保护您的企业免受勒索软件威胁的最佳实践

勒索软件是一种恶意软件，用于加密对用户或组织来说最为重要的文件或数据，并使其无法被读取，这在计算机安全领域并不是一种新颖的威胁。这些一种破坏性的，出于经济动机的攻击，网络犯罪分子通常要求付费以解密数据并恢复访问权限，这些攻击已经被研究和记录了很多年。今天的现实告诉我们，这种类型的攻击已经变得更加普遍，甚至影响到了医疗保健或加油等基本服务。然而，人们尽管试图阻止这种威胁，勒索软件仍然继续对各行各业的组织产生影响，严重破坏了业务流程和关键的国家基础设施服务，并让许多组织希望更好地保护自己免受它们的威胁。继续依赖遗留系统的组织特别容易受到勒索软件的威胁，因为这些系统可能不会进行定期的修补和维护。

Google 一直在云中安全运行，使用我们的现代技术堆栈来提供一个更具防御性的环境，让我们可以实现大规模保护。我们努力在我们的平台和产品中提供我们的安全创新，并使其能够被客户所使用。这巩固了我们成为业界最值得信赖的云的工作，虽然勒索软件的威胁并不新鲜，但我们帮助保护您免受现有或新兴威胁的责任从未改变。在这篇文章中，我们分享了有关组织如何提高对勒索软件的抵御能力以及我们的一些云产品和服务如何提供帮助的指南。

制定全面的防御性安全态势以防范勒索软件

针对勒索软件（和许多其他威胁）的强大保护需要多层防御。美国国家标准与技术研究院 (NIST) 概述了网络安全框架中的五大主要功能，它们是任何公共或私营部门组织成功和全面的网络安全计划的主要支柱。以下是 NIST 的建议以及我们的云技术如何帮助解决勒索软件威胁的示例：

支柱 #1 - 识别：了解您需要在资产、系统、数据、人员和能力范围内管理哪些网络安全风险。在勒索软件的情况下，这涵盖了哪些系统或进程最有可能成为勒索软件攻击的目标，以及如果特定系统无法运行会对业务产生什么影响。这将有助于优先考虑和集中精力管理风险。

我们的 CISO 安全转型指南白皮书概述了基于风险而非规避风险的云安全方法的步骤。风险知情的方法可以帮助您解决最重要的安全风险，而不是解决您已经知道如何减轻的风险。云服务提供商通过开发和维护减轻现代安全威胁所需的许多控件和工具，使这种风险知情的方法对您来说更容易、更有效。Cloud Asset Inventory 等服务提供了一种机制，可以在一个地方发现、监控和分析您的所有资产，以执行 IT 运营、安全分析、审计和治理等任务。

支柱 #2 - 保护：创建保障措施以确保交付关键服务和业务流程，以限制或遏制潜在网络安全事件或攻击的影响。对于勒索软件，这些保护措施可能包括零信任等框架，这些框架可保护和强身份验证用户访问和设备完整性，分段环境，验证可执行文件，降低网络钓鱼风险，过滤垃圾邮件和恶意软件，集成端点保护，一致地修补并提供持续的控制保证。此步骤中涉及的产品和策略的一些示例包括：

• 云原生、固有的安全电子邮件平台：电子邮件是许多勒索软件攻击的核心。它可以被利用来网络钓鱼凭据以进行非法网络访问和/或直接分发勒索软件二进制文件。Gmail 中的高级网络钓鱼和恶意软件防护功能可控制隔离电子邮件、防范异常附件类型，并防止入站欺骗性电子邮件。安全沙盒检测附件中是否存在以前未知的恶意软件。因此，Gmail 可以防止超过 99.9% 的垃圾邮件、网上诱骗和恶意软件到达用户的收件箱。与经常被利用的旧版本地电子邮件系统不同，Gmail 会持续自动更新最新的安全改进和保护措施，以帮助确保组织的电子邮件安全。

• 针对帐户接管的强大保护：受感染的帐户使勒索软件运营商能够在受害组织中站稳脚跟，执行侦察，未经授权访问数据并安装恶意二进制文件。Google 的高级保护计划针对帐户盗用提供了最强的防御措施，并且尚未看到参与该计划的用户被成功钓鱼。此外，Google Cloud 采用多层 ML 系统进行异常检测，以区分跨浏览器、设备、应用程序登录和其他使用事件的安全用户活动和异常用户活动。

• 限制攻击者访问和横向移动的零信任访问控制：BeyondCorp Enterprise 提供了一个交钥匙解决方案，用于实现对您的关键业务应用程序和资源的零信任访问。在零信任访问模型中，授权用户被授予对单个应用程序的时间点访问权限，而不是整个公司网络，并且不断评估权限以确定访问权限是否仍然有效。这可以防止勒索软件攻击者依靠网络横向移动来寻找敏感数据和传播感染。BeyondCorp 的保护甚至可以应用于 RDP 对资源的访问，这是勒索软件攻击者获得和维持对不安全的旧 Windows Server 环境的访问的最常见方式之一。

