您所在的位置: 首頁(yè) >
新聞資訊 >
技術(shù)前沿 >
勒索軟件保護(hù)即服務(wù)(RPaaS)時(shí)代已到來(lái)
勒索軟件攻擊對(duì)全球諸多企業(yè)造成了毀滅性后果。這些損失超出了與勒索加密數(shù)據(jù)相關(guān)的金錢損失,還包括運(yùn)營(yíng)中斷、客戶不滿、監(jiān)管罰款,以及最糟糕且難以挽回的聲譽(yù)損失。
然而,殘酷的現(xiàn)實(shí)是,勒索軟件事件根本無(wú)法完全避免。作為“最薄弱環(huán)節(jié)的”人類仍將繼續(xù)打開電子郵件,并單擊鏈接啟動(dòng)惡意軟件。如今,勒索軟件攻擊已經(jīng)變得十分普遍,我們迫切需要強(qiáng)大且全面的預(yù)防及保護(hù)措施。
安全防護(hù)和災(zāi)難恢復(fù)(DR)都是必不可少的措施,完整的解決方案需要技術(shù)、流程以及高技能、經(jīng)驗(yàn)豐富的技術(shù)專家。企業(yè)可以拼湊出完整的解決方案,但通常缺乏經(jīng)驗(yàn)豐富的技術(shù)專家來(lái)完成它們,一方面原因是技術(shù)人才十分短缺;另一方面是人才雇傭成本也非常高。
這種情況下,勒索軟件保護(hù)即服務(wù)(Ransomware Protection as a Service,簡(jiǎn)稱RPaaS)應(yīng)運(yùn)而生,可為企業(yè)提供勒索軟件事件前后的全面性服務(wù)。在RPaaS模式中,既有獨(dú)立的預(yù)防和災(zāi)難恢復(fù)服務(wù),也有連接這兩個(gè)領(lǐng)域的檢測(cè)解決方案。
此前,一些人認(rèn)為,制定自動(dòng)化災(zāi)難恢復(fù)(DR)計(jì)劃意味著能夠保護(hù)數(shù)據(jù)免受網(wǎng)絡(luò)攻擊,而其他人則認(rèn)為,企業(yè)需要單獨(dú)的網(wǎng)絡(luò)攻擊恢復(fù)計(jì)劃。這些觀點(diǎn)都不正確——現(xiàn)代彈性策略必須考慮所有威脅,包括勒索軟件。
問(wèn)題在于,勒索軟件攻擊淘汰了傳統(tǒng)的安全防護(hù)、災(zāi)難恢復(fù)和定期恢復(fù)時(shí)間目標(biāo)(RTO)方法。如果失效備援(failover,為系統(tǒng)備援能力的一種,當(dāng)系統(tǒng)中其中一項(xiàng)設(shè)備失效而無(wú)法運(yùn)作時(shí),另一項(xiàng)設(shè)備即可自動(dòng)接手原失效系統(tǒng)執(zhí)行的工作)的位置變成了犯罪現(xiàn)場(chǎng)怎么辦?你將在哪里恢復(fù)?
