/ 中存储网

企业应对勒索软件攻击的12步响应计划

2024-01-22 14:48:40 来源:中存储

企业应对勒索软件攻击的12步响应计划

短短几年内,勒索软件已成为网络犯罪分子的首选恶意软件工具,他们通过威胁企业数据丢失和停机来敛财。由于网络犯罪分子扩大了恶意软件的开发和传播规模,攻击频率正以惊人的速度增长,每月约有900万个新的恶意软件样本出现。

与此同时,网络犯罪分子还在不断地开发新的战术,利用人工智能(AI)等新技术提高攻击效率。例如,在勒索软件攻击中加密目标的关键数据已不再是勒索赎金的唯一方法。现在,大多数勒索软件攻击者都会在加密阶段之前先窃取企业的敏感数据,这样,他们就可以威胁说,如果企业不支付赎金,他们就会在网上泄露这些数据。攻击者还可能联系受攻击企业的客户和合作伙伴,威胁他们的私人数据也可能会被泄露,从而增加受害企业的压力。另一种策略是,如果企业不支付赎金,他们就会对企业的公共服务器进行DDoS攻击。

攻击者现在还在利用ChatGPT等新的人工智能工具来提高钓鱼电子邮件的表面真实性和可信度,自动扫描应用程序的漏洞,并改进多阶段攻击的协调性。人工智能对攻击的改进、新的勒索策略以及如雨后春笋般增长的攻击频率,导致网络保险公司放弃了对那些无法证明自己拥有强大防御能力的企业的承保,这使企业失去对恢复成本的有效保护。

尽管前景黯淡,但企业仍可采取一系列具体的措施,从而大幅降低勒索软件攻击成功的可能性,并在被攻击的情况下将停机时间和数据丢失的损失降至最低。安克诺斯建议采用以下12步响应计划来应对勒索软件的威胁,策略分为三类:主动防御措施、IT和员工的新技能和流程,以及强化的缓解攻击和恢复计划。

提升主动防御措施

  1. 部署能够通过行为识别勒索软件的反恶意软件措施,以补充传统的基于签名的防病毒软件。机器学习和人工智能是其中至关重要的组成部分,因为它们能够检测恶意行为模式,而不仅仅是将恶意软件的签名与已知的威胁数据库进行匹配。如果没有这种行为方法,任何反恶意软件措施都无法成功识别威胁行为者每天生成的成千上万个零日恶意软件。
  2. 更新应对措施,如电子邮件安全和URL过滤。2023年,电子邮件攻击增长了464%。网络犯罪分子在混淆电子邮件中的恶意链接和附件方面已经有了长足的进步,因此,企业所能采取的最有效的措施之一就是投资于最新的电子邮件安全系统,以便在网络钓鱼电子邮件进入员工收件箱之前将其检测出来并过滤掉。
  3. 部署可提高IT资源和数据流可见性的工具。勒索软件攻击事件发生后,管理层向IT部门提出的一个典型问题是:“攻击者是如何在我们毫不知情的情况下获取了我们1TB的敏感数据?”为了避免这种情况发生,请监控和记录基础设施内部的活动,包括对云服务的访问,并进行持续的日志分析。IT库存和数据丢失防护(DLP)工具也可以提供更好的可见性,以了解数据的存储位置和移动方式,从而检测数据盗窃并锁定潜在的风险。考虑部署终端检测和响应(EDR)技术,该技术使用实时监控、行为分析和机器学习来识别恶意软件、入侵和未经授权的访问。
  4. 消除外部和内部的网络风险。除必要情况外,禁用微软远程桌面协议(RDP),并通过禁用未使用的服务来加固终端。使用防火墙和入侵防御系统来限制入站互联网访问。将VPN访问限制在特定的地理位置,并制定远程工作策略,限制或禁止从个人设备访问企业资源。为了最大限度地减少来自恶意或粗心员工的潜在威胁,对企业内部的网络进行分段,以阻止勒索软件从受感染的系统传播到其他终端和服务器。
  5. 谨慎管理密码和访问权限。在2023年报告的外泄事件中,近一半是由于凭据泄露或被盗造成的。勒索软件攻击者通常利用泄露的密码、多个账户重复使用的密码、弱密码和单因素身份验证。攻击者通常会征用Mimikatz等IT运营工具来窃取存储在服务器内存中的密码。为应对这些威胁,应实施多因素身份验证,特别是在拥有敏感数据的系统上。一定要更改管理登录凭证的出厂默认设置。在被攻击后更改所有密码,因为众所周知,网络犯罪分子会使用与第一次攻击相同的被盗凭据再次攻击先前的目标。对访问权限采取最小特权原则。严格控制对具有强大管理工具或敏感数据的系统的访问权限,将除必要员工以外的所有员工排除在外,并尽可能使权限具有时间限制或仅可使用一次。

