勒索軟件攻擊對全球諸多企業(yè)造成了毀滅性后果。這些損失超出了與勒索加密數(shù)據(jù)相關(guān)的金錢損失，還包括運營中斷、客戶不滿、監(jiān)管罰款，以及最糟糕且難以挽回的聲譽損失。

然而，殘酷的現(xiàn)實是，勒索軟件事件根本無法完全避免。作為“最薄弱環(huán)節(jié)的”人類仍將繼續(xù)打開電子郵件，并單擊鏈接啟動惡意軟件。如今，勒索軟件攻擊已經(jīng)變得十分普遍，我們迫切需要強大且全面的預(yù)防及保護措施。

安全防護和災(zāi)難恢復(fù)(DR)都是必不可少的措施，完整的解決方案需要技術(shù)、流程以及高技能、經(jīng)驗豐富的技術(shù)專家。企業(yè)可以拼湊出完整的解決方案，但通常缺乏經(jīng)驗豐富的技術(shù)專家來完成它們，一方面原因是技術(shù)人才十分短缺;另一方面是人才雇傭成本也非常高。

這種情況下，勒索軟件保護即服務(wù)(Ransomware Protection as a Service，簡稱RPaaS)應(yīng)運而生，可為企業(yè)提供勒索軟件事件前后的全面性服務(wù)。在RPaaS模式中，既有獨立的預(yù)防和災(zāi)難恢復(fù)服務(wù)，也有連接這兩個領(lǐng)域的檢測解決方案。

此前，一些人認為，制定自動化災(zāi)難恢復(fù)(DR)計劃意味著能夠保護數(shù)據(jù)免受網(wǎng)絡(luò)攻擊，而其他人則認為，企業(yè)需要單獨的網(wǎng)絡(luò)攻擊恢復(fù)計劃。這些觀點都不正確——現(xiàn)代彈性策略必須考慮所有威脅，包括勒索軟件。

問題在于，勒索軟件攻擊淘汰了傳統(tǒng)的安全防護、災(zāi)難恢復(fù)和定期恢復(fù)時間目標(biāo)(RTO)方法。如果失效備援(failover，為系統(tǒng)備援能力的一種，當(dāng)系統(tǒng)中其中一項設(shè)備失效而無法運作時，另一項設(shè)備即可自動接手原失效系統(tǒng)執(zhí)行的工作)的位置變成了犯罪現(xiàn)場怎么辦?你將在哪里恢復(fù)?

RPaaS要求兩個陣營——具有災(zāi)難恢復(fù)專業(yè)知識和網(wǎng)絡(luò)安全專業(yè)知識的陣營——以一個單一的目標(biāo)進行合作，從各自的專業(yè)領(lǐng)域?qū)σ粋€計劃進行改進，鼓勵企業(yè)采用可行的最佳選擇，而不是為零散的場景保留不同的計劃。

熟悉美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)的企業(yè)都了解其強大安全態(tài)勢的五個功能：

• 識別。
• 保護。
• 檢測。
• 響應(yīng)。
• 恢復(fù)。

許多人可能認為NIST是一種古板的、過于官僚的方法，但這五項功能絕對是必不可少的。

勒索軟件是一種獨特的網(wǎng)絡(luò)攻擊類型，沒有任何保護策略始終是100%有效的(由于前面提到的人為因素)，因此“響應(yīng)”和“恢復(fù)”的災(zāi)難恢復(fù)(DR)要素必不可少。

為了實現(xiàn)全覆蓋并避免五項功能中的各方出現(xiàn)重疊現(xiàn)象，RPaaS拆分為三個子類別來解決業(yè)務(wù)的預(yù)防、檢測和恢復(fù)問題：

安全運營中心即服務(wù)(SOCaaS)

在RPaaS的第一部分中，安全運營中心(SOC)團隊會監(jiān)控威脅活動并發(fā)出警告，以在攻擊發(fā)生之前阻止它們。這個訓(xùn)練有素的專家團隊專注于通過利用防火墻、零容忍安全、端點、EDR、MDR、SIEM和其他檢測及預(yù)防工具，來快速識別和遏制惡意活動。

勒索軟件響應(yīng)即服務(wù)(RRaaS)

這些恢復(fù)措施包括失效備援、取證、數(shù)據(jù)清理、不可變備份以及其他必要舉措。勒索軟件響應(yīng)即服務(wù)(RRaaS)的流程專注于測試和文檔化，全過程配備了復(fù)制、備份、云恢復(fù)和數(shù)據(jù)加密技術(shù)，將災(zāi)難恢復(fù)即服務(wù)(DRaaS)和備份即服務(wù)(BaaS)結(jié)合在一起，以便在勒索軟件事件發(fā)生時建立可靠的策略。

它還擴展了用于托管復(fù)制和恢復(fù)模型的氣隙(air gapping)、多因素身份驗證(MFA)及不可變備份的標(biāo)準(zhǔn)方法，以快速實現(xiàn)正常運行，并在主數(shù)據(jù)中心受到感染且無法使用時，作為失效備援的替代目標(biāo)。

虛擬首席信息安全官(vCISO)

vCISO專門為RPaaS中的組織提供幫助，隨時幫助其制定戰(zhàn)略并協(xié)調(diào)恢復(fù)執(zhí)行、質(zhì)量保證和取證調(diào)查等方面的工作。這種持續(xù)的咨詢援助可以推動安全流程走向成熟并緩解業(yè)務(wù)風(fēng)險。vCISO將幫助IT團隊分析、建議和制定重要的業(yè)務(wù)治理政策和流程。在勒索軟件事件聲明期間，這同一個人還將幫助您執(zhí)行響應(yīng)策略。

改革您的戰(zhàn)略

勒索軟件攻擊并不會很快消失。RPaaS提供了一個完整的解決方案，以便企業(yè)可以持續(xù)地開展業(yè)務(wù)。

RPaaS確保組織既能領(lǐng)先于威脅，又能在計劃失敗時做好準(zhǔn)備。將SOCaaS、勒索軟件恢復(fù)即服務(wù)(RRaaS)和手頭上的專用vCISO這三個關(guān)鍵領(lǐng)域整合到單一托管服務(wù)中，組織最終可以利用整體和全面的方法來應(yīng)對這種不斷變革的威脅類型。

本文翻譯自：https://www.helpnetsecurity.com/2022/03/04/ransomware-protection-as-a-service/如若轉(zhuǎn)載，請注明原文地址。