雖然科洛尼爾管道攻擊可能已經(jīng)過去，但勒索軟件仍然是現(xiàn)代企業(yè)的生存威脅。

　　Colonial Pipeline勒索軟件攻擊過去一年，該事件是近年來影響最大的網(wǎng)絡(luò)攻擊案例之一，名為DarkSide的威脅行為者使用一個被泄露的VPN口令來訪問美國最大的管道運營商的內(nèi)部系統(tǒng)。在攻擊期間，當黑客開始加密該組織的數(shù)據(jù)時，Colonial Pipeline做出回應(yīng)，將其系統(tǒng)離線以阻止威脅的傳播，暫時停止了管道運營并最終支付了440萬美元的贖金。事件發(fā)生后不久，美國政府發(fā)布了一項旨在改善國家網(wǎng)絡(luò)安全的行政命令，強調(diào)聯(lián)邦政府需要“做出大膽的改變和重大投資，以捍衛(wèi)支撐美國生活方式的重要機構(gòu)”。除了行政命令外，還引入了幾項聯(lián)邦和立法措施，優(yōu)先考慮提高網(wǎng)絡(luò)安全和運營彈性的門檻。

　　Colonial Pipeline事件之后美國的政府機構(gòu)和企業(yè)目睹了其他成為全國頭條新聞的嚴重事件，包括Kaseya勒索軟件攻擊和發(fā)現(xiàn)的Log4j漏洞，該漏洞存在于全球安裝的軟件應(yīng)用程序的基礎(chǔ)中。

　　國會正在著手處理運輸安全管理局 (TSA) 是否是監(jiān)管管道網(wǎng)絡(luò)安全的適當機構(gòu)的問題。國會可能決定資助TSA并確保其擁有必要的專業(yè)知識和人力資本來有效調(diào)節(jié)管道網(wǎng)絡(luò)安全。該事件對美國關(guān)基安安全保護的影響史無前例！

　　雖然科洛尼爾管道攻擊可能已經(jīng)過去，但勒索軟件仍然是現(xiàn)代企業(yè)的生存威脅，隨著勒索軟件攻擊的增加，企業(yè)需要做好準備。這起事件有太多教訓(xùn)可以總結(jié)，比如，勒索橫行的今天，無論您是小型企業(yè)還是企業(yè)，都沒有關(guān)系。你是一個攻擊目標；攻擊者會發(fā)現(xiàn)（并利用）最薄弱的環(huán)節(jié)；攻擊者很敏捷，防守者也必須如此；等等。好消息是，組織可以實施越來越多的安全控制措施來保護自己免受這些普遍威脅的侵害。作為安全團隊，其實也有好多需要扎實推進的工作。

　　1、部署零信任架構(gòu)

　　登錄憑據(jù)是網(wǎng)絡(luò)犯罪分子的主要目標之一。因此，對于安全團隊來說，實現(xiàn)對零信任身份驗證的支持變得越來越重要，以使未經(jīng)授權(quán)的用戶更難使用受損憑據(jù)登錄?！癈olonial Pipeline勒索軟件攻擊是另一個備受矚目的例子，即利用受損憑證來利用以前被認為是安全的基礎(chǔ)設(shè)施。因此，安全協(xié)議必須不斷發(fā)展，以跟上分布式計算環(huán)境中的動態(tài)威脅，”身份訪問管理提供商Plain ID的首席技術(shù)官兼聯(lián)合創(chuàng)始人Gal Helemski說。Helemski建議組織可以通過實施零信任架構(gòu)來防止自己成為類似攻擊的受害者，該架構(gòu)將訪問控制擴展到整個數(shù)字旅程的整個生命周期中的傳統(tǒng)網(wǎng)絡(luò)訪問安全性。

　　2、實施強大的事件檢測和響應(yīng)能力

　　決定勒索軟件泄露總體影響的最大因素之一是組織響應(yīng)所需的時間。響應(yīng)時間越慢，網(wǎng)絡(luò)犯罪分子就越有機會定位和加密關(guān)鍵數(shù)據(jù)資產(chǎn)?！爸趁竦厥枪埠退綘I部門基礎(chǔ)設(shè)施安全的一個重要轉(zhuǎn)折點，但組織需要保持警惕，以領(lǐng)先于網(wǎng)絡(luò)攻擊者，”勒索檢測和恢復(fù)平臺Egnyte的網(wǎng)絡(luò)安全宣傳總監(jiān)Neil Jones說。在實踐中，這意味著制定全面的事件響應(yīng)計劃，部署具有勒索軟件檢測和恢復(fù)功能的解決方案，并為員工提供有關(guān)如何實施有效數(shù)據(jù)保護策略（如強口令和多因素身份驗證）的網(wǎng)絡(luò)安全意識培訓(xùn)。

　　3、不要依賴備份和恢復(fù)解決方案來保護數(shù)據(jù)

