正如網(wǎng)絡(luò)犯罪分子最近對(duì)美國第二大肉類加工商JBS公司進(jìn)行的勒索軟件攻擊所帶來的后果那樣,對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊可能會(huì)造成數(shù)字領(lǐng)域以外的更多傷害。通過加密關(guān)鍵數(shù)據(jù)和IT系統(tǒng),這次網(wǎng)絡(luò)攻擊迫使JBS公司關(guān)閉其生產(chǎn)加工設(shè)施數(shù)天的時(shí)間,只能勉強(qiáng)緩解在全國范圍內(nèi)的牛肉、豬肉和雞肉短缺情況。
只要勒索軟件攻擊對(duì)網(wǎng)絡(luò)犯罪分子來說仍然有利可圖且相對(duì)容易,它們將繼續(xù)對(duì)從食品供應(yīng)鏈到燃料管道的關(guān)鍵基礎(chǔ)設(shè)施構(gòu)成實(shí)質(zhì)的威脅。
人們通常將安全視為非此即彼的選擇——或者安全,或者不安全。實(shí)際上,安全更多是關(guān)于有效管理風(fēng)險(xiǎn)。任何企業(yè)都沒有100%阻止入侵嘗試和其他安全事件的把握。但是,企業(yè)可以采取措施確保在發(fā)生網(wǎng)絡(luò)攻擊時(shí),盡可能控制或盡可能降低損害。
緩解的關(guān)鍵是早期檢測——如果檢測不到則需要良好的備份
勒索軟件攻擊如此具有破壞性的原因之一是因?yàn)樗鼈兪侨绱斯_,很難掩蓋業(yè)務(wù)的全面中斷。而供應(yīng)短缺、恐慌性購買和價(jià)格飆升產(chǎn)生的一些問題,也吸引了媒體和民眾的關(guān)注。因此,許多受害者面臨巨大的壓力,需要迅速支付贖金,以期恢復(fù)系統(tǒng)正常運(yùn)營。然而,對(duì)于受害者來說,支付贖金代價(jià)高昂。據(jù)報(bào)道,JBS公司為此支付了1100萬美元,并且不能保證網(wǎng)絡(luò)攻擊者在收到贖金之后會(huì)信守承諾。許多受害者還會(huì)再次遭遇攻擊。
幸運(yùn)的是,很少有網(wǎng)絡(luò)攻擊始于勒索軟件,可以讓企業(yè)有機(jī)會(huì)在產(chǎn)生嚴(yán)重?fù)p害之前檢測、隔離和緩解威脅。當(dāng)企業(yè)為客戶調(diào)查勒索軟件事件時(shí),通常會(huì)發(fā)現(xiàn)惡意軟件或其他一些危害已經(jīng)在企業(yè)的運(yùn)營環(huán)境中發(fā)生了幾個(gè)月到一年多的時(shí)間。
當(dāng)進(jìn)入受害者的系統(tǒng)時(shí),網(wǎng)絡(luò)攻擊者會(huì)找到有用的信息,例如信用卡號(hào)碼或社會(huì)保險(xiǎn)號(hào)碼,他們可以竊取這些信息而不被發(fā)現(xiàn)。網(wǎng)絡(luò)攻擊者為此部署勒索軟件,并從違規(guī)行為中獲取贖金。
降低勒索軟件風(fēng)險(xiǎn)的五個(gè)步驟
如果企業(yè)可以在幾天而不是幾個(gè)月內(nèi)檢測到入侵行為,將顯著限制網(wǎng)絡(luò)攻擊的影響——并且可能完全阻止網(wǎng)絡(luò)攻擊者使用勒索軟件。但是,如果企業(yè)確實(shí)受到勒索軟件的攻擊,正確的準(zhǔn)備工作可以幫助其快速恢復(fù),同時(shí)減少對(duì)企業(yè)的業(yè)務(wù)的長期損害。
