雖然科洛尼爾管道攻擊可能已經(jīng)過(guò)去，但勒索軟件仍然是現(xiàn)代企業(yè)的生存威脅。

　　Colonial Pipeline勒索軟件攻擊過(guò)去一年，該事件是近年來(lái)影響最大的網(wǎng)絡(luò)攻擊案例之一，名為DarkSide的威脅行為者使用一個(gè)被泄露的VPN口令來(lái)訪問(wèn)美國(guó)最大的管道運(yùn)營(yíng)商的內(nèi)部系統(tǒng)。在攻擊期間，當(dāng)黑客開(kāi)始加密該組織的數(shù)據(jù)時(shí)，Colonial Pipeline做出回應(yīng)，將其系統(tǒng)離線以阻止威脅的傳播，暫時(shí)停止了管道運(yùn)營(yíng)并最終支付了440萬(wàn)美元的贖金。事件發(fā)生后不久，美國(guó)政府發(fā)布了一項(xiàng)旨在改善國(guó)家網(wǎng)絡(luò)安全的行政命令，強(qiáng)調(diào)聯(lián)邦政府需要“做出大膽的改變和重大投資，以捍衛(wèi)支撐美國(guó)生活方式的重要機(jī)構(gòu)”。除了行政命令外，還引入了幾項(xiàng)聯(lián)邦和立法措施，優(yōu)先考慮提高網(wǎng)絡(luò)安全和運(yùn)營(yíng)彈性的門檻。

　　Colonial Pipeline事件之后美國(guó)的政府機(jī)構(gòu)和企業(yè)目睹了其他成為全國(guó)頭條新聞的嚴(yán)重事件，包括Kaseya勒索軟件攻擊和發(fā)現(xiàn)的Log4j漏洞，該漏洞存在于全球安裝的軟件應(yīng)用程序的基礎(chǔ)中。

　　國(guó)會(huì)正在著手處理運(yùn)輸安全管理局 (TSA) 是否是監(jiān)管管道網(wǎng)絡(luò)安全的適當(dāng)機(jī)構(gòu)的問(wèn)題。國(guó)會(huì)可能決定資助TSA并確保其擁有必要的專業(yè)知識(shí)和人力資本來(lái)有效調(diào)節(jié)管道網(wǎng)絡(luò)安全。該事件對(duì)美國(guó)關(guān)基安安全保護(hù)的影響史無(wú)前例！

　　雖然科洛尼爾管道攻擊可能已經(jīng)過(guò)去，但勒索軟件仍然是現(xiàn)代企業(yè)的生存威脅，隨著勒索軟件攻擊的增加，企業(yè)需要做好準(zhǔn)備。這起事件有太多教訓(xùn)可以總結(jié)，比如，勒索橫行的今天，無(wú)論您是小型企業(yè)還是企業(yè)，都沒(méi)有關(guān)系。你是一個(gè)攻擊目標(biāo)；攻擊者會(huì)發(fā)現(xiàn)（并利用）最薄弱的環(huán)節(jié)；攻擊者很敏捷，防守者也必須如此；等等。好消息是，組織可以實(shí)施越來(lái)越多的安全控制措施來(lái)保護(hù)自己免受這些普遍威脅的侵害。作為安全團(tuán)隊(duì)，其實(shí)也有好多需要扎實(shí)推進(jìn)的工作。

　　1、部署零信任架構(gòu)

　　登錄憑據(jù)是網(wǎng)絡(luò)犯罪分子的主要目標(biāo)之一。因此，對(duì)于安全團(tuán)隊(duì)來(lái)說(shuō)，實(shí)現(xiàn)對(duì)零信任身份驗(yàn)證的支持變得越來(lái)越重要，以使未經(jīng)授權(quán)的用戶更難使用受損憑據(jù)登錄?！癈olonial Pipeline勒索軟件攻擊是另一個(gè)備受矚目的例子，即利用受損憑證來(lái)利用以前被認(rèn)為是安全的基礎(chǔ)設(shè)施。因此，安全協(xié)議必須不斷發(fā)展，以跟上分布式計(jì)算環(huán)境中的動(dòng)態(tài)威脅，”身份訪問(wèn)管理提供商Plain ID的首席技術(shù)官兼聯(lián)合創(chuàng)始人Gal Helemski說(shuō)。Helemski建議組織可以通過(guò)實(shí)施零信任架構(gòu)來(lái)防止自己成為類似攻擊的受害者，該架構(gòu)將訪問(wèn)控制擴(kuò)展到整個(gè)數(shù)字旅程的整個(gè)生命周期中的傳統(tǒng)網(wǎng)絡(luò)訪問(wèn)安全性。

