在网络犯罪分子最近对美国第二大肉类加工商JBSCorporation进行勒索软件攻击之后,对关键基础设施的网络攻击可能会造成数字以外的更多损害领域。通过加密关键数据和IT系统,网络攻击迫使JBS关闭其生产和加工设施数日,勉强缓解了全国范围内的牛肉、猪肉和鸡肉短缺问题。只要勒索软件攻击仍然有利可图并且对网络犯罪分子来说相对容易,它们将继续对从食品供应链到燃料管道的关键基础设施构成真正的威胁。人们通常将安全视为一种非此即彼的选择——要么安全,要么不安全。实际上,安全更多是关于有效管理风险。没有企业可以100%确定阻止入侵企图和其他安全事件。但是,企业可以采取措施确保在发生网络攻击时,尽可能地控制或减少损害。缓解的关键是早期检测——如果未检测到,则需要良好的备份勒索软件攻击具有如此破坏性的原因之一是因为它们非常公开,很难隐藏对业务的全面破坏。供应短缺、抢购和价格飙升引发的问题也引起了媒体和公众的关注。因此,许多受害者承受着巨大的压力,要求尽快支付赎金,以期恢复系统的正常运行。然而,支付赎金对受害者来说可能代价高昂。据报道,JBS为此支付了1100万美元,但无法保证网络攻击者在收到赎金后会信守诺言。许多受害者再次遭到袭击。幸运的是,很少有网络攻击是从勒索软件开始的,这让企业有机会在造成严重损害之前检测、隔离和缓解威胁。当企业为客户调查勒索软件事件时,通常会发现恶意软件或其他一些妥协已经在企业的运营环境中存在了几个月到一年多。当获得对受害者系统的访问权限时,网络攻击者会发现有用的信息,例如信用卡号或社会保险号,他们可以在不被发现的情况下窃取这些信息。网络攻击者为此部署勒索软件,并从漏洞中获取赎金。降低勒索软件风险的五个步骤如果组织能够在几天而不是几个月内检测到入侵,它将大大限制网络攻击的影响——并有可能阻止网络攻击者完全使用勒索软件。但是,如果企业确实受到勒索软件的攻击,正确的准备工作可以帮助企业快速恢复,同时减少对企业的长期损害。不要忽视资产管理。这听起来很明显,但安全的很大一部分是了解操作环境中的内容。如果企业不知道某个应用程序正在其网络中的系统上运行,则无法为该应用程序打补丁。除了简单地清点您拥有的系统之外,还可以根据业务重要性对它们进行优先排序,并寻找它们之间的相互依赖关系。例如,企业的CRM软件可能无法运行,除非其电子邮件服务器正在运行。确定处于多重依赖关系中心的关键系统或控制关键基础设施(例如工业设备),并重点加强这些资产免受攻击。每个企业的安全资源都是有限的,需要首先保护网络中最重要的部分。网络分割。正如大多数勒索软件攻击不是从勒索软件开始一样,大多数针对关键基础设施的攻击也不是从破坏这些系统开始的。相反,网络攻击者可以访问安全性较低、优先级较低的元素,并从那里跳到更具吸引力的目标。通过对企业网络进行分段,这将使网络攻击者更难实现他们的目标。密切监视系统。仅仅监控防火墙或服务器日志是不够的。为了快速检测当今互联环境中的入侵,组织必须定期检查数十个组件中的异常情况,包括云计算基础设施和与第三方的连接。因此,组织需要在安全人员、工具和资源方面进行投资,以便能够有效地监控相关日志和工件。妥善备份系统。如果一家企业受到勒索软件的攻击,它可能需要从头开始重建所有技术基础设施。因此,对于企业而言,拥有足够的备份以加快流程非常重要。不要假设您的企业已经拥有的备份程序能够胜任这项任务——检查它们时要考虑到勒索软件。例如,由于勒索软件攻击通常先于长达数月的恶意软件感染,因此请考虑将备份存储更长的时间,以便您拥有干净、未受感染的备份副本。此外,企业会更改备份策略,因此并非所有备份都在某个服务器或平台上。利用本地、云和异地选项来确保最大覆盖范围。在网络攻击后修复漏洞。如果允许再次利用相同的漏洞,那么恢复业务系统就没有用。在勒索软件攻击后,投资于取证以确定网络攻击者如何获得对系统的访问权限。然后,关闭该入口点并解决任何允许网络攻击者或恶意软件在整个网络中搜索的漏洞。并且如上所述,避免使用感染了导致最初漏洞的恶意软件的备份。勒索软件的威胁不会很快消失,尤其是对于暴露于关键基础设施的企业而言。虽然没有万无一失的解决方案,但如果企业成为网络攻击者的目标,通过加强监控、网络分段和备份最重要的系统来执行尽职调查可以显着降低风险并减轻损害。