　　許多組織尋求依靠數(shù)據(jù)備份和恢復(fù)解決方案來抵御勒索軟件威脅。雖然這聽起來像是紙面上的有效防御，但如果受害者組織不支付贖金，勒索軟件攻擊者已經(jīng)開始威脅要泄露他們加密的數(shù)據(jù)。加密提供商Titaniam的首席執(zhí)行官兼創(chuàng)始人Arti Raman建議組織切換到使用中的數(shù)據(jù)保護， 而不是依賴靜態(tài)加密，攻擊者可以使用受損憑證來回避。“通過使用中的加密數(shù)據(jù)保護，如果對手突破外圍安全基礎(chǔ)設(shè)施和訪問措施，結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)可能 [并且] 將 [變得] 無法被壞人破解和使用——即使不是，數(shù)字勒索也會變得更加困難或不可能，”拉曼說。

　　4、創(chuàng)建攻擊面清單

　　由于有如此多的高級威脅行為者以勒索軟件威脅的現(xiàn)代組織為目標，技術(shù)決策者和安全團隊需要對哪些系統(tǒng)暴露給外部威脅行為者以及他們持有哪些數(shù)據(jù)有一個完整的清單?！半S著美國政府采取措施加強國家網(wǎng)絡(luò)安全，組織必須采取積極主動的方法來保護自己的資產(chǎn)，這就是優(yōu)勢所在：響應(yīng)能力，”托管安全服務(wù)組織Cyber Security Works的首席執(zhí)行官兼聯(lián)合創(chuàng)始人亞倫·桑丁說?！巴ㄟ^獨立或外包給漏洞管理公司進行完整的系統(tǒng)清單，組織可以擴展其對已知和未知漏洞利用的網(wǎng)絡(luò)安全可見性，”Sandeen說。雖然 Colonial Pipeline攻擊背后的組織已經(jīng)不復(fù)存在，但Sandeen警告說，企業(yè)將繼續(xù)看到越來越多的漏洞利用、漏洞和APT威脅參與者愿意利用它們，“這將需要安全領(lǐng)導(dǎo)者提供預(yù)測性和創(chuàng)造性的幫助來分類和消除勒索軟件威脅?！?/p>

　　5、部署身份管理解決方案以識別異常用戶活動

　　網(wǎng)絡(luò)安全教育平臺Drip7的創(chuàng)始人Heather Stratford說，“殖民管道災(zāi)難告訴我們，人是網(wǎng)絡(luò)安全攻擊的主要切入點?！?據(jù)Cyber Talk稱， 95%的網(wǎng)絡(luò)違規(guī)是由人為錯誤造成的。“在網(wǎng)絡(luò)安全意識方面，‘人’是需要‘固定’或關(guān)注的，而這種變化通常不會在一夜之間發(fā)生。改變行為建立在小的增量改進之上，隨著時間的推移，這些改進會收緊控制限制以改善行為并最大限度地降低風險，”斯特拉特福德觀察到?！案淖儺斍熬W(wǎng)絡(luò)安全流行病的唯一方法是增加對組織人員的關(guān)注，而不僅僅是現(xiàn)有系統(tǒng)，”斯特拉特福德警告說。在遠程工作和員工使用個人設(shè)備訪問企業(yè)資源的時代，數(shù)據(jù)被盜的風險比以往任何時候都大?！拔覀冊谛侣勚新牭降拇蠖鄶?shù)違規(guī)行為都是由于企業(yè)依賴自動訪問控制而在用戶被劫持時意識到為時已晚?！翱紤]到 LAPUS$和Conti等不同犯罪集團的先進策略和隨機性，一旦賬戶遭到入侵，基于身份的欺詐行為就極難被發(fā)現(xiàn)，”信任平臺Forter的首席信息安全官Gunnar Peterson說。出于這個原因，組織需要具有識別異常用戶活動的能力，以便他們能夠檢測帳戶接管，彼得森說，這可以通過使用具有異常檢測功能的人工智能驅(qū)動的身份管理解決方案來獲得。

　　關(guān)鍵基礎(chǔ)設(shè)施上的勒索軟件案件繼續(xù)成為頭條新聞的事實表明，在整體關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全方面，組織通常準備不足。人們傾向于專注（并花費）大量資金用于企業(yè)和企業(yè)環(huán)境的網(wǎng)絡(luò)安全，但多年來，運營技術(shù)和面向生產(chǎn)的環(huán)境并沒有得到他們的關(guān)注和投資。

　　變革不會在一夜之間發(fā)生。重要的是要注意，當調(diào)整安全態(tài)勢時，對手也會適應(yīng)。強化很重要，但可見性和彈性是所有關(guān)基企業(yè)需要的，這需要時間來開發(fā)和部署。俄烏戰(zhàn)事中的網(wǎng)絡(luò)暗戰(zhàn)再次表明，變革的關(guān)鍵驅(qū)動因素是法律法規(guī)指令、攻擊的持續(xù)威脅、地緣政治局勢以及監(jiān)管機構(gòu)日益增加的關(guān)注。人們對ICS的關(guān)注也越來越普遍，因為可靠的情報表明，網(wǎng)絡(luò)攻擊更有可能演變?yōu)槲锢砉簟?/p>