增强网络防御能力的10个步骤

雷英

根据最近的一份报告，当企业算支付赎金的费用以及相关损失时，例如停机时间、任何丢失的数据或硬件的价值或改善软件的花费，勒索软件事件的平均损失约为713 000美元。基础架构以及修复品牌形象所需的时间和金钱及关键系统保持脱机状态的时间越长，这个数字也会成倍增加。

而且，这些成本可能会上升。例如，在2019年的最近一次攻击中，攻击者要求为受此攻击影响的每台计算机支付13比特币（超过75 000美元），以便用户可以重新获得对文件的访问权限———远远高于正常的勒索需求，之前的赎金要求略低于13 000美元。

由于勒索软件在经济上的成功，继续吸引着网络犯罪分子，他们大规模攻击粗心的受害者，或者精心策划针对最有可能付费的目标进行高度集中的攻击。越来越多的技术犯罪者通过Dark Web上的勒索软件跃入潮流。

不管这个消息看起来多么凄凉，组织实际上都有方法可以有效防御勒索软件。首先，使用一些最佳实践来防止尽可能多的攻击，然后采取适当的预防措施，将任何功攻击的影响降至最低。以下是组织需要考虑的10个关键步骤：

绘制企业的攻击面

企业无法保护自己不知道需要保护的内容。首先要确定环境中开展的业务并维护活动清单所依赖的所有系统、设备和服务。此过程不仅可以帮助企业确定最易受攻击的目标，还可以帮助企业确定系统的基准，以进行恢复。

修补和升级易受攻击的设备。

建立和维护常规的修补，升级协议只是一种基本的最佳实践。不幸的是，太多组织根本不这样做。当然，并非每个系统都可以脱机进行修补。在那种情况下，需要使用严格的邻近控制以及某种隔离或零信任策略来替换他们（在可能的情况下）或对其进行保护。

更新企业的基础安全系统

除了更新网络设备之外，企业还需要确保所有安全解决方案都在运行最新更新。这对于企业的安全电子邮件证书尤其重要。大多数勒索软件通过电子邮件进入组织，而邮件证书能够保障邮件传输过程中不被他人阅读及篡改，并由邮件接收者进行验证，确保电子邮件内容的完整性。此外，企业安全策略需要包括应用程序白名单、部署网站SSL证书、特权限制、在关键系统之间实现零信任、强制执行强密码策略以及要求使用多因素身份验证之类的事情。

细分企业的网络

网络分段可确保将受感染的系统和恶意软件包含在网络的特定网段中。这包括隔离知识产权以及隔离员工和客户的个人标识信息。同样，将关键服务（如紧急服务或物理资源和HVAC系统）保持在单独的隔离网络中。

保护企业的扩展网络

确保在扩展网络（包括运营技术网络、云环境和分支机构）中复制部署在核心网络上的安全解决方案，以防止出现安全漏洞。此外，还需要花一些时间来查看来自其他组织（客户、合作伙伴和供应商）与企业网络相关的任何连接。确保加固了这些连接，并确保适当的安全性和筛选。接下来，警告那些合作伙伴企业可能发现的任何问题，尤其是与连接共享或可能传播恶意内容的有关问题。

隔离企业的系统恢复与备份数据

企业需要執行常规的数据和系统备份，并且将这些备份存储在网络外，这样它们就不会在发生安全漏洞时遭到破坏。组织还应该扫描这些备份以寻找恶意软件的证据。企业还需要确保完全系统恢复所需的所有系统、设备和软件都与网络隔离，以便在企业需要从攻击中恢复时完全可用。

运行恢复演练

定期进行恢复演练可确保企业已备份的数据随时可用，可以还原所有必需的资源，并且所有系统都能按预期运行。确保指挥链到位，并且所有个人和团队都了解他们的责任。演练期间提出的任何问题都需要记录下来并解决。

利用外部专家

建立受信任的专家和顾问的列表，如果出现妥协，可以与他们联系，以帮助企业完成恢复过程。如果可能，企业还应该让他们参与恢复练习。注意：组织还应将任何勒索软件事件立即报告给相关政府机构。

注意勒索软件事件

订阅威胁情报和新闻提要，以跟上新的勒索软件新闻，使企业团队养成习惯学习如何、为何破坏系统，然后将这些课程应用于自己的环境。

教育员工

员工不是企业安全链中最薄弱的环节，而必须成为企业网络防御的第一线。由于勒索软件通常从网络钓鱼活动开始，因此必须对网络犯罪分子新的欺骗手段进行教育，无论网络犯罪分子是针对公司、个人还是移动设备，都必须以此为手段。除了要求大多数员工参加定期的年度安全检查之外，还应考虑定期进行意识提高活动。30 ～ 60秒的快速视频更新，网络钓鱼模拟游戏，执行人员发来的电子邮件以及内容丰富的海报有助于保持知名度。此外，运行自己的内部网络钓鱼活动可以帮助确定需要额外培训的员工。

传递下去

当涉及网络犯罪时，我们在一起，确保与行业同行、顾问和业务合作伙伴定期举行会议，尤其是对企业业务运营至关重要的会议，以分享这些策略并鼓励其被采用。这不仅可以确保他们不会在上游或下游传播勒索软件，对自己和企业造成责任，还可以保护企业，因为网络的任何中断都可能对企业的业务产生连锁反应。