　　2、實(shí)施強(qiáng)大的事件檢測(cè)和響應(yīng)能力

　　決定勒索軟件泄露總體影響的最大因素之一是組織響應(yīng)所需的時(shí)間。響應(yīng)時(shí)間越慢，網(wǎng)絡(luò)犯罪分子就越有機(jī)會(huì)定位和加密關(guān)鍵數(shù)據(jù)資產(chǎn)?！爸趁竦厥枪埠退綘I(yíng)部門基礎(chǔ)設(shè)施安全的一個(gè)重要轉(zhuǎn)折點(diǎn)，但組織需要保持警惕，以領(lǐng)先于網(wǎng)絡(luò)攻擊者，”勒索檢測(cè)和恢復(fù)平臺(tái)Egnyte的網(wǎng)絡(luò)安全宣傳總監(jiān)Neil Jones說(shuō)。在實(shí)踐中，這意味著制定全面的事件響應(yīng)計(jì)劃，部署具有勒索軟件檢測(cè)和恢復(fù)功能的解決方案，并為員工提供有關(guān)如何實(shí)施有效數(shù)據(jù)保護(hù)策略（如強(qiáng)口令和多因素身份驗(yàn)證）的網(wǎng)絡(luò)安全意識(shí)培訓(xùn)。

　　3、不要依賴備份和恢復(fù)解決方案來(lái)保護(hù)數(shù)據(jù)

　　許多組織尋求依靠數(shù)據(jù)備份和恢復(fù)解決方案來(lái)抵御勒索軟件威脅。雖然這聽(tīng)起來(lái)像是紙面上的有效防御，但如果受害者組織不支付贖金，勒索軟件攻擊者已經(jīng)開(kāi)始威脅要泄露他們加密的數(shù)據(jù)。加密提供商Titaniam的首席執(zhí)行官兼創(chuàng)始人Arti Raman建議組織切換到使用中的數(shù)據(jù)保護(hù)， 而不是依賴靜態(tài)加密，攻擊者可以使用受損憑證來(lái)回避?！巴ㄟ^(guò)使用中的加密數(shù)據(jù)保護(hù)，如果對(duì)手突破外圍安全基礎(chǔ)設(shè)施和訪問(wèn)措施，結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)可能 [并且] 將 [變得] 無(wú)法被壞人破解和使用——即使不是，數(shù)字勒索也會(huì)變得更加困難或不可能，”拉曼說(shuō)。

　　4、創(chuàng)建攻擊面清單

　　由于有如此多的高級(jí)威脅行為者以勒索軟件威脅的現(xiàn)代組織為目標(biāo)，技術(shù)決策者和安全團(tuán)隊(duì)需要對(duì)哪些系統(tǒng)暴露給外部威脅行為者以及他們持有哪些數(shù)據(jù)有一個(gè)完整的清單。“隨著美國(guó)政府采取措施加強(qiáng)國(guó)家網(wǎng)絡(luò)安全，組織必須采取積極主動(dòng)的方法來(lái)保護(hù)自己的資產(chǎn)，這就是優(yōu)勢(shì)所在：響應(yīng)能力，”托管安全服務(wù)組織Cyber Security Works的首席執(zhí)行官兼聯(lián)合創(chuàng)始人亞倫·桑丁說(shuō)?！巴ㄟ^(guò)獨(dú)立或外包給漏洞管理公司進(jìn)行完整的系統(tǒng)清單，組織可以擴(kuò)展其對(duì)已知和未知漏洞利用的網(wǎng)絡(luò)安全可見(jiàn)性，”Sandeen說(shuō)。雖然 Colonial Pipeline攻擊背后的組織已經(jīng)不復(fù)存在，但Sandeen警告說(shuō)，企業(yè)將繼續(xù)看到越來(lái)越多的漏洞利用、漏洞和APT威脅參與者愿意利用它們，“這將需要安全領(lǐng)導(dǎo)者提供預(yù)測(cè)性和創(chuàng)造性的幫助來(lái)分類和消除勒索軟件威脅?！?/p>