优化技能和流程

  1. 建立安全意识培训计划。网络钓鱼仍然是将恶意软件植入企业外部防御系统的最有效技术之一,因此,减少对电子邮件(以及短信、即时信息和社交媒体应用程序)中恶意附件和链接的点击次数可显著降低风险。通过定期向用户发送假冒的网络钓鱼电子邮件,培训用户提高对可疑通信的警惕性;为那些上当受骗的用户提供复习课程。确保每位员工都参与其中,尤其是高管,因为他们的权限较高,能够授权转账,是最受欢迎的目标。
  2. 实施自动化、程序化的漏洞扫描和补丁管理。典型的中小型企业很难及时安装技术供应商提供的软件补丁,导致漏洞平均超过90天得不到修补。网络犯罪分子意识到了这些漏洞,并不断进行探查。为了快速有效地修补这些漏洞,就必须将自动化工具应用到这项繁琐但又至关重要的IT运营工作中。
  3. 减少终端上的代理和运营中心的控制台的数量。随着时间的推移,一般的企业已经以零敲碎打的方式部署了网络安全和数据保护的解决方案,导致终端上的代理和IT操作台的管理控制台激增。多个终端代理会浪费系统资源,并且会经常相互冲突。在控制台之间来回切换降低了IT运营的效率,增加了培训的成本。尽可能地整合代理,消除空白和冲突,提高终端的性能。尽可能整合管理控制台功能,以最大限度地提高IT人员的效率和上岗速度。
  4. 利用NIST等安全框架,定期评估和更新针对勒索软件和其他网络威胁的防御和缓解策略。这些框架为确定安全补救措施的优先级以及持续改进技术、流程和人员技能提供了行之有效的最佳实践和指导。

 加强攻击缓解和恢复能力

  1. 实施强大的数据保护解决方案。攻击者总是拥有先发的优势,即使是最好的防御也可能无法击败新的战术和技术。假设攻击会在某个时候发生,并努力改进数据保护方案,将其作为最后一道防线。从最近的备份中恢复数据可以快速恢复业务运营,而无需支付赎金。但要注意的是,攻击者通常会试图找到并加密或删除备份存档、禁用备份和安全措施,然后使用其自己的备份工具来窃取数据,并将攻击扩散到整个网络。因此,将备份的多个副本(最好是加密的)保存在不同的介质和不同的位置是至关重要的:异地、离线和云中。定期对备份计划进行实时测试,以验证存档和流程的完整性,并确保能够迅速地执行恢复,以满足企业的恢复时间目标。最后,扫描备份中的恶意软件和未修补的漏洞,并在恢复系统和将其重新投入生产之前纠正这些问题。
  2. 考虑实施灾难恢复计划。被勒索软件攻击后的清理和恢复过程,包括从备份中恢复大量数据,可能会将恢复正常业务运营的时间推迟数天或数周。通过切换到复制的应用程序和数据(异地或云中)来立即恢复业务的能力,是避免这种长时间中断的重要手段。灾难恢复即服务的出现使这种应急措施变得更加经济实惠,管理起来也更加简单,即使对于小型企业来说也是如此。
  3. 制定事件响应计划,并定期进行测试和更新。将重要的内部和外部联系人的姓名和电话以硬拷贝的形式保存:勒索软件攻击可能会使您的在线记录无法访问。确定并测试备用内部通信渠道(如智能手机信息或社交媒体应用程序),以防常用系统无法运行。根据攻击的严重程度和阶段,制定沟通策略,确定需要通知哪些受众以及由谁通知:IT和安全运营与管理;执行领导层;法律和合规团队;合作伙伴和客户;媒体和公众;监管机构;银行家和投资者等。通过桌面演练和现场演练定期测试该计划。在攻击发生后收集取证数据,利用这些数据来识别并关闭导致入侵的漏洞,并相应地更新响应计划。

结论

任何希望降低日益增长的勒索软件威胁带来的风险的企业都必须积极防御,但同时也要为攻击成功的可能性制定计划。为了应对日益频繁和复杂的勒索软件威胁,企业领导者必须将防御和缓解规划的重点放在流程和技术上,以降低整体复杂性,并通过使用人工智能、自动化和集成来加强IT人员的能力。