Veritas Technologies的數據保護專家SonyaDuffin提供了構建多層彈性配置文件的10大步驟。

如果您像大多數IT專業人員一樣，勒索軟件攻擊的威脅可能會讓您夜不能寐。你有充分的理由擔心——勒索軟件不會歧視。每個行業的組織，無論是公共的還是私人的，都是潛在的受害者，如果他們還沒有成為受害者的話。

事實上，Veritas Technologies最近的研究表明，在過去12個月中，平均每個組織發生了2.57次勒索軟件攻擊，導致嚴重停機，其中10%的停機時間對業務造成了5次以上的影響。

盡管勒索軟件可能會對您的業務和聲譽造成嚴重損害，但它并非不可戰勝。事實上，它的強度取決于您組織中最薄弱的環節。好消息是，您的組織可以采取明確的步驟來防止成為網絡犯罪目標并降低攻擊可能使您的業務中斷的可能性。

讓我們來看看您今天可以實施的10個最有影響力的最佳實踐，以保護您的數據并確保業務彈性。

1. 提示系統升級和軟件更新

使用過時的軟件可能允許攻擊者利用未緩解的安全漏洞。為了減少攻擊面，請確保經常修補和升級所有基礎架構、操作系統和軟件應用程序。更新備份應用程序也很重要。不要用昨天的技術對抗今天的勒索軟件。

2. 實施3-2-1-1備份規則

如果您經常備份數據、系統映像和配置，那么如果勒索軟件確實發生了，您將始終有一個最新的位置來恢復操作。更好的是，通過使用3-2-1備份規則分散數據，更進一步避免單點故障。

這意味著在不同位置保留三個或更多副本，使用兩種不同的存儲介質并在異地存儲一份副本。這將減少攻擊者訪問所有內容的機會。這種3-2-1方法還確保其中一個漏洞不會危及您的所有副本，并且如果攻擊摧毀整個數據中心，它會提供選項。

許多組織現在還向3-2-1-1邁進了一步，將至少一個副本保存在不可變(無法更改)和不可磨滅(無法刪除)的存儲中。

3. 實施零信任模型

零信任模型是一種專注于不信任任何設備或用戶的心態，即使它們默認位于公司網絡內。

不僅需要密碼(是的，即使它又長又復雜)，還需要多因素身份驗證(MFA)和基于角色的訪問控制(RBAC)，監控和減輕惡意活動，并加密傳輸中的數據和靜止狀態，這會使泄露的數據無法使用。

它保證大聲和公開地分享您永遠不應該在任何地方使用工廠密碼。

此外，如果您限制對備份的訪問，您將關閉勒索軟件最常見的進入方法。許多組織正在轉向即時(JIT)安全實踐，即根據需要或在預定時間段內授予訪問權限，這對于關鍵和業務關鍵數據而言是需要考慮的。

4. 網絡分割

攻擊者喜歡單一連續、扁平的網絡。這意味著它們可以輕松地分布在您的整個基礎架構中。

阻止攻擊者并顯著減少其攻擊面的有效方法是網絡分段和微分段。使用此模型，網絡被劃分為多個較小網絡區域，并且訪問受到管理和限制，尤其是對您最重要的數據的訪問。

將最重要的基礎設施功能保持在網絡之外也是一種常見的最佳實踐。此外，作為貴公司零信任模型的一部分，請考慮對第三方供應商進行細分，因為供應商管理不善導致了許多對供應鏈的顯著攻擊。Sunbursthack和ColonialPipeline攻擊是兩個很好的例子。

5. 端點可見性

大多數組織都嚴重缺乏對遠程端點的可見性。現在，不良行為者越過前線安全人員并閑逛已成為一種常見做法-保持休眠足夠長的時間以定位弱點并找到適當的時間進行攻擊。實施能夠在整個環境中提供完整可見性、檢測異常、尋找并提醒您網絡上的惡意活動的工具至關重要，讓勒索軟件無處可藏。這將幫助您在不良行為者有機會采取行動之前減輕威脅和漏洞。

6. 不可變和不可磨滅的存儲

如前所述，保護您的數據免受勒索軟件侵害的最佳方法之一是實施不可變和不可擦除的存儲，以確保在確定的時間內無法更改、加密或刪除數據。然而，“不可變存儲”一詞如今已成為備份供應商的流行詞。尋找不僅是邏輯上的不變性，還包括物理不變性，并且包含內置安全層很重要。

該行業正在朝著兩種類型的不變性發展。在Veritas，我們稱它們為企業模式和合規模式。企業模式被稱為“四眼”方法——這意味著您需要兩只眼睛來驗證任何更改。例如，第一雙眼睛是備份管理員的，第二雙眼睛是安全管理員的。如果沒有雙方提供批準，則無法進行更改。合規模式是指不可改變的不變性，即數據在任何情況下都不可更改。兩種模式都包含一個完全獨立于OS的ComplianceClock，這樣即使OS時鐘被欺騙，也不會影響數據的發布。

7. 快速恢復

大多數勒索軟件攻擊者希望做兩件事：攻擊傳播的時間;和金錢(來自你)讓它停止。從歷史上看，恢復可能需要數周甚至數月的時間，因為它是一個涉及組織內多個利益相關者的極其手動和勞動密集型的過程。現在，可以使用靈活的替代選項來協調和自動化恢復——例如在公共云提供商上快速建立數據中心——這可以縮短停機時間并提供支付贖金的替代方案。有了正確的系統，如有必要，恢復時間可以減少到幾秒鐘。

8. 定期測試和驗證

制定全面的數據保護計劃并不意味著您的工作已經完成。測試可確保您的計劃在您需要時發揮作用。盡管初始測試可以確認計劃的所有方面確實有效，但定期測試至關重要，因為IT環境不斷變化。

重要的是，任何計劃都只和上次測試一樣好，如果你不測試，那么不能保證你能很快恢復!實施對無中斷、隔離的恢復或沙盒環境進行測試的解決方案也很重要。

9. 受過教育的員工

眾所周知，員工通常是攻擊的門戶。不要責怪你的員工——錯誤會發生。現代網絡釣魚攻擊和社會工程現在非常先進，以至于它們經常愚弄安全專業人員。

相反，專注于培訓員工識別網絡釣魚和社會工程策略;建立強密碼;安全瀏覽;利用MFA;并且始終使用安全的VPN，從不使用公共Wi-Fi。還要確保員工知道該怎么做以及如果他們成為受害者，應該向誰發出警報。

10. 網絡攻擊手冊

想象一下，如果您的組織中的每個人都知道在面臨勒索軟件攻擊時該做什么以及何時該做什么。如果您創建一個標準的網絡攻擊手冊來闡明角色，并在緊急情況下通過清晰的通信路徑和響應協議協調和授權跨職能團隊，這并非不可能。

一個很好的建議是在安全的短信應用程序上設置緊急通信渠道，以便您組織的高級領導在發生網絡攻擊時進行通信，因為公司電子郵件或聊天系統也可能因攻擊而關閉。聘請第三方機構來審核您團隊的策略并檢查您的工作也是一個好主意。

您有能力采取重要措施打擊勒索軟件并扭轉網絡犯罪的局面。通過整合包含上述最佳實踐和無可挑剔的網絡安全衛生的多層勒索軟件彈性策略，您可以在攻擊者站穩腳跟之前阻止他們。