　　5、部署身份管理解決方案以識(shí)別異常用戶活動(dòng)

　　網(wǎng)絡(luò)安全教育平臺(tái)Drip7的創(chuàng)始人Heather Stratford說(shuō)，“殖民管道災(zāi)難告訴我們，人是網(wǎng)絡(luò)安全攻擊的主要切入點(diǎn)?！?據(jù)Cyber Talk稱， 95%的網(wǎng)絡(luò)違規(guī)是由人為錯(cuò)誤造成的。“在網(wǎng)絡(luò)安全意識(shí)方面，‘人’是需要‘固定’或關(guān)注的，而這種變化通常不會(huì)在一夜之間發(fā)生。改變行為建立在小的增量改進(jìn)之上，隨著時(shí)間的推移，這些改進(jìn)會(huì)收緊控制限制以改善行為并最大限度地降低風(fēng)險(xiǎn)，”斯特拉特福德觀察到?！案淖儺?dāng)前網(wǎng)絡(luò)安全流行病的唯一方法是增加對(duì)組織人員的關(guān)注，而不僅僅是現(xiàn)有系統(tǒng)，”斯特拉特福德警告說(shuō)。在遠(yuǎn)程工作和員工使用個(gè)人設(shè)備訪問(wèn)企業(yè)資源的時(shí)代，數(shù)據(jù)被盜的風(fēng)險(xiǎn)比以往任何時(shí)候都大。“我們?cè)谛侣勚新?tīng)到的大多數(shù)違規(guī)行為都是由于企業(yè)依賴自動(dòng)訪問(wèn)控制而在用戶被劫持時(shí)意識(shí)到為時(shí)已晚?！翱紤]到 LAPUS$和Conti等不同犯罪集團(tuán)的先進(jìn)策略和隨機(jī)性，一旦賬戶遭到入侵，基于身份的欺詐行為就極難被發(fā)現(xiàn)，”信任平臺(tái)Forter的首席信息安全官Gunnar Peterson說(shuō)。出于這個(gè)原因，組織需要具有識(shí)別異常用戶活動(dòng)的能力，以便他們能夠檢測(cè)帳戶接管，彼得森說(shuō)，這可以通過(guò)使用具有異常檢測(cè)功能的人工智能驅(qū)動(dòng)的身份管理解決方案來(lái)獲得。

　　關(guān)鍵基礎(chǔ)設(shè)施上的勒索軟件案件繼續(xù)成為頭條新聞的事實(shí)表明，在整體關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全方面，組織通常準(zhǔn)備不足。人們傾向于專注（并花費(fèi)）大量資金用于企業(yè)和企業(yè)環(huán)境的網(wǎng)絡(luò)安全，但多年來(lái)，運(yùn)營(yíng)技術(shù)和面向生產(chǎn)的環(huán)境并沒(méi)有得到他們的關(guān)注和投資。

　　變革不會(huì)在一夜之間發(fā)生。重要的是要注意，當(dāng)調(diào)整安全態(tài)勢(shì)時(shí)，對(duì)手也會(huì)適應(yīng)。強(qiáng)化很重要，但可見(jiàn)性和彈性是所有關(guān)基企業(yè)需要的，這需要時(shí)間來(lái)開(kāi)發(fā)和部署。俄烏戰(zhàn)事中的網(wǎng)絡(luò)暗戰(zhàn)再次表明，變革的關(guān)鍵驅(qū)動(dòng)因素是法律法規(guī)指令、攻擊的持續(xù)威脅、地緣政治局勢(shì)以及監(jiān)管機(jī)構(gòu)日益增加的關(guān)注。人們對(duì)ICS的關(guān)注也越來(lái)越普遍，因?yàn)榭煽康那閳?bào)表明，網(wǎng)絡(luò)攻擊更有可能演變?yōu)槲锢砉簟?/p>