全球向远程劳动力的转移重新定义了组织构建其商业模式的方式。随着高管们重新制定工作政策以适应远远超出最初预期的远程办公需求,一个新的工作时代将出现:混合劳动力,即劳动力在很大程度上分布于办公室和远程办公环境中。虽然这一转变为组织和员工带来了机遇,但也为不良行为者打开了新的大门,因为IT部门在混合劳动力时代需要承担更多职责,以确保敏感数据无论在企业网络的内部还是外部都安全无虞,会在不堪重负时被不良行为者伺机破坏。
威胁公司数据的攻击方式多种多样,其中勒索病毒被全球组织视为最大风险,仅在2019年就增长了41%。重要的是,在适应混合劳动力模式之前,企业应专注于了解这一威胁,并部署相应的策略以应对、防范和修复事故。这将防止组织成为攻击的受害者,一旦被攻击,必将造成丢失数据或支付赎金的恶果。为了打赢这场勒索病毒战争,组织应该为IT部门制定一个计划,以确保他们具有应对任何攻击所需的弹性。接下来我们将详细探讨弹性抵御勒索病毒的三个关键步骤。
先专注于培训,才能避免被动地应对威胁
在确定威胁因素后,培训是迈向弹性抵御道路的第一步。为了避免陷入被动,一旦勒索软件事件发生,重要的是要了解三种主要的进入机制:互联网连接的RDP或其它远程访问、网络钓鱼攻击和软件漏洞。一旦组织知道了威胁的根源,他们就可以进行策略培训,以完善IT和用户安全性,并制定更多备选策略。识别最重要的三种机制可以帮助IT管理部门将RDP服务器与备份组件隔离,集成各种工具来评估网络钓鱼攻击的威胁,以帮助发现漏洞和正确响应,同时告知用户定期更新关键类别的IT资产,如操作系统、应用程序、数据库和设备固件等。
此外,了解如何使用勒索病毒防御工具将有助于IT组织熟悉不同的恢复方案。无论是在检测到恶意软件时将中止的安全恢复进程,还是在恢复系统之前可以检测到勒索病毒的软件,执行不同恢复场景的能力对于组织而言都是非常宝贵的。当攻击确实发生时,他们将认识和了解这一攻击,并对恢复过程充满信心。通过认真对待培训,组织可以减少被勒索病毒攻击的风险、成本以及应对突如其来的勒索病毒带来的压力。
实施备份解决方案以保持业务连续性
弹性抵御勒索病毒的关键是实施备份基础架构,从而创建和维护强大的业务连续性。组织需要有一个可靠的系统来保护其服务器,并使其不必再为取回数据而付费。组织也应考虑使备份服务器与互联网隔离,并限制将共享账户的访问权限授予所有用户。相反,需要在服务器内分配与用户相关的特定任务,这些任务需要双重身份验证才能进行远程桌面访问。此外,与3-2-1规则配合使用的网闸式离线数据存储、离线或不可变数据副本,将提供关键防御措施以应对勒索病毒、内部威胁和意外删除。
此外,尽早发现勒索病毒威胁为IT组织带来显著的优势。这需要适当的工具来标记可能的威胁活动。对于远程移动的终端设备,为识别风险而设置的备份存储库将使IT部门进一步深入了解表面区域,以分析潜在的威胁。如果实施方案无法阻止攻击,则另一个可行的选择是尽可能加密备份以增加保护层,这样可以避免将数据泄漏给威胁者,毕竟他们只想获得赎金,并不想解密数据。当发生勒索病毒攻击时,没有单一的恢复方法,除了这些方法外,还有许多其它选择。需要记住的重要一点是,恢复能力将取决于备份解决方案的实施方式、威胁行为和补救过程。需要花时间研究可用的方法,并确保实施解决方案以保护公司。
提前做好补救准备
即使组织已经采取了一些预防措施,比如在攻击发生前就通过培训员工和实施技术来应对勒索病毒,但组织仍应做好出现威胁时的补救准备。针对攻击的层层防御大有裨益,但组织还需要具体规划发现威胁时的处理方式。如果发生勒索病毒攻击,组织需要有适当的支持来指导恢复过程,以使备份不会面临风险。沟通是关键,在组织内部或者外部创建一份涵盖安全部门、事件响应和身份管理的联系人通讯录,将有助于简化补救过程。
接下来,建立预先批准的决策链。当需要做出决策时,例如在发生攻击时是恢复公司数据还是进行故障转移,组织应该知道由谁来进行决策。如果具备恢复条件,IT部门应熟悉采用哪些恢复措施来应对勒索病毒。在将系统重新连接到网络之前,应执行额外的安全检查,就像在恢复完成之前进行防病毒扫描一样,并确保流程的正确运行。该过程完成后,实施彻底的强制更改密码,以减少威胁的再次出现。
勒索病毒对大大小小的组织构成的威胁都是真实存在的。尽管没有人能够预测攻击发生的时间或方式,但是拥有强大、多层的防御和策略的IT组织将有更大的恢复机会。无论是在办公室、远程还是混合办公环境,通过适当的准备,上述步骤可以使组织提高抵御勒索病毒的弹性,并避免数据丢失、财务损失、商业信誉受损或更多伤害。
(本文由Veeam产品战略高级总监Rick Vanover撰写)