和风网标志

放弃备份的密钥? 这是阻止黑客的方法

日期:

企业正在努力应对成本增加的问题,包括网络保险, 92 年保费同比增长惊人的 2021%. 成本膨胀的部分原因是业务中断成本的上升,这主要受威胁者查找和破坏组织备份和生产数据的能力的影响,从而无法及时恢复。  

根据 Veeam 的数据,备份在 94% 的攻击中成为目标,在 68% 的攻击中受到影响 2022 年勒索软件趋势报告。” 如果没有要恢复的备份,计划外停机时间比计划停机时间多 35%, 根据IBM. 保护环境的主动方法实际上代表了成本节约。 

最近一两年, 威胁行为者的老练 已成倍增长,但组织尚未实施必要的技术控制和配置以跟上步伐。 网络安全行业和许多网络安全专业人士都以政策和合规性为导向,但黑客不会追随您的政策。 他们追求您的控制和配置。 

作为最后一道防线,有一些预防措施,比如不变性,可以 帮助您的备份生存,但大多数公司的安全方法的成败在很大程度上取决于用户——那些没有 IT 或安全背景的用户。 不幸的是,大多数组织的技术控制和配置并没有降低用户端点被利用来造成损害的可能性。 

太多的组织允许(有时在不知不觉中)一系列会议软件、远程访问软件、密码管理器、浏览器、个人电子邮件服务和文件共享工具。 这种未经批准的技术蔓延为威胁行为者提供了更大的机会来获取用户的凭据、泄露数据、访问端点或获取远程访问权限。 思科最近被攻破 通过允许用户访问个人电子邮件服务并将公司密码保存在浏览器中。

大多数违规行为遵循可预测的进展。 下面是一个示例:用户访问恶意电子邮件,该用户单击了一个链接,该链接提供了他们的凭据或授予威胁参与者本地访问权限。 然后,威胁参与者在端点上安装远程访问木马 (RAT),并通过凭证转储器从端点获取特权凭证,例如 Mimikatz、暗网或网络共享。 然后,威胁参与者利用特权凭据在网络中横向移动,找到并泄露最有价值的数据,销毁备份并加密所有生产数据。

那么如何防止成为常见攻击方法的受害者呢?

改善教育

所有用户都需要了解日常工具带来的不断变化的风险以及攻击者如何使用它们,尤其是电子邮件。 根据 Verizon 的“2022数据违规调查报告,”威胁行为者更喜欢通过电子邮件传递恶意软件; 86% 的恶意软件传递是通过电子邮件执行的。

IT 专业人员也需要持续的培训。 很多时候,受害者认为他们遭受的破坏是随机的。 IT 专业人员通常不知道他们环境的漏洞和错误配置,以及黑客在利用它们方面的老练程度。 

正确完成安全需要协调一致、有动力、反政治的个性来推动组织采取必要措施。 即使在组织内阻止个人电子邮件服务也可能会遇到阻力,但需要这样做。

获得评估

寻找可以利用违规知识对您的环境进行全面技术评估的合作伙伴是您 IT 部门的一个很好的扩展,也是一项值得投资的项目。 IT 系统通常具有薄弱的配置和不合适的技术控制。 但是,组织通常在运营时没有意识到这些公认的风险。

至少每年一次的定期评估很重要,因为风险总是在变化,供应商也在不断发布更新的功能和服务。 必须定期检查技术控制的适用性和配置,以免影响您的安全状况。

即使是像微软这样的大供应商也设置了默认设置,使组织更容易开箱即用。 最近, 微软警告大规模网络钓鱼攻击 针对 10,000 多个组织。 据说是, 攻击者能够绕过 Office365 的多因素身份验证 (MFA) 能力。

如果 MFA 配置错误,它不会保护您的组织和 甚至可能成为拒绝保险的理由. 评估将标记此类错误配置。 如果您的控件编排得当,威胁参与者将更难以利用收集到的凭据进行访问。

建立角色

归根结底,安全是每个人的工作,但 IT 专业人员和安全团队需要有明确的职责,不仅要相互合作,还要与高管合作。 为了保护组织免受威胁的更大利益,需要搁置内部政治。

例如,在某些情况下,领导层不允许 IT 团队做为适当保护组织而需要做的事情,从而推回可能看起来过于苛刻的控制。

安全性和 IT 之间通常也存在天然的紧张关系。 如果要求首席信息安全官和安全团队在 IT 基础设施建成后确保环境安全,他们将很难在现有的基础上实现零碎的安全。 您无法通过胶带进入安全的 IT 环境。

一旦你有你的行军命令,你需要调整你的安全计划,以堆叠控制和保护端点等。 如果威胁参与者获得了对端点的访问权限,大多数组织都会失败。 通过正确的技术控制和配置,您可以更好地保护您的端点、凭证、生产数据,并最终保护您的备份。

现货图片

最新情报

现货图片