• Chrome 的企业威胁防护：利用 Google 安全浏览技术，Chrome 每周都会警告用户数百万次恶意软件下载。BeyondCorp Enterprise 中通过 Chrome 提供的威胁防护可以通过实时 URL 检查和文件深度扫描来防止来自以前未知的恶意软件（包括勒索软件）的感染。

在 Chrome 中提醒用户的恶意下载警告

• 为安全而设计的端点：Chromebook 旨在防止网络钓鱼和勒索软件攻击，具有低设备占用空间、只读、不断隐形更新操作系统、沙盒、验证启动、安全浏览和 Titan-C 安全芯片。为主要在浏览器中工作的用户推出 ChromeOS 设备可以减少组织的攻击面，例如过度依赖旧版 Windows 设备，这些设备通常容易受到攻击。

支柱 #3 - 检测：定义持续的方法来监控您的组织并识别潜在的网络安全事件或事件。对于勒索软件，这可能包括监视入侵尝试、部署数据丢失防护 (DLP) 解决方案以检测从您的组织中泄露的敏感数据，以及扫描勒索软件执行和传播的早期迹象。

尽早发现和阻止与勒索软件相关的恶意活动的能力是防止业务中断的关键。Chronicle 是一种威胁检测解决方案，能够以无与伦比的速度和规模识别威胁，包括勒索软件。Google Cloud Threat Intelligence for Chronicle 基于 Google 对基于 Internet 的威胁的集体洞察力和研究，发现了高度可行的威胁。Threat Intel for Chronicle 让您能够专注于环境中的真正威胁并加快响应时间。

DLP 技术在帮助检测可能吸引勒索软件运营商的数据方面也能够发挥很大的作用。借助 Cloud DLP 等数据发现功能，您可以检测到不应该被公众访问的敏感数据，并检测公开代码中的访问凭据。

支柱 #4 - 响应：在您的组织内激活事件响应程序，以帮助控制安全（在本例中为勒索软件）事件的影响。

在勒索软件攻击或安全事件期间，保护您与团队内部以及外部与合作伙伴和客户的通信至关重要。许多部署和使用旧版 Office的组织已转向 G Suite，因为它提供了更加标准化和安全的在线协作套件，并且在发生安全事件时，可以快速启动新实例，为响应操作提供单独、安全的环境。

支柱 #5 - 恢复：建立网络弹性计划和备份策略，以准备如何恢复受安全（在本例中为勒索软件）事件影响的核心系统或资产。这是支持恢复时间表和减轻网络事件影响的关键功能，因此您可以重新开始运营业务。

勒索软件攻击后，必须立即识别已知不会被感染的安全时间点备份映像。Actifio GO 提供可扩展且高效的增量数据保护以及独特的近乎即时的数据恢复能力。这种近乎即时的恢复有助于快速识别干净的还原点，从而快速恢复业务功能。Actifio GO 与基础架构无关，可以保护本地和云中的应用程序。

在 Google Workspace 中，如果您计算机上的文件感染了恶意软件，但您将它们同步到 Google 云端硬盘，您或许能够恢复这些文件。此外，确保您拥有强大的风险转移计划，例如我们的风险保护计划，是管理网络风险的综合方法的关键要素。

业务和 IT 领导者的关键勒索软件预防和缓解注意事项

当您计划针对勒索软件威胁进行全面防御时，需要考虑以下一些关键问题：

• 您的组织是否有勒索软件计划，这意味着什么？请记住，基于对风险和安全目标的共同理解，要求与您的云提供商建立强有力的合作伙伴关系。

• 您如何保护组织的数据、系统和员工免受恶意软件的侵害？

• 您的组织的系统是否保持最新状态并不断进行修补？

• 您是否在关注数据泄露或其他违规行为？

• 您的综合零信任方法是什么，尤其是在我的员工访问信息时对其进行强认证？

• 您是否将正确的备份带到高保证不变的位置并测试它们是否正常工作？这应该包括定期恢复关键资产和数据的测试。

• 您正在开展哪些演习来对您组织的风险管理和对网络事件或事件的响应进行实战测试？

勒索软件攻击将继续发展

最近，勒索软件组织已经发展了他们的策略，包括在数据被加密之前窃取数据，并威胁通过泄漏来勒索这些数据。此外，一些勒索软件运营商利用分布式拒绝服务 (DDoS) 攻击威胁受害者组织，试图进一步迫使他们支付赎金。DDoS 攻击还可以分散注意力，占据安全团队，而攻击者则寻求完成其他目标，例如数据泄露或业务关键数据加密。通过部署可扩展以吸收大规模 DDoS 攻击的 Google Cloud Armor，您可以帮助保护部署在 Google Cloud、其他云或本地部署的服务免受 DDoS 攻击。

防范勒索软件对所有组织来说都是一个关键问题，而这些问题和最佳实践只是建立成熟且有弹性的网络安全态势的开始。重要的是要记住，你不能专注于单一的防守。您需要一个全面的网络安全计划，使您能够识别、预防、检测、响应并从威胁中实现恢复。最重要的是，您需要来自久经考验且具有高度弹性的云平台的一系列解决方案，该平台以与您的业务集成的方式跨这些元素工作。