本文討論了組織如何保護其數字資產免受勒索軟件的侵害。

幾個世紀以來，古希臘激發了思想家和數學家的靈感，產生了許多有影響力的概念和理論，塑造了現代生活和歐洲文化。

邁錫尼古城就是一個最好的例子。這座城市坐落在伯羅奔尼撒半島上，以其大膽的商人、兇猛的戰士和杰出的工程師而聞名，他們建造了非凡的橋梁、功能齊全的排水系統和異常堅固的城墻。五個世紀以來，從公元前1600年到公元前1100年，它的城墻堅固，保護著當時最重要的貿易中心之一的財富。

勒索軟件日益猖獗

事實證明，這種防御架構在今天可以像3000年前一樣，保護組織免受我們這個時代最致命的威脅——勒索軟件的禍害。

勒索軟件是一種威脅，它捕獲并鎖定組織的重要資產，將其作為人質，直到贖金要求得到滿足。攻擊者的典型套路是用網絡釣魚郵件攻擊組織的員工，竊取他們的訪問憑證，讓他們進入網絡。一旦他們獲得了最初的立足點，他們就可以橫向移動，升級他們的特權，泄露敏感數據，然后劫持他們的系統并要求支付贖金，所有這些都在幾個小時內完成。

網絡安全工具的謬誤

勒索軟件受害者面臨的最大挑戰之一是整個過程的速度。這是由于組織設計其網絡和系統訪問的方式。

為了幫助員工安全地訪問他們的工作資源，許多組織認為特權訪問管理(PAM)、身份訪問管理(IAM)和單點登錄等單一訪問工具是一種解決方案。他們認為，他們可以把所有數據集中在一個地方，在周邊設置圍欄，讓員工使用自己的密碼訪問網絡，并使用檢測工具抵御外部威脅。

從源頭介紹了兩個致命的內部漏洞

然而，他們沒有意識到這個過程從源頭上引入了兩個致命的內部漏洞。

首先，通過讓員工自己設置工作密碼，他們沒有意識到他們已經失去了對自己安全的控制。想象一下，讓員工在現實世界中為你的房子、商店和工廠制造鑰匙。那些鑰匙不再是你的了。因此，組織既無法控制也不知道他們的密碼是否被共享、出售、被盜或在個人賬戶中重復使用。因為登錄工作是如此的常規，使用被盜員工憑證的攻擊者不會被發現是一種威脅。這就是為什么許多漏洞沒有被威脅監控工具注意到的原因。

其次，通過使用單一訪問工具，組織沒有意識到它們會造成一次失去一切的風險。有了一個被盜的密碼或生物識別信息，入侵者就可以竊取2FA令牌來通過初始安全檢查點，并在網絡中自由移動而不受阻礙，因為系統之間沒有分段訪問。

這兩個嵌入式內部漏洞的持續存在解釋了為什么攻擊者可以在幾小時內從登錄到勒索軟件攻擊。

通過分段訪問和分層防御擊敗勒索軟件

這個模型與人們在邁錫尼看到的防御體系形成了對比。為了保護他們的城市，邁錫尼人建造了第一道大門，叫做獅子門，它向城市本身開放。一旦進入城市，有第二個門可以進入駐軍。進入要塞后，還有第三道門通往國王的宮殿。他們應用了分層安全的關鍵概念，將他們最寶貴的資產保存在城市結構的更深處。這意味著，如果攻擊者設法溜進城市，他們仍然無法竊取駐軍的武器或國王宮殿的寶藏。

因為企業密碼是打開他們王國大門的鑰匙，他們也可以使用類似的分層安全保護。如果組織收回對安全的控制權，不再讓員工自己訪問，并對每個門使用不同的加密密碼進行分段訪問，他們也將擁有一座堅不可摧的堡壘，并能夠將勒索軟件拒之門外。

現在，如果攻擊者進入網絡，他們將無法在網絡的其他部分自由漫游，無論他們設法在一扇門后面收集到什么，對于發動勒索軟件攻擊來說都是微不足道的。

邁錫尼的分層防御和分段進入的智慧，幾個世紀以來一直很強大，今天仍然有意義。現在是組織應用它的時候了:

商業領袖提高網絡安全的五大建議

1.不要把你所有的資產放在一個地方，在一個單一的訪問:分開資產，并設置不同的鎖來保護每個訪問，所以你只需要更換一個鑰匙，如果一個門被破壞。千萬不要使用主密碼，因為它們會同時打開所有的門。

2.永遠不要使用某人的身份進行訪問:生物識別和聲音不是秘密的，也很容易復制，尤其是現在有了人工智能。它們也是不可更改的訪問密鑰，使員工終身面臨身份被盜用的風險。

3.不要讓人類制造密碼:總是使用工具生成長隨機的高熵密碼，這樣無論是現在還是以后，量子計算機都無法破解它們。

4.為員工提供加密密碼:這樣，他們就不會知道、分享、出售或泄露密碼。這可以確保你控制你的網絡和數據的密碼，而不是你的員工。

5.更好地存儲最重要的密碼:盡量將關鍵密碼保存在憑證堡壘的較深層，這樣它們就最難被獲取。