从短期来看,勒索软件可能使公司损失数百万美元;从长期来看,甚至可能造成更大的损失,从而影响声誉和可靠性。从美国的知名医疗保健机构和零售商到中东的保险提供商,勒索软件攻击者是持续存在的网络安全威胁。
Gartner的高级分析师Paul Webber说:“在最近的一些勒索软件攻击案例中,受害组织向攻击者支付了巨额赎金,这可能是这种攻击越来越猖獗的原因之一。相反,如果组织希望减少勒索软件引起的损失,需要专注于准备和早期应对。”
CISO和安全领导人可以采用应对计划来降低勒索软件攻击的可能性,减小漏洞暴露面,并保护组织的安全。这项计划须涵盖以下六个行动。
1.进行初期的勒索软件评估
进行风险评估和渗透测试,以确定攻击面、安全防范现状以及防范攻击的工具、流程和技能等方面的准备状况。
Webber说:“在您以为付钱是唯一出路之前,请使用免费的勒索软件解密软件调查一番。”
2.实施勒索软件治理
即使在准备利用技术应对勒索软件攻击之前,也要制定牵涉组织中主要决策者的流程和合规程序。勒索软件可能会由问题立即演变为危机,导致组织收入减少、名誉扫地。
首席执行官、董事会及其他重要利益相关者等关键人员必须参与准备工作。万一发生了勒索软件攻击,会与董事会联系的很可能是新闻记者及其他外部利益相关者,而不是安全领导人或CISO。
3.保持一致的操作准备
进行频繁的练习和演习,以确保系统始终能够检测到勒索软件攻击。将事件响应场景的常规测试纳入到勒索软件响应计划中。
定期进行测试和重新测试,检查是否存在漏洞、不合规的系统以及错误配置。确保事件响应流程本身并不依赖可能受到勒索软件攻击或发生严重事件后不可用的IT系统。
4.备份、测试和重复勒索软件响应
不仅要备份数据,还要备份每个非标准应用软件及支撑性的IT基础架构。确保拥有频繁且可靠的备份和恢复功能。如果使用在线备份,确保它们不会被勒索软件加密。定期检查备份应用软件、存储和网络访问,并将其与预期或基准的活动进行比较,从而加固企业备份和恢复基础架构的部件、免受攻击。
创建特定的恢复时间目标(RTO)和恢复点目标(RPO)参数,保护备份存储介质和可访问性,从而为整个系统遭到勒索软件攻击后恢复关键应用软件做好准备。
5.实施最低权限原则
限制权限并拒绝未经授权的人访问设备。删除最终用户的本地管理员权限,并阻止标准用户安装应用软件,以集中管理的软件分发工具取而代之。
CISO和安全领导人须尽量部署多因子身份验证,对于特权帐户而言更是如此。加大对所有关键服务器、网络设备和目录服务实行验证日志记录的力度,并确保日志未删除。通知安全运营团队任何意外的活动,并确保他们主动查找异常的登录/失败的身份验证尝试。
6.教育和培训用户,了解勒索软件应对措施
了解哪些政府和地区当局提供了有关组织如何加强网络基础架构防范勒索软件的指导准则。 CISO和安全领导人可以利用这类指导准则为组织中的所有员工制定一项基本的培训计划。然而,勒索软件防备培训需要针对组织进行定制,那样才能取得更好的效果。
Webber说:“利用网络危机模拟工具进行模拟演练和培训,以便尽量模拟实际情况,从而使最终用户可以更有效地防备勒索软件。”
勒索软件及其他形式的恶意软件带来的挑战在于,黑客的手法和目标在不断变化。制定防备策略有助于减小损失并保护组织。
原文6 Ways to Defend Against a Ransomware Attack,作者:Manasi Sakpal
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】