全球向遠程勞動力的轉移重新定義了組織構建其商業模式的方式。隨著高管們重新制定工作政策以適應遠遠超出最初預期的遠程辦公需求，一個新的工作時代將出現：混合勞動力，即勞動力在很大程度上分布于辦公室和遠程辦公環境中。雖然這一轉變為組織和員工帶來了機遇，但也為不良行為者打開了新的大門，因為IT部門在混合勞動力時代需要承擔更多職責，以確保敏感數據無論在企業網絡的內部還是外部都安全無虞，會在不堪重負時被不良行為者伺機破壞。

　　威脅公司數據的攻擊方式多種多樣，其中勒索病毒被全球組織視為最大風險，僅在2019年就增長了41%。重要的是，在適應混合勞動力模式之前，企業應專注于了解這一威脅，并部署相應的策略以應對、防范和修復事故。這將防止組織成為攻擊的受害者，一旦被攻擊，必將造成丟失數據或支付贖金的惡果。為了打贏這場勒索病毒戰爭，組織應該為IT部門制定一個計劃，以確保他們具有應對任何攻擊所需的彈性。接下來我們將詳細探討彈性抵御勒索病毒的三個關鍵步驟。

　　先專注于培訓，才能避免被動地應對威脅

　　在確定威脅因素后，培訓是邁向彈性抵御道路的第一步。為了避免陷入被動，一旦勒索軟件事件發生，重要的是要了解三種主要的進入機制：互聯網連接的RDP或其它遠程訪問、網絡釣魚攻擊和軟件漏洞。一旦組織知道了威脅的根源，他們就可以進行策略培訓，以完善IT和用戶安全性，并制定更多備選策略。識別最重要的三種機制可以幫助IT管理部門將RDP服務器與備份組件隔離，集成各種工具來評估網絡釣魚攻擊的威脅，以幫助發現漏洞和正確響應，同時告知用戶定期更新關鍵類別的IT資產，如操作系統、應用程序、數據庫和設備固件等。

　　此外，了解如何使用勒索病毒防御工具將有助于IT組織熟悉不同的恢復方案。無論是在檢測到惡意軟件時將中止的安全恢復進程，還是在恢復系統之前可以檢測到勒索病毒的軟件，執行不同恢復場景的能力對于組織而言都是非常寶貴的。當攻擊確實發生時，他們將認識和了解這一攻擊，并對恢復過程充滿信心。通過認真對待培訓，組織可以減少被勒索病毒攻擊的風險、成本以及應對突如其來的勒索病毒帶來的壓力。

　　實施備份解決方案以保持業務連續性

　　彈性抵御勒索病毒的關鍵是實施備份基礎架構，從而創建和維護強大的業務連續性。組織需要有一個可靠的系統來保護其服務器，并使其不必再為取回數據而付費。組織也應考慮使備份服務器與互聯網隔離，并限制將共享賬戶的訪問權限授予所有用戶。相反，需要在服務器內分配與用戶相關的特定任務，這些任務需要雙重身份驗證才能進行遠程桌面訪問。此外，與3-2-1規則配合使用的網閘式離線數據存儲、離線或不可變數據副本，將提供關鍵防御措施以應對勒索病毒、內部威脅和意外刪除。

　　此外，盡早發現勒索病毒威脅為IT組織帶來顯著的優勢。這需要適當的工具來標記可能的威脅活動。對于遠程移動的終端設備，為識別風險而設置的備份存儲庫將使IT部門進一步深入了解表面區域，以分析潛在的威脅。如果實施方案無法阻止攻擊，則另一個可行的選擇是盡可能加密備份以增加保護層，這樣可以避免將數據泄漏給威脅者，畢竟他們只想獲得贖金，并不想解密數據。當發生勒索病毒攻擊時，沒有單一的恢復方法，除了這些方法外，還有許多其它選擇。需要記住的重要一點是，恢復能力將取決于備份解決方案的實施方式、威脅行為和補救過程。需要花時間研究可用的方法，并確保實施解決方案以保護公司。

　　提前做好補救準備

　　即使組織已經采取了一些預防措施，比如在攻擊發生前就通過培訓員工和實施技術來應對勒索病毒，但組織仍應做好出現威脅時的補救準備。針對攻擊的層層防御大有裨益，但組織還需要具體規劃發現威脅時的處理方式。如果發生勒索病毒攻擊，組織需要有適當的支持來指導恢復過程，以使備份不會面臨風險。溝通是關鍵，在組織內部或者外部創建一份涵蓋安全部門、事件響應和身份管理的聯系人通訊錄，將有助于簡化補救過程。

　　接下來，建立預先批準的決策鏈。當需要做出決策時，例如在發生攻擊時是恢復公司數據還是進行故障轉移，組織應該知道由誰來進行決策。如果具備恢復條件，IT部門應熟悉采用哪些恢復措施來應對勒索病毒。在將系統重新連接到網絡之前，應執行額外的安全檢查，就像在恢復完成之前進行防病毒掃描一樣，并確保流程的正確運行。該過程完成后，實施徹底的強制更改密碼，以減少威脅的再次出現。

　　勒索病毒對大大小小的組織構成的威脅都是真實存在的。盡管沒有人能夠預測攻擊發生的時間或方式，但是擁有強大、多層的防御和策略的IT組織將有更大的恢復機會。無論是在辦公室、遠程還是混合辦公環境，通過適當的準備，上述步驟可以使組織提高抵御勒索病毒的彈性，并避免數據丟失、財務損失、商業信譽受損或更多傷害。