我们已经就如何更好地防范勒索软件和其他威胁进行了很多讨论,特别是最近发生在地区学区的攻击事件. 最近,我听到了一个关于网络被勒索软件攻击的故事. 网络管理员清理了这个烂摊子,开始恢复他们的“气隙”备份. 很快,他们发现自己又回到了同样的境地,因为备份被破坏了,并且包含了勒索软件!
备份是“气隙”的,所以坏人不能像往常一样删除它们. 相反,他们感染了他们. 上周,我看了一篇勒索软件的分析报告,一位前美国国家安全局(nsa)的攻击黑客说,坏人通常会弄清楚网站的备份保留时间,然后看看他们能否在整个保留时间内感染备份,然后再发起主要攻击. 请记住,一个坏人在被发现之前可以在网络中存在多长时间的平均统计数据是可怕的. 大多数专家简单地说100-200天. 有些报告比这还要长.
那么该怎么做呢?
在任何备份程序中都没有神奇的“确保我的备份没有勒索软件”功能.
以下是一些建议:
- 确保备份是气隙的. 受感染的计算机与备份服务器或实际备份数据之间必须没有访问权限. 那可能是内部受保护的备份. 它可以是对boce /RIC的远程备份,也可以是跨城镇到受保护的VLAN的远程备份. 我们越来越多地看到本地备份(如Veeam)与远程备份(异地备份到boce /RIC)相结合. 有些在其背后有一个Veeam云存储库.
- 确保您维护了一个完整的备份, 物理上分离,例如将重要数据复制到不属于您或任何网络的可移动硬盘驱动器.
- 审计您的备份策略,包括备份的内容, 是否有所有的代理来干净地备份需要备份的任何内容, 你的留存策略是什么. 如果您不是进行场外备份的个人或组织, 向您的提供者询问这些问题. 您是否对备份的数据量和保存的时间感到满意?
- 在沙箱中测试恢复数据,甚至服务器,以证明备份工作. 这应该至少每月做一次,我知道有些网站每周做一次某种形式的测试恢复. 如果您的数据在服务器上被加密, 运行测试还原时, 当您选择测试恢复文件时,您应该看到加密的文件.
- 确保在所有服务器和端点上修补操作系统和第三方应用程序,以最大限度地减少攻击面. 我所看到的针对网络的主要攻击的每一个分析都表明,攻击者利用了一个“众所周知的”, “长期存在”的漏洞,很久以前就有可用的补丁. Day zero攻击确实会发生,但非常罕见.
- 确保你有一个良好的维护, 在每个端点上集中管理防病毒/反恶意软件代理. 理想情况下,您应该拥有高级端点检测和响应(EDR)客户机. 传统的杀毒软件. CSI的网络哨兵端点检测 & 响应(CSEDR)客户端是我们首选的保护模型,因为它结合了最好的防病毒/反恶意软件, 下一代, 先进的EDRAPP客户端加上24x7x365全天候监控CSEDR客户端的安全运营中心(SOC).
- 如果坏人已经在你的网络中站稳了脚跟, 他们迟早会打电话回家报告他们已经侵入了网络. 如果感染已经越过了传统的防御——不管出于什么原因——那么我们希望能根据行为来观察它. 他们打算给家里打电话. CSI的托管防火墙服务是一种潜在地查看可疑流量的方法.
- 如果你喜欢修修补补, 你可以实现微软免费的文件服务器资源监视器(FSRM)来主动监控保存到服务器上的文件类型,并尝试实时阻止/警告常见的勒索软件文件类型. 有人在互联网上维护已知勒索软件文件类型和文件名的列表. 如果你有时间和耐心找到最新的威胁,并将其添加到你所有的服务器, 你可能会看到它,并在它生根之前杀死它.
记住,所有这些APP客户端都是纱门. 它们不是谷仓的门. 但希望使用多种APP客户端, 查看服务器, 工作站, 端点, 从不同的角度来看网络和防火墙流量有人会在事情失控之前看到坏人.
如果您想讨论如何提高您的网络和端点安全性,请给我们打电话. 我们很乐意帮忙.
最近的评论