不要忽視資產(chǎn)管理。這聽起來很明顯,但安全的很大一部分是了解運(yùn)營環(huán)境中的內(nèi)容。如果企業(yè)不知道某個(gè)應(yīng)用程序正在其網(wǎng)絡(luò)中的某個(gè)系統(tǒng)上運(yùn)行,則無法修補(bǔ)該應(yīng)用程序。除了簡單地清點(diǎn)擁有的系統(tǒng)之外,還要根據(jù)業(yè)務(wù)關(guān)鍵程度對(duì)它們進(jìn)行優(yōu)先級(jí)排序,并尋找它們之間的相互依賴關(guān)系。例如,除非企業(yè)的電子郵件服務(wù)器正在運(yùn)行,否則其CRM軟件可能無法運(yùn)行。識(shí)別處于多個(gè)依賴關(guān)系中心或控制關(guān)鍵基礎(chǔ)設(shè)施(例如工業(yè)設(shè)備)的關(guān)鍵系統(tǒng),并專注于加強(qiáng)這些資產(chǎn)免受攻擊。每家企業(yè)用于安全的資源都是有限的,則首先需要保護(hù)網(wǎng)絡(luò)中最重要的部分。
網(wǎng)絡(luò)分段。與大多數(shù)勒索軟件攻擊并非始于勒索軟件一樣,對(duì)關(guān)鍵基礎(chǔ)設(shè)施的大多數(shù)攻擊也并非始于破壞這些系統(tǒng)。與其相反,網(wǎng)絡(luò)攻擊者可以訪問安全性較低、優(yōu)先級(jí)較低的元素,并從那里跳到更具吸引力的目標(biāo)。通過對(duì)企業(yè)的網(wǎng)絡(luò)進(jìn)行分段,這將使網(wǎng)絡(luò)攻擊者更難實(shí)現(xiàn)他們的目標(biāo)。
密切監(jiān)視系統(tǒng)。僅僅監(jiān)控防火墻或服務(wù)器日志是不夠的。為了快速檢測當(dāng)今互聯(lián)環(huán)境中的入侵,企業(yè)必須定期檢查數(shù)十個(gè)組件中的異常情況,其中包括云計(jì)算基礎(chǔ)設(shè)施和與第三方的連接。因此,企業(yè)需要投資安全人員、工具和資源,以便可以有效地監(jiān)控相關(guān)日志和工件。
正確備份系統(tǒng)。如果企業(yè)受到勒索軟件的攻擊,可能需要從頭開始重建所有技術(shù)基礎(chǔ)設(shè)施。因此,企業(yè)具有足夠的備份來加快進(jìn)程是非常重要的。不要假設(shè)企業(yè)已有的備份程序可以勝任這項(xiàng)任務(wù)——在考慮勒索軟件的情況下檢查它們。例如,由于勒索軟件攻擊通常先于長達(dá)數(shù)月的惡意軟件感染,因此考慮將備份存儲(chǔ)更長的時(shí)間,以便擁有一份干凈、未受感染的備份副本。此外,企業(yè)改變備份策略,以便并非所有備份都在某臺(tái)服務(wù)器或平臺(tái)中。利用內(nèi)部部署、云平臺(tái)和異地選項(xiàng)來確保最大的覆蓋范圍。
在網(wǎng)絡(luò)攻擊后修復(fù)漏洞。如果企業(yè)讓相同的漏洞再次被利用,那么恢復(fù)其系統(tǒng)是沒有用的。在勒索軟件攻擊之后,投資取證以確定網(wǎng)絡(luò)攻擊者如何獲得對(duì)系統(tǒng)的訪問權(quán)限。然后,關(guān)閉該入口點(diǎn),并解決允許網(wǎng)絡(luò)攻擊者或惡意軟件在整個(gè)網(wǎng)絡(luò)中尋找的任何漏洞。并且如上所述,避免使用感染了導(dǎo)致初始漏洞的惡意軟件的備份。
勒索軟件的威脅不會(huì)很快消失,尤其是對(duì)于接觸關(guān)鍵基礎(chǔ)設(shè)施的企業(yè)。雖然沒有萬無一失的解決方案,但通過加強(qiáng)監(jiān)控、網(wǎng)絡(luò)細(xì)分和備份最重要的系統(tǒng)來執(zhí)行盡職調(diào)查可以顯著降低風(fēng)險(xiǎn),并在企業(yè)成為網(wǎng)絡(luò)攻擊者的目標(biāo)時(shí)減輕損害。
