勒索|瘫痪输油管道赚爆勒索软件攻击该如何防护？戴尔

在不久之前的5月7日，美国突然宣布17个州进入紧急状态。原因是美国最大输油管道运营商科洛尼尔（Colonial Pipeline）遭受勒索软件攻击，8900公里的输送系统被迫关闭六天。直到5月13日，该公司支付了价值约500万的数字货币给黑客后，系统才得以恢复。黑客组织收到赎金后旋即解散，甚至有消息称，黑客提供的解密工具没有任何作用。

文章插图
科洛尼尔遭遇勒索软件攻击（图片来源：互联网）
无论如何，当关系到国计民生的输油管线遭到攻击，是一件非常可怕的事。近几年，针对企业的勒索软件攻击愈演愈烈，攻击频率每年都在增加。甚至在科洛尼尔遭受攻击前之前，苹果的供应商也遭到了勒索攻击，大量苹果新品的工程图纸被盗并被黑客锁定，勒索赎金更是高达5000万美元的数字加密货币。

文章插图
输油管线覆盖美国17个州（图片来源：互联网）
根据安全机构统计显示，在2020年初，全球每39秒就会发生一起勒索攻击，而截止到2021年4月，全球每11秒就会发生一起勒索软件攻击。被勒索软件攻击的企业和组织在2020年至少支付了3.5亿美金的赎金，由于黑客要求的赎金通过数字加密货币支付，导致警方难以追踪和取证，可以说全球都笼罩在勒索软件攻击的阴影之下。
尤其是大量IT水平不高的中小企业，非常容易被黑客的勒索软件攻击。相关数据统计显示，被勒索软件攻击的企业和组织，平均损失为1300万美金。金融行业更是重灾区，平均损失为1800万美金，安全机构预计未来五年全球将有价值5.2万亿的资产受到威胁。从国内看，经济越发达的省份和地区，受到攻击的次数越多，可以说黑客的目的很简单，就是勒索赎金。
当企业和组织被勒索软件攻击时，服务器上大量甚至全部文件被无差别的锁定，大部分企业自身的IT部门会显得束手无策。大量企业眼看着被锁定的文件和无法恢复的业务，在业务停顿每分每秒都会损失大量金钱的情况下，会选择向黑客支付赎金来快速恢复自己的业务。但支付赎金后，只有18%的企业和组织成功恢复了被黑客锁定的文件，35%的企业和组织丢失了大量的文件，55%的企业和组织成功恢复了近55%的文件，还有13%的企业和组织比较惨，他们几乎丢失了所有的数据。
面对勒索软件的攻击，我们采访了安全厂商的专家，听听企业该如何防护勒索软件的攻击吧！
绿盟科技：“三阶六步”对抗勒索软件
知名安全科技厂商，绿盟科技解决方案中心高级总监刘弘利表示，“应对勒索软件的攻击，没有一劳永逸的“银弹”解决方案。勒索软件的入侵途径有多种，以RDP暴力破解、钓鱼邮件和软件漏洞为主要方式。这次Colonila勒索事件，有网络安全人士推测，可能是因为新冠疫情员工远程工作，远程桌面的口令泄漏导致入侵。”
【 勒索|瘫痪输油管道赚爆勒索软件攻击该如何防护？】绿盟科技建议以“三阶六步”的方式对抗勒索软件。“三阶”是指事前、事中、事后三个阶段，“六步”指的是事前做好备份和防护，事中做检测和缓解，事后做响应和还原六个步骤。

文章插图
事前：准备和防护
事前的准备和防护是最重要的步骤。防护需要围绕着勒索软件的初始进入来展开。在终端、网络、邮件等系统上，部署防护和过滤安全措施。并且在提高员工意识培训、数据备份、应急响应等方面做充分的准备工作。
事中：检测和缓解
事中阶段指的是，一旦勒索软件进入企业网络系统，如果能在第一时间发现，也可以避免更大的损失。对感染的主机，需要及时隔离，避免勒索软件感染更多的主机。这个阶段可利用终端部署绿盟终端监测与响应系统EDR，网络层面部署绿盟全流量威胁分析系统TAM、绿盟统一威胁探针UTS等检测系统，结合威胁情报输入，能够及时发现入侵者的蛛丝马迹，隔离受影响主机。同时利用绿盟智能安全运营平台中的SOAR模块，在威胁分析的基础上自动执行隔离切断操作。
事后：响应和还原
在事后阶段，要进行应急响应和业务恢复。根据事前做的应急响应流程，按照步骤开展工作。调研“零号病人”，即最初被感染的是哪台设备，遭到什么方式入侵，感染的是哪种类型的勒索软件以及感染的范围等。事后调查的目的是为了不再出现勒索事件。
勒索软件威胁，利用了系统漏洞、密码偷窃、数据泄漏等高级持续性的特点。这要求企业网络安全负责人转变思维，重视勒索软件风险，多管齐下，综合治理，防范于未然。

勒索|瘫痪输油管道赚爆 勒索软件攻击该如何防护？

勒索|瘫痪输油管道赚爆勒索软件攻击该如何防护？