僅僅想到勒索軟件就足以使CISO和安全團隊在夜間工作。受害者被迫選擇支付贖金給可能會或可能不會釋放其捕獲的網絡和數據的犯罪分子，或者可能花費數百萬美元自行刪除勒索軟件。根據最近的一份報告，當企業算出支付贖金的費用以及相關損失(例如停機時間，任何丟失的數據或硬件的價值，改善軟件的花費)時，單個勒索軟件事件的平均損失約為713,000美元。基礎架構以及修復品牌形象所需的時間和金錢。關鍵系統保持脫機狀態的時間越長，這個數字也會成倍增加。

[[279616]]

而且，這些成本可能會上升。例如，在今年的最近一次攻擊中，攻擊者要求為受此攻擊影響的每臺計算機支付13比特幣(超過75,000美元)，以便用戶可以重新獲得對其文件的訪問權限-遠遠高于正常的勒索需求，之前的贖金要求略低于13,000美元。

其實企業不必成為受害者

由于勒索軟件在經濟上的成功，它繼續吸引著網絡犯罪分子，他們發動大規模攻擊以吸引粗心的受害者，或者精心策劃針對最有可能償還目標的高度集中的攻擊。越來越多的技術犯罪分子通過Dark Web上越來越多的勒索軟件即服務門戶躍入潮流。

不管使用哪種方法，然而，在當今的數字世界，一個勒索軟件攻擊的更大的問題時，比如果。

不管這個消息看起來多么凄涼，組織實際上都有一種方法可以有效地防御勒索軟件。首先，使用一些最佳實踐來防止盡可能多的攻擊，然后采取適當的預防措施，以將任何成功攻擊的影響降至很低。

企業現在可以做的十件事

那么，這是每個組織作為其反勒索軟件策略的一部分需要考慮的10個關鍵步驟：

繪制企業的攻擊面

企業無法保護自己不知道需要保護的內容。首先確定環境中開展業務并維護活動清單所依賴的所有系統，設備和服務。此過程不僅可以幫助企業確定最易受攻擊的目標，還可以幫助企業確定系統的基準以進行恢復。

修補和升級易受攻擊的設備。

建立和維護常規的修補和升級協議只是一種基本的最佳實踐。不幸的是，太多組織根本不這樣做。當然，并非每個系統都可以脫機進行補丁修補。在那種情況下，需要使用嚴格的鄰近控制以及某種隔離或零信任策略來替換它們(在可能的情況下)或對其進行保護。

更新企業的基礎安全系統

除了更新網絡設備之外，企業還需要確保所有安全解決方案都在運行其最新更新。這對于企業的安全電子郵件證書尤其重要。大多數勒索軟件通過電子郵件進入組織，而郵件證書應該能夠保障了郵件傳輸過程中不被他人閱讀及篡改，并由郵件接收者進行驗證，確保電子郵件內容的完整性。此外，企業安全策略需要包括諸如應用程序白名單，部署網站SSL證書，特權限制，在關鍵系統之間實現零信任，強制執行強密碼策略以及要求使用多因素身份驗證之類的事情。

細分企業的網絡

網絡分段可確保將受感染的系統和惡意軟件包含在網絡的特定網段中。這包括隔離您的知識產權以及隔離員工和客戶的個人標識信息。同樣，將關鍵服務(如緊急服務或物理資源，如HVAC系統)保持在單獨的隔離網絡中。

保護企業的擴展網絡

確保在您的擴展網絡(包括運營技術(OT)網絡，云環境和分支機構)中復制部署在核心網絡上的安全解決方案，以防止出現安全漏洞。此外，還需要花一些時間來查看來自其他組織(客戶，合作伙伴，供應商)的與企業的網絡相關的任何連接。確保加固了這些連接，并確保適當的安全性和篩選。接下來，警告那些合作伙伴企業可能發現的任何問題，尤其是與通過這些連接共享或傳播惡意內容的可能性有關的問題。

隔離企業的恢復系統并備份數據

企業需要執行常規的數據和系統備份，并且同樣重要的是，將這些備份存儲在網絡外，這樣就不會在發生安全漏洞時破壞它們。組織還應該掃描這些備份以尋找惡意軟件的證據。企業還需要確保完全系統恢復所需的所有系統，設備和軟件都與網絡隔離，以便在企業需要從成功的攻擊中恢復時完全可用。

運行恢復演練

定期進行恢復演練可確保企業已備份的數據隨時可用，可以還原所有必需的資源，并且所有系統都能按預期運行。它還確保指揮鏈到位，并且所有個人和團隊都了解他們的責任。演練期間提出的任何問題都需要解決并記錄下來。

利用外部專家

建立受信任的專家和顧問的列表，如果出現妥協，可以與他們聯系，以幫助企業完成恢復過程。如果可能，企業還應該讓他們參與恢復練習。注意：組織還應立即將任何勒索軟件事件報告給CISA，本地FBI現場辦公室或特勤局現場辦公室。

注意勒索軟件事件

訂閱威脅情報和新聞提要，以跟上新的勒索軟件新聞，使企業的團隊有一個習慣來學習如何以及為何破壞系統，然后將這些課程應用于您自己的環境。

教育員工

員工不是企業安全鏈中最薄弱的環節，而必須成為企業的網絡防御的第一線。由于勒索軟件通常從網絡釣魚活動開始，因此必須對網絡犯罪分子進行新的欺騙手段進行教育，無論網絡犯罪分子是針對公司，個人還是移動設備的，都必須以此為手段。除了要求大多數員工參加的定期的年度安全檢查之外，還應考慮定期進行意識提高活動。30到60秒的快速視頻更新，網絡釣魚模擬游戲，執行人員發來的電子郵件以及內容豐富的海報有助于保持知名度。此外，運行自己的內部網絡釣魚活動可以幫助確定可能需要額外培訓的員工。

傳遞下去

當涉及網絡犯罪時，我們全都在一起。確保與行業同行，顧問和業務合作伙伴定期舉行會議，尤其是對企業的業務運營至關重要的會議，以分享這些策略并鼓勵其被采用。這不僅將確保他們不會在上游或下游傳播勒索軟件感染，對自己和企業造成責任，而且還可以保護企業，因為其網絡的任何中斷都可能對企業的業務產生連鎖反應。