RPaaS要求兩個(gè)陣營(yíng)——具有災(zāi)難恢復(fù)專業(yè)知識(shí)和網(wǎng)絡(luò)安全專業(yè)知識(shí)的陣營(yíng)——以一個(gè)單一的目標(biāo)進(jìn)行合作,從各自的專業(yè)領(lǐng)域?qū)σ粋€(gè)計(jì)劃進(jìn)行改進(jìn),鼓勵(lì)企業(yè)采用可行的最佳選擇,而不是為零散的場(chǎng)景保留不同的計(jì)劃。
熟悉美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)的企業(yè)都了解其強(qiáng)大安全態(tài)勢(shì)的五個(gè)功能:
● 識(shí)別;
● 保護(hù);
● 檢測(cè);
● 響應(yīng);
● 恢復(fù);
許多人可能認(rèn)為NIST是一種古板的、過(guò)于官僚的方法,但這五項(xiàng)功能絕對(duì)是必不可少的。
勒索軟件是一種獨(dú)特的網(wǎng)絡(luò)攻擊類型,沒(méi)有任何保護(hù)策略始終是100%有效的(由于前面提到的人為因素),因此“響應(yīng)”和“恢復(fù)”的災(zāi)難恢復(fù)(DR)要素必不可少。
為了實(shí)現(xiàn)全覆蓋并避免五項(xiàng)功能中的各方出現(xiàn)重疊現(xiàn)象,RPaaS拆分為三個(gè)子類別來(lái)解決業(yè)務(wù)的預(yù)防、檢測(cè)和恢復(fù)問(wèn)題:
安全運(yùn)營(yíng)中心即服務(wù)(SOCaaS)
在RPaaS的第一部分中,安全運(yùn)營(yíng)中心(SOC)團(tuán)隊(duì)會(huì)監(jiān)控威脅活動(dòng)并發(fā)出警告,以在攻擊發(fā)生之前阻止它們。這個(gè)訓(xùn)練有素的專家團(tuán)隊(duì)專注于通過(guò)利用防火墻、零容忍安全、端點(diǎn)、EDR、MDR、SIEM和其他檢測(cè)及預(yù)防工具,來(lái)快速識(shí)別和遏制惡意活動(dòng)。
勒索軟件響應(yīng)即服務(wù)(RRaaS)
這些恢復(fù)措施包括失效備援、取證、數(shù)據(jù)清理、不可變備份以及其他必要舉措。勒索軟件響應(yīng)即服務(wù)(RRaaS)的流程專注于測(cè)試和文檔化,全過(guò)程配備了復(fù)制、備份、云恢復(fù)和數(shù)據(jù)加密技術(shù),將災(zāi)難恢復(fù)即服務(wù)(DRaaS)和備份即服務(wù)(BaaS)結(jié)合在一起,以便在勒索軟件事件發(fā)生時(shí)建立可靠的策略。
它還擴(kuò)展了用于托管復(fù)制和恢復(fù)模型的氣隙(air gapping)、多因素身份驗(yàn)證(MFA)及不可變備份的標(biāo)準(zhǔn)方法,以快速實(shí)現(xiàn)正常運(yùn)行,并在主數(shù)據(jù)中心受到感染且無(wú)法使用時(shí),作為失效備援的替代目標(biāo)。
虛擬首席信息安全官(vCISO)
vCISO專門為RPaaS中的組織提供幫助,隨時(shí)幫助其制定戰(zhàn)略并協(xié)調(diào)恢復(fù)執(zhí)行、質(zhì)量保證和取證調(diào)查等方面的工作。這種持續(xù)的咨詢?cè)梢酝苿?dòng)安全流程走向成熟并緩解業(yè)務(wù)風(fēng)險(xiǎn)。vCISO將幫助IT團(tuán)隊(duì)分析、建議和制定重要的業(yè)務(wù)治理政策和流程。在勒索軟件事件聲明期間,這同一個(gè)人還將幫助您執(zhí)行響應(yīng)策略。
改革您的戰(zhàn)略
勒索軟件攻擊并不會(huì)很快消失。RPaaS提供了一個(gè)完整的解決方案,以便企業(yè)可以持續(xù)地開展業(yè)務(wù)。
RPaaS確保組織既能領(lǐng)先于威脅,又能在計(jì)劃失敗時(shí)做好準(zhǔn)備。將SOCaaS、勒索軟件恢復(fù)即服務(wù)(RRaaS)和手頭上的專用vCISO這三個(gè)關(guān)鍵領(lǐng)域整合到單一托管服務(wù)中,組織最終可以利用整體和全面的方法來(lái)應(yīng)對(duì)這種不斷變革的威脅類型。
參考及來(lái)源:https://www.helpnetsecurity.com/2022/03/04/ransomware-protection-as-a-service/
文章來(lái)源:嘶吼專業(yè)版