勒索软件攻击已经成为影响所有行业和组织的大问题,考虑到这些攻击可能对企业造成的影响,安全专业人员正在尝试以各种方式保护企业的网络、应用和数据。然而,但随着勒索攻击威胁形势的不断变化,很多错误的做法可能会阻碍企业勒索防护计划的有效执行,并使组织的数字化业务暴露在勒索攻击的威胁之下。以下是企业在开展勒索攻击防护时最常见的6个错误:
1、不能从业务视角提出安全风险
没有一家企业的IT网络是绝对安全的,但实施勒索攻击通常需要相当一段时间的准备。这意味着只要做好安全检测并应用先进的防护技术,就能够给攻击者制造一系列的障碍,这对于有效防护勒索软件攻击至关重要。尽管没有企业希望成为勒索软件的受害者,但预算并不是无限的,安全团队想要说服企业管理层进行更多的网络安全投资往往并不容易。
为了证明这些控制和投入的合理性,安全团队不仅要从技术角度说明风险,而且要从业务视角量化出可能的危害。评估业务影响不必太繁琐,可以专注于一些关键应用程序和数据集,以获取最具代表性的样本,并对成本、商誉、合规性和安全影响进行综合量化评估。在此基础上,安全团队才能够给出充足的理由,包括风险和可验证的业务成效,以证明有必要追加费用和加强控制,这也让企业高层更容易决策是否需要加强勒索攻击保护的必要性。
2、缺少勒索软件防护能力测试
渗透测试是一种有效的主动性安全能力测试方法。企业在勒索软件防护中常犯的一个错误是,在没有验证整个勒索攻击防护体系有效性的情况下,就停止渗透测试活动,并且不验证端到端的勒索攻击事件响应能力。对于需要与多个团队快速协调评估、遏制和恢复的大型组织而言,这尤其重要。
此外,很多桌面推演练习的不足在于,它们仅设计了简单验证现有的事件响应计划(IRP)的任务,却没有深入研究攻击可能如何发生,以及企业应该采取什么措施来检测,遏制并从攻击中恢复。为了更有效地防范勒索软件攻击,定期组织实战化北京的红队演练(测试整个安全体系结构)非常重要。红队演练的结果可被用作内部安全团队的指导材料,以便他们可以从发现的问题中汲取经验教训。
3、将勒索软件防护当作纯技术性工作
研究人员发现,企业中的许多人都认为防护勒索软件攻击是技术部门或网络安全团队的事情,这是一种非常错误的观念。因为勒索攻击者擅长利用人为错误来获取未经授权的访问权限。网络安全意识和培训计划对于减少风险至关重要。教育员工如何识别钓鱼邮件、遵循安全的浏览习惯和遵守适当的安全协议。企业上下必须了解社会工程攻击以及如何识别。对于现代数字化企业而言,最好的勒索软件防护措施是为所有员工提供了解网络安全所需的信息,并让员工成为第一道防线。
4、忽视主动性的勒索攻击预防
很多企业在勒索企业防护中,重视对已发生的勒索事件响应和控制,却忽视对勒索攻击的主动预防。安全团队需要采用一种新的方法来保护庞大的数字生态系统,要学会站在攻击者的角度思考,模拟真实场景中的泄露。组织还应该了解欺骗技术,尽管它不是主要的网络安全策略,但欺骗解决方案有时是可以帮助保护系统的。欺骗技术可以模拟真实的服务器、应用程序和数据,从而欺骗攻击者,让他们相信他们已经获得了企业最重要资产的访问权。
5、一味依赖数据备份
如果勒索软件加密了数据,提前备份数据有助于快速恢复访问权限,无需满足攻击者的赎金要求。然而,勒索软件攻击模式也在进化。许多攻击者现在采用双重勒索,他们加密并泄露受害者的数据,或者采用三重勒索,即添加DDoS攻击或勒索受害者的客户、合作伙伴及其他第三方。在这些攻击中,即使企业从备份中恢复数据,攻击者仍然可以要求支付赎金以免泄露数据。
备份很重要,但它们只是纵深防御勒索软件防御策略的一个要素。有效的恶意软件防御需要采用多层次的方法。这包括部署强大的终端保护解决方案、防火墙、入侵检测系统和强大的访问控制。实施安全配置、定期更新软件并进行漏洞评估,对于减少攻击面和提升安全姿态至关重要。
6、创建复杂的环境,忘记基本面
为了免受勒索攻击威胁,很多企业创建过于复杂的网络安全环境。虽然技术创新和升级很重要,但企业不能忘记做好网络安全工作的基本面。
如果关注这些基本面:漏洞和补丁管理、访问控制、测试备份以及数据加密,我们就能放心:可以应对大多数勒索软件企图,又不会带来导致人为错误的不必要的复杂性。Verizon 2023 DBIR报告显示,74%的数据泄露涉及人为因素。如果我们能降低这一比例,无异于往更强大、更有效的勒索软件预防迈出了一大步。
参考链接:https://www.tripwire.com/state-of-security/common-business-mistakes-ransomware-prevention-planning。