勒索软件攻击对全球诸多企业造成了毁灭性后果。这些损失超出了与勒索加密数据相关的金钱损失,还包括运营中断、客户不满、监管罚款,以及最糟糕且难以挽回的声誉损失。

然而,残酷的现实是,勒索软件事件根本无法完全避免。作为“最薄弱环节的”人类仍将继续打开电子邮件,并单击链接启动恶意软件。如今,勒索软件攻击已经变得十分普遍,我们迫切需要强大且全面的预防及保护措施。

安全防护和灾难恢复(DR)都是必不可少的措施,完整的解决方案需要技术、流程以及高技能、经验丰富的技术专家。企业可以拼凑出完整的解决方案,但通常缺乏经验丰富的技术专家来完成它们,一方面原因是技术人才十分短缺;另一方面是人才雇佣成本也非常高。

这种情况下,勒索软件保护即服务(Ransomware Protection as a Service,简称RPaaS)应运而生,可为企业提供勒索软件事件前后的全面性服务。在RPaaS模式中,既有独立的预防和灾难恢复服务,也有连接这两个领域的检测解决方案。

此前,一些人认为,制定自动化灾难恢复(DR)计划意味着能够保护数据免受网络攻击,而其他人则认为,企业需要单独的网络攻击恢复计划。这些观点都不正确——现代弹性策略必须考虑所有威胁,包括勒索软件。

问题在于,勒索软件攻击淘汰了传统的安全防护、灾难恢复和定期恢复时间目标(RTO)方法。如果失效备援(failover,为系统备援能力的一种,当系统中其中一项设备失效而无法运作时,另一项设备即可自动接手原失效系统执行的工作)的位置变成了犯罪现场怎么办?你将在哪里恢复?

RPaaS要求两个阵营——具有灾难恢复专业知识和网络安全专业知识的阵营——以一个单一的目标进行合作,从各自的专业领域对一个计划进行改进,鼓励企业采用可行的最佳选择,而不是为零散的场景保留不同的计划。

熟悉美国国家标准与技术研究院(NIST)的企业都了解其强大安全态势的五个功能:

  • 识别;
  • 保护;
  • 检测;
  • 响应;
  • 恢复;

许多人可能认为NIST是一种古板的、过于官僚的方法,但这五项功能绝对是必不可少的。

勒索软件是一种独特的网络攻击类型,没有任何保护策略始终是100%有效的(由于前面提到的人为因素),因此“响应”和“恢复”的灾难恢复(DR)要素必不可少。

为了实现全覆盖并避免五项功能中的各方出现重叠现象,RPaaS拆分为三个子类别来解决业务的预防、检测和恢复问题:

安全运营中心即服务(SOCaaS)

在RPaaS的第一部分中,安全运营中心(SOC)团队会监控威胁活动并发出警告,以在攻击发生之前阻止它们。这个训练有素的专家团队专注于通过利用防火墙、零容忍安全、端点、EDR、MDR、SIEM和其他检测及预防工具,来快速识别和遏制恶意活动。

勒索软件响应即服务(RRaaS)

这些恢复措施包括失效备援、取证、数据清理、不可变备份以及其他必要举措。勒索软件响应即服务(RRaaS)的流程专注于测试和文档化,全过程配备了复制、备份、云恢复和数据加密技术,将灾难恢复即服务(DRaaS)和备份即服务(BaaS)结合在一起,以便在勒索软件事件发生时建立可靠的策略。

它还扩展了用于托管复制和恢复模型的气隙(air gapping)、多因素身份验证(MFA)及不可变备份的标准方法,以快速实现正常运行,并在主数据中心受到感染且无法使用时,作为失效备援的替代目标。

虚拟首席信息安全官(vCISO)

vCISO专门为RPaaS中的组织提供帮助,随时帮助其制定战略并协调恢复执行、质量保证和取证调查等方面的工作。这种持续的咨询援助可以推动安全流程走向成熟并缓解业务风险。vCISO将帮助IT团队分析、建议和制定重要的业务治理政策和流程。在勒索软件事件声明期间,这同一个人还将帮助您执行响应策略。

 改革您的战略

勒索软件攻击并不会很快消失。RPaaS提供了一个完整的解决方案,以便企业可以持续地开展业务。

RPaaS确保组织既能领先于威胁,又能在计划失败时做好准备。将SOCaaS、勒索软件恢复即服务(RRaaS)和手头上的专用vCISO这三个关键领域整合到单一托管服务中,组织最终可以利用整体和全面的方法来应对这种不断变革的威胁类型。