勒索软件的准备和恢复-之前,期间和之后
根据IDC的 2021勒索软件研究在美国,约37%的全球组织表示,他们在2021年成为勒索软件攻击的受害者. 应对勒索软件需要人-过程-技术的结合,包括训练有素的工作人员的警惕, 结构化事件响应, 最新的安全产品. 在这篇博文中,bet9九卅娱乐会员登录将介绍一些在勒索软件攻击之前、期间和之后的最佳实践.
袭击前:
备份和恢复备份和恢复的重要性怎么强调都不为过. 在Ponemon状态的SMB网络安全报告, 被勒索软件攻击但没有支付赎金的公司中,有73%的公司将他们的决定归因于有一个完整的备份. 大多数公司都会进行备份,但令人惊讶的是,只有少数公司会定期进行备份和恢复演练. 恢复演练是知道你的备份计划是否提前工作的唯一方法.
修补: 大多数勒索软件的目标都是已知的漏洞,这是有据可查的. 因此, 维护操作系统, 安全软件, 应用程序, 而网络硬件的修补和更新是最大限度地减少勒索软件威胁的最有效方法.
员工安全意识培训: 勒索软件是一个人的问题, 从钓鱼, 社会工程, 造成安全漏洞的配置错误的内部威胁. 在Webroot最近的一项研究中, it was found that 67% of employees received at least one phishing email at work; and 49% of employees admitted they clicked links in messages from unknown senders. 通过为员工提供互动性和持续性的培训项目, 他们将具备识别网络钓鱼邮件和避免网络风险的知识, 并最终成为您的第一层保护层,减少安全事件的发生次数.
攻击期间:
评估现状: 当你被勒索软件攻击时, 首先要做的是断开受感染计算机与网络的连接. 您的IT团队应该使用威胁情报确定问题的范围,并计划补救任务. 他们应该调查以下方面:
这是什么类型的攻击? 它是来自下载的文件、远程访问木马还是其他恶意软件?
哪些用户帐户被泄露? 感染的范围有多广?
哪些设备会受到影响? 哪些应用程序受到影响?
控制: 遏制包括快速决策和行动,包括但不限于立即关闭系统, 断开网络连接或禁用某些功能. Ransomware never happens at a convenient time; it is good practice to build predetermined strategies and containment procedures.
控制后, 通常需要进一步的根除工作来删除任何底层组件并减轻事件期间暴露的任何已识别的漏洞.
让系统重新上线 在恢复过程中, 任何受损主机, 应用程序, 或者网络恢复正常. 这可能涉及从干净备份恢复系统等操作, 从零开始重建系统, 用干净的版本替换受损的文件, 安装补丁, 改变密码.
袭击发生后:
在勒索软件攻击之后, 回顾并记录整个事件的汇报会议, 进行根本原因分析, 并找出经验教训,以便更好地应对未来的安全事件和事故, 非常有用,却经常被忽视. 一些最佳做法和建议包括:
提供 保安意识培训 给你的员工,加强你网络安全链上最薄弱的一环
定期进行风险评估,将已识别的风险降低到可接受的水平,这对于减少事故数量至关重要
采用一种 零信任 安全模型,以帮助防止未经授权的访问敏感数据
投资于安全监控和自动化工具,这可能有助于改善检测和响应时间
剖析网络和系统,了解网络的正常行为, 系统, 和应用程序
对您的事件响应计划进行压力测试,以提高网络弹性