预防勒索软件5-4-3-2-1

1.人员安全

勒索软件攻击通常从小处开始，最薄弱的环节是疏忽大意的人员。勒索软件运营者制作简单的网络钓鱼电子邮件，旨在诱骗员工点击恶意链接或打开受感染的附件。无论安全系统有多强大，未经培训以识别社会工程计划迹象的员工都会为勒索软件敞开大门。定期在社会工程测试中培训员工，执行良好的密码策略，并使用多因素身份验证。

像弱密码这样可以预防的东西往往是严重勒索软件攻击的起点。执行强有力的密码，组织可以在网络犯罪分子有机会进犯之前，及时设置密码策略并强制执行合规性。结合最近几年网络安全大考，弱口令依然是最大安全隐患之一。

2. 3-2-1-1 备份计划

首先想要避免勒索软件是太过理想化的，如果组织拥有的数据足够重要，那么对数据（或者更好的是其中四个数据）进行安全备份，出现问题可以立即启动应急恢复及时处置系统事件。

作为经典 3-2-1 备份规则的新增内容，3-2-1-1 原则建议存储四个单独的数据副本：两个以不同格式存储在本地，一个离线存储，一个保存在不可变的格式。不可变数据无法更改，因为没有密钥可以“解锁”它，就像加密数据一样。将恢复策略分布在四个单独的备份中，将极大地降低支付赎金或聘请外部专业人员重建系统的成本。

3.零信任

不断变化的威胁形势推动了零信任安全模型的创新。零信任的基本原则是将网络中的每个用户、设备和请求视为源自不受信任的外部来源。换句话说：永远不要信任，永远验证。

零信任架构涉及广泛的最佳实践，基础是两个关键原则：最小权限和去参数化。

最小权限涉及授予用户工作所需的最少访问权限，而不是基于从组织继承的隐式信任授予权限。隐式信任架构更容易屈服于恶意内部人员和劫持公司账户，例如成功的网络钓鱼活动。去参数化解决了远程工作和远程应用程序已将公司的边界分布在其物理墙之外的事实。简单地在现场不再是员工隐含信任的标志，所以重复一遍：永远不要信任，永远验证。

4.保持系统更新

除了社会工程策略，过时和易受攻击的系统是勒索软件最常见的攻击媒介。一旦有新的补丁可用，就立即更新应用程序和操作系统，并淘汰网络上可能拥有的任何旧技术。正如勒索软件运营商所熟知的那样，传统软件和硬件旨在应对与现代威胁不同的威胁。举一个著名的例子，WannaCry 攻击的成功归功于在 EternalBlue 漏洞利用工具包的帮助下运行 30 年历史的 SMB v1 协议的 200,000 台受感染机器。

5.网络分段

如果勒索软件针对网络的一个孤立部分，只能造成如此大的破坏。这就是网络分段的原理——将计算机网络划分为许多子网络，之间的连接性有限。使用防火墙来保持网络各部分之间的隔离屏障，并密切监视其之间的流量。网络分段对于必须严格遵守数据法规的受监管行业的组织来说尤其重要。

总之，在强化信息系统时，需要考虑以下五个最佳实践。

• 定期培训员工以识别社会工程攻击的迹象。

• 至少存储四个备份：两个不同格式的本地存储副本、一个脱机副本和一个不可变副本。

• 永远不要相信，永远验证。

• 最新的安全补丁可用时立即应用。

• 通过将网络分成分段的子网络来限制勒索软件的传播。