胁并做好准备、防御和补救。这是避免以后在勒索软件攻击期间做出计划外或无效响应的关键步骤。处理勒索软件需要强大的多层防御和战略,其中包括三个关键要素:培训、执法和补救。此外,拥有强大的数据备份、恢复和还原方法对于在发生事件时保护业务连续性至关重要。培训业务利益相关者培训应针对两个主要受众:组织中的IT员工和用户。为这两个群体进行培训很重要,因为这两个角色都可能构成威胁。勒索软件的主要入口点是通过远程桌面协议(RDP)或其他远程访问机制、网络钓鱼和软件更新。简而言之,在大多数情况下,网络黑客不会付出与高额回报相称的努力。从攻击向量的角度理解这三种主要机制,对于理解在哪些方面投入最多精力来确保业务弹性非常有帮助。大多数IT管理员在日常工作中使用RDP,许多RDP服务器直接连接到网络。现实情况是必须停止到网络的RDP。IT管理员可以在特殊IP地址、重定向RDP端口和复杂密码等方面发挥创意,但超过一半的勒索软件都是通过RDP进入的。这告诉我们,在线公开RDP服务器不符合主动勒索软件弹性策略。另一种常见的渗透方式是通过网络钓鱼电子邮件。我们都收到过看起来不对劲的电子邮件,正确的做法是删除邮件。但是,并非每个用户都以相同的方式处理这些情况。有一些流行的工具可以评估组织的网络钓鱼风险,例如Gophish和KnowBe4等。结合帮助员工识别网络钓鱼电子邮件或链接的培训,自我评估工具可以成为有效的第一道防线。第三种潜入方式是利用漏洞的风险。使系统保持最新不仅是传统的IT职责,而且比以往任何时候都更加重要。虽然这不是一项艰巨的任务,但如果勒索软件利用已知和已修补的漏洞,这对黑客来说似乎是一笔划算的交易。注意使关键IT资产类别保持最新:操作系统、应用程序、数据库和设备固件。许多勒索软件,包括WannaCry和Petya,都是基于以前发现和纠正的漏洞。实施和补救即使是遵循最佳实践来抵御勒索软件的组织也面临风险。虽然培训是至关重要的一步,但组织必须做好最坏的打算。IT和业务领导者的一个好处是拥有弹性备份存储。在Veeam,我们提倡将3-2-1规则作为通用数据管理策略。3-2-1规则建议在至少两种不同类型的媒体上至少应有重要数据的三个副本,其中至少一个不在线。这个规则的好处在于它不需要任何特定类型的硬件,而且它的通用性足以处理几乎所有的故障场景。3-2-1策略中的“1”副本必须具有很强的弹性,即“看门人离线数据存储”、“离线”或“不可变”。不同形式的媒体可以以超级弹性的方式存储此数据副本,包括磁带媒体、S3或S3兼容对象存储中的不可变备份、网守离线数据存储和离线媒体,或者备份和灾难恢复软件即服务。尽管有这种培训和技术实施,但组织必须准备好在病毒潜入时采取补救措施。在Veeam,我们的方法很简单。不要支付赎金,唯一的选择就是恢复数据。此外,组织需要在识别威胁时计划对策。第一步是联系支持。Veeam客户可以联系专门的团队,指导他们如何在勒索软件发生时恢复数据。不要让您的备份处于危险之中,因为它们对您的恢复能力至关重要。在任何类型的灾难中,通信都是首先要克服的挑战之一。组织需要制定一个计划,了解如何与团队外的合适人员进行沟通。这将包括文本列表、电话号码或通常用于协调扩展团队的其他通信机制。您还需要此地址簿中的内部或外部安全专家、事件响应专家和身份管理专家。规划也需要决策权。组织必须在事件发生之前决定由谁负责恢复或故障转移。一旦做出恢复决定,组织需要在使系统重新联机之前进行额外的安全检查。组织还必须确定完整的虚拟机恢复是最好的做法,还是文件级恢复更有意义。最后,恢复过程本身必须是安全的,对所有系统进行全面的防病毒和反恶意软件检查,并强制用户在恢复后更改密码。总而言之,虽然勒索软件的威胁是真实存在的,但通过适当的准备,组织可以提高对事件的恢复能力,以最大限度地降低数据丢失、财务损失和声誉受损的风险。这就需要通过培训、实施和补救三种策略来解决问题。首先,应对您的IT团队和员工进行培训,以最大限度地降低风险并加以预防。其次,解决方案要做好,确保数据安全和备份。最后,如果您之前的防御措施失败,请准备好使用完整的备份和灾难恢复功能修复数